サイバー攻撃に自分自身や勤務先が巻き込まれることを警戒している人はそう多くないでしょう。しかし、サイバー攻撃は確実に私たちの日常に忍び寄っています。
2023年7月、名古屋港の統一ターミナルシステム(NUTS)がランサムウェアによる攻撃を受け、トレーラーによるコンテナ搬出入作業がほぼ丸一日停止に追い込まれました。また、仮想通貨がハッカーによって盗取され、他国に資金として流出する事件も起きています。届くはずの荷物が届かなかったり、自分が保有している金融資産を盗まれたり、誰もがサイバー攻撃の影響を受ける可能性があります。
仮にサイバー攻撃の被害を直接受けないとしても、自分の個人情報がいつどこで漏えいしているとも限りません。ある日突然、知らない会社からセールスの電話がきたり、購読していないメールマガジンが配信されたりした経験をお持ちの方も少なくないでしょう。そのため、VPNを利用するなど、自分の情報を守る意識が非常に重要です。
本記事では、サイバー攻撃とプライバシー保護の観点から日本のインターネットの安全性について検証します。
【目次】
日本のサイバーセキュリティの実態と被害事例
プライバシー保護・サイバーセキュリティに関する日本と世界の法律
2023年6月に施行された「改正電気通信事業法」とは?
インターネットをもっと安全に利用するための身近なヒント
日本のサイバーセキュリティの実態と被害事例
日本経済新聞は、2017年から2022年の5年間に、日本は特定国外ハッカー集団からのハッキングにより仮想通貨約7億2,100万ドル(約980億円)相当を失ったと報じています。世界全体の被害額は約23億ドルのため、日本が占める割合は実に全体の3割です*1。
なぜ、日本の被害額は甚大なのでしょうか?ここでは、日本のサイバーセキュリティの現状と被害事例について解説します。
サイバーセキュリティの対策を急ぐ日本
政府は2021年9月28日に、今後3年間のサイバーセキュリティ施策や実施方針となる「サイバーセキュリティ戦略」*2を閣議決定しました。その取り組みの中心にいるのが「内閣官房 内閣サイバーセキュリティセンター(NISC)」です。
この最新版のサイバーセキュリティ戦略は、以下の3つを基本方針とし、「Cybersecurity for All(誰も取り残さないサイバーセキュリティ)」を目指しています。
| サイバーセキュリティ戦略 3つの基本方針 |
| ・DXとサイバーセキュリティの同時推進 ・公共空間化と相互連関・連鎖が発展するサイバー空間を俯瞰した安全・安心の確保 ・安全保障の観点からの取り組み強化 |
また、2022年4月1日にはサイバー犯罪対策の強化を目的とした「サイバー警察局」と重大事件の捜査を担う「サイバー特別捜査隊」が発足しました。サイバー犯罪は都道府県や国境という枠を越えて行われるため、従来の警察組織では限界がありました。サイバー警察局が窓口になり、海外の捜査機関とも連携し、重要インフラへの攻撃や海外の犯罪グループが関わる重大なサイバー事件の捜査も強化されています。
さらに、政府は2023年1月末に内閣官房に能動的サイバー防御を目的とした「サイバー安全保障体制整備準備室」を設置し、海外などからのサイバー攻撃を未然に排除したり、被害の拡大を防止する対策を急いでいます。
日本はなぜ狙われやすいのか?
では、対策が進められているように見えるにもかかわらず、日本がサイバー攻撃の標的になるのはなぜでしょうか?
通信機器メーカーBlackBerryの「グローバル脅威インテリジェンスレポート」の調査*3によると、2022年9月~11月の3ヶ月間にサイバー攻撃の標的になった企業の65%がアメリカで、第2位が日本(8%)でした。
また、サイバーセキュリティの情報サイトであるComparitechが毎年60ヶ国以上を対象に行っているサイバーセキュリティに関する調査*4によると、ユーザーのモバイルバンキングが「トロイの木馬」の攻撃の被害を受けた割合は、日本がトップでした。トロイの木馬とは、通常のファイルに偽装して潜伏する悪意のあるソフトウェアのことです。
日本はこれまで言語の壁がありサイバー攻撃の標的になりにくいといわれていましたが、前述の調査を行ったBlackBerryのIsmael Vakenzuela氏によると、サイバー攻撃の増加とインターネットの普及率、経済や人口の規模は相関関係にあります。世界のGDPランキングでアメリカは1位、日本は3位にあり、この観点からすると、アメリカや日本がサイバー攻撃の標的になるのは不思議ではないでしょう。
より具体的な要因に関して、Black Berry Japan株式会社の分析*5によると、未知のマルウェアが次々に生まれていることや、マルウェアの一種である「Emotet」の攻撃に対策が追いついていない点が指摘されています。Emotetとは、正規のメールへの返信を装う手口で不正なファイルを開かせ、感染させることにより、メールアカウントやメールデータなどの情報を盗取するマルウェアであり、二次感染も起こします。
さらに、同社の分析によると、大企業に侵入する際にセキュリティ対策が甘い子会社や委託業者などがまず標的になるといいます。実際、日本では大企業に比べて中小企業のサイバーセキュリティ対策が遅れていることが指摘されています。
日経BPコンサルティングが2022年に実施した調査*6によると、中小企業(従業員11~300人)の勤務先システムのサイバー攻撃や被害へを懸念している人は全体の82%(「とても感じている」30.7%、「ある程度感じている」51.3%)に及ぶのに対し、サイバーセキュリティ対策の実現度については「とてもできている」と回答した人は3.3%、「ある程度できている」と回答した人は49.3%にとどまりました。これに対して大企業に勤務している人の6.7%が「とてもできている」、64.7%が「ある程度できている」と回答。つまり、中小企業ではサイバーセキュリティに対する意識は高いものの、対策が追いついていないことが分かります。
その最大の理由はコストです。同調査において、「よりコストをかけても、セキュリティ対策の強度を高めたい」との質問に対して、「とてもそう思う」と回答したのは大企業で17.3%だったのに対し、中小企業では6.0%、「まあそう思う」と回答したのは大企業で44.7%だったのに対し、中小企業では26.7%でした。」
また、サイバーセキュリティを堅牢にするためには、官民連携が欠かせません。しかし、それを困難にしている要素の一つが憲法21条が保障する「通信の秘密」です。サイバー攻撃を安全保障上の脅威とみなしているアメリカでは、国土安全保障省や軍がサイバー空間を常時監視しているのに対し、日本では憲法上の権利保護の観点から、海外からのサイバー攻撃に対しては受動的かつ事後的にならざるを得ない状況にあるのです。
個人のサイバー攻撃被害
国や企業に対するサイバー攻撃だけでなく、個人も標的や被害者になっています。総務省の情報通信白書(令和4年版)*7によると、2021年に観測されたサイバー攻撃関連通信数は約5,180億パケットで、2018年の約2,169億パケットと比較して2.4倍、2016年と比較すると3.7倍でした。
個人がサイバー攻撃の標的になりやすい一つの理由として、コロナ禍をきっかけに多くの企業が導入したテレワークの導入が挙げられます。独立行政法人「情報処理推進機構 (IPA)」は、毎年「情報セキュリティ10大脅威」*8を発表していますが、「テレワーク等のニューノーマルな働き方を狙った攻撃」は2021年に初めて第3位にランクインし、2022年は第4位、2023年にも引き続き第5位に挙げられています。
プライバシー保護・サイバーセキュリティに関する日本と世界の法律
このようなサイバー攻撃の脅威の中で、日本のインターネットユーザーはどのように守られているのでしょうか。インターネット上でさまざまな情報やデータがやりとりされる現在社会では、個人のプライバシーや情報が勝手に利用されたり、自分の知らないところでやりとりされたりすることがないよう法整備が必要です。ここでは、プライバシー保護やサイバーセキュリティに関する日本、欧州、アメリカの法律を比較します。全般的な傾向として、世界的にCookie規制の動きが加速しています。
日本の場合
日本では、2022年4月から改正後の個人情報保護法が施行されました。日本で個人情報保護法が制定されたのは2003年で、2005年4月から全面施行されましたが、デジタル技術の進展やグローバル化などの動きと連動し、その後も3度の大きな改正が行われました。
2022年から施行された改正法では、保有個人データの利用停止や消去を求める請求権が拡充されるとともに、漏えい等が発生したときに個人情報保護委員会への報告、及び本人通知が義務化されました。さらに、不適正な方法により個人情報を利用してはならない旨が明確化され、データの提供先で個人データになることが想定される「個人関連情報」についても、第三者提供にあたっては、本人同意が得られている等の確認が義務付けられました。
これにより、特定の個人情報と紐づけてCookieで取得した情報を使用する場合には、本人の同意を得ることが必要になったのです。Cookieには、氏名や住所、年齢などの個人情報は含まれませんが、ログイン情報が含まれているため、インターネット上の行動履歴から趣味嗜好や購買動向が補足されてしまいます。
加えて、日本では2023年6月から、令和4年改正電気通信事業法が施行されました。目的は電気通信サービスの円滑な提供と、利用者のデータなどの保護を図ることです。総務省*9によると、改正法のポイントは以下の3点です。詳しい内容は、後ほど解説します。
| 改正法のポイント |
| ・情報通信インフラの提供確保 ・安心・安全で信頼できる通信サービス・ネットワークの確保 ・電気通信市場をめぐる動向に応じた公正な競争環境の整備 |
EU諸国&イギリスの場合
GDPR(General Data Protection Regulation)は2018年5月に欧州で施行され、既存の法律よりも広義の個人情報を保護しています。GDPRにおける「個人データ」とは、「識別された自然人又は識別可能な自然人(『データ主体』)に関する情報」であり、「識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者」と定義されています。
GDPRの別の特徴は、制裁金が非常に高額な点です。少なくとも1,000万ユーロ(約12億円)、義務違反のケースによっては2,000万ユーロ(約23億円)が最低額として設定されています。
イギリスでは、ICO(英国個人情報保護監督機関)がGDPR(EU一般データ保護規則)に基づいて、個人情報の扱いに関して企業を取り締まっています。イギリスはEUを離脱しましたが、引き続きGDPRの管理下に置かれています。
例えば、British Airwaysは約50万人の顧客データを漏えいさせたとして、ICOからGDPR違反として、当初は1億8,339万ポンド(約250億円)の制裁金を科されました。顧客データには氏名や住所、予約やカード決済内容が含まれていたようです。その後、新型コロナウイルスの感染拡大により業績が低迷したことを受け、2千万ポンド(約27億円)まで減額されましたが、企業にとって大きな痛手となったのは間違いありません。
GDPRの制裁対象には日本企業も含まれます。2022年11月には、NTTデータ社のスペイン子会社が取引先の顧客情報を漏えいさせたとして、約6万4,000ユーロ(約940万円)の制裁金が科されました。
アメリカの場合
アメリカの個人情報保護法の一例として、カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)があります。同法は2020年1月からカリフォルニア州の住民を対象に適用開始されました。アメリカの一つの州を対象にしているに過ぎませんが、カリフォルニア州はアメリカで人口が最も多く、経済活動も活発な州です。単独の州でありながら、そのGDPは一つの先進国に匹敵するほどです。そのため、CCPAに対するインパクトは大きいといえるでしょう。
同法もGDPRや改正個人情報保護法と同様、個人情報の定義が広いことが特徴です。CCPAにおいては「個人情報」は「特定の消費者又は世帯を、識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報を意味する」としています。
また、プライバシーの権利を保護するために住民に開示請求権や削除権、オプトアウト権などを保障しています。オプトアウト権とは、個人情報の販売に対する停止請求権のことです。個人情報を第三者に販売する事業者に対して、個人情報を販売しないように指示する権利を常に有するとされており、Cookieデータもそこに含まれます。
CCPAに違反した場合、違反1件ごとに最大2,500ドル(故意の場合は7,500ドル)の罰金が課されます。もし、個人情報の漏えいが1万人分の場合、最大2,500万ドル(約35億7,000万円)になる計算です。
日本企業にも適用されるケースがあるため、企業は改正個人情報保護法やGDPRだけでなく、CCPAへの具体的対策が求められています。
2023年6月に施行された「改正電気通信事業法」とは?
ここでは、前出の日本の法律「改正電気通信事業法」の具体的な内容について、詳しく解説します。
電気通信事業法の一部を改正するこの法律は、2022年6月13日に可決され、2023年6月に施行されました。改正の背景にあったのは、電気通信事業者へのサイバー攻撃により、通信サービスの提供停止やデータの漏えいが続いたことや、企業がユーザーの個人情報を適切に管理していない問題が発生したことがあり、プライバシー保護やデータ利用のあり方について、改めて定めることとなりました。
電気通信事業者法の改正が目指す3つのポイントは前述しましたが、個人情報の保護に関係するのは「安心・安全で信頼できる通信サービス・ネットワークの確保」です。大規模事業者が取得する利用者情報について適正な取り扱いを義務付け、事業者が利用者に関する情報を第三者に送信させようとする場合、利用者に確認の機会を付与することを明文化しました。
これが改正電気通信事業法第27条の12の「外部送信規律」であり、いわゆる「Cookie規制」と呼ばれている規制です。ここでいう「外部送信」とは、「ユーザーの個人関連情報をユーザーの端末以外のサーバーに送信すること」を指します。
規制対象
電気通信事業者の対象は広くて分かりにくいため、自身が「外部送信規律」への対応が必要か悩むこともあるでしょう。対象は事業者ではなく、ウェブサイトやアプリなどのサービスです。そのため、同じ事業者でも対応が必要なもの、必要のないものがあります*10。
総務省が2023年2月に公表した「外部送信規律について」*11によると、電気通信役務をブラウザ又はアプリケーションを通じて提供する場合には、外部通信規律の対象になります。
「各種情報のオンライン提供」には、ニュース配信、天気情報、動画配信などがありますが、ホームページの運営は解釈が難しいケースがあります。企業・個人が自己の情報発信のために運営しているホームページは、外部送信規律の対象外です。この基準に照らせば、金融事業者が提供する株式取引のサービスは対象外ですが、「運用のコツ」や「狙い目銘柄」などの情報を紹介するようなウェブサイトは対象となります(2023年5月18日総務省見解)。
規制対象となるサイト運営者に求められる対応
| 必要な対応 | 対応例 |
| 通知・公表 | ポップアップ表示 |
| 事前同意取得:オプトイン | CMPツール導入 |
| オプトアウト機会の提供 | オプトアウト用の入力フォーム設置 |
外部送信規律により、対応が必要なことは、以下の3点を通知又は利用者の容易に知り得る状態に置くことです。
| 通知又は利用者の容易に知り得る状態に置くべき事項 |
| (1) 送信されることとなる利用者に関する情報の内容 (2)(1)の情報を取扱うこととなる者の氏名又は名称 (3)(1)の情報の利用目的 |
「通知又は利用者の容易に知り得る状態に置く」ためには、日本語で平易な表現を使い、適切な文字の大きさで表示しなければなりません。例えば、(1)~(3)の事項、または(1)~(3)を記載した箇所へのリンクをポップアップにより表示します。
外部送信規律は表示するだけでなく、利用者の同意を得る必要があります。例えば、CMPツール(同意管理プラットフォーム)の導入も検討できるでしょう。さらに、個人データの第三者への提供を本人の求めに応じて停止する、オプトアウト機会の提供も必要です。
インターネットをもっと安全に利用するための身近なヒント
国や企業はサイバーセキュリティのために法的な整備を行いますが、結局のところ、端末を操作し、インターネットを利用するのは私たち一人ひとりです。そのため、各自がサイバーセキュリティに対する意識を高めて、具体的な対策を講じることが大切です。例えば、以下の点に留意すると良いでしょう。
・パスワードを強化する
パスワードは、生年月日などの推測が容易な個人情報ではなく、アルファベットと数字を混在させ、適切な長さの文字列にすることが大切です。数字と英大小文字と記号を組み合わせたとしても、5文字以内であれば総当たり攻撃によって一瞬のうちに破られます。しかし、10文字以上にして数字、英大小文字、記号を組み合わせた場合、解読するのに膨大な時間がかかるため、安全性が高まります。
・定期的なバックアップ
万が一に備えて、バックアップは定期的に取っておくことが大切です。従来、バックアップはハードディスクなど別の端末に取ることが一般的でしたが、今はクラウドバックアップが一般的です。定期的なバックアップはサイバーセキュリティ対策になるだけでなく、日本では誰もが巻き込まれる可能性がある災害から情報を守る上でも有効です。
・クラウドやネットワークの共有範囲に気を付ける
クラウドを利用する場合、どの範囲で共有するか、またどのレベルで共有するか(閲覧のみか、編集も可能か、など)の設定が可能です。必要以上に権限範囲を拡張することがないよう気を付けましょう。
・怪しいメールは開かない
上述したEmotetは、同僚や取引先を装ったメールに添付されているファイルを開くことで不正なプログラムが実行されます。少しでも怪しいと思ったら、安易に開かないようにしましょう。
・VPNを利用する
VPNは、インターネット上で安全な通信を実現するためのツールです。VPNは日本を含むほとんどの国で合法であり、個人情報やオンラインアクティビティを保護するために、世界中の個人や企業によって常に使用されています。VPNを利用することで実際のIPアドレスを非公開にすることができ、インターネットサービスプロバイダ(ISP)や第三者による追跡を防げます。また、ExpressVPNはユーザーのアクティビティログや接続ログを記録しないので、プライベートにオンラインを利用することができるだけでなく、セキュリティ対策としても有効な手段です。
出典
1. 日本経済新聞(北朝鮮、日本から仮想通貨980億円奪取 世界被害額の3割: https://www.nikkei.com/article/DGXZQOUC184V60Y3A110C2000000/)
2. 内閣サイバーセキュリティセンター(サイバーセキュリティ戦略:https://www.nisc.go.jp/pdf/policy/kihon-s/cs-senryaku2021.pdf)
3. BlackBerry(グローバル脅威インテリジェンスレポート:https://blogs.blackberry.com/en/2023/02/top-10-countries-most-targeted-by-cyberattacks-2023-report)
4. Comparitech(https://www.comparitech.com/blog/vpn-privacy/cybersecurity-by-country/)
5. Black Berry Japan (https://internet.watch.impress.co.jp/docs/news/1480782.html)
6. 日経BPコンサルティング(https://consult.nikkeibp.co.jp/info/news/2022/0527/)
7. 総務省(https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd237200.html)
8. IPA(https://www.ipa.go.jp/security/10threats/index.html)
9. 総務省(電気通信事業法施行規則等の一部改正について:https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000241520)
10. DataSign (https://datasign.jp/blog/telecom_act_target_services/)
11. 総務省(外部送信規律について:https://www.soumu.go.jp/main_content/000862755.pdf)
