安心・安全なネット利用環境に向けて

安心・安全なネット利用環境に向けて

増え続けるネット犯罪

 まずは、先日私に届いたメールをご覧ください。

 ともに銀行から発信のメールですが、『三井住友カード』と書かれたメールは巧妙なフィッシングメールです。ちなみに、メールの中身は次のように書かれています。

***

三井住友カードをご利用のお客さま
利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。

***

 ここで不用意にURLをクリックして要求項目に入力をすると情報が盗られてしまうことになります。

 こうしたメールの真偽を確認するには、メール差出人のアドレス(このメールの場合は“三井住友カード <srnbc-co-jp@ejafyajk.asia>”と書かれていました)を確認することが最も確かな方法ですが、少々面倒な上ネットの知識がないと難しくもあります(このメール発信元のドメインは“.asia”となっており、いかにも怪しげでしたが)。

 一方、三菱UFJ信託銀行からのメールは一見して正しいメールと分かります。それは、電子署名とS/MIME(Secure/Multipurpose Internet Mail Extensions)が付与されていることから確認できます。ただ、こうした成りすましやフィッシングメールに対する安全性措置が、一般にあまり浸透していないことは事実です。また、証明書を取得するには費用が掛かるため、金融機関など一部機関を除き大半のメールには反映されていないことも事実です。

 下のグラフは、警察庁が公表した『令和元年の犯罪情勢』からネット犯罪に係る検挙数の推移ですが、年々増加傾向にあることが見て取れます。ただし、この件数は刑事告発され検挙に至った数であり、未遂もしくは立件に至らないケースも含めると氷山の一角でしょう。それ以外に数字には表れないSNSなどによるいじめや炎上などを含めると、この数十倍は生じていることになります。

 また、同資料には2019年9月に全国15歳以上の男女1万人を対象に行ったアンケート調査結果もまとめられています。それによると、過去1年間にサイバー犯罪の被害に遭った、もしくは遭うおそれのある経験をしたと回答した人の割合は42.69%(4,261人)にのぼったとされています。

発信者の身元が証明されることの重要性

 人は顔や表情、目の動き、声のトーンやテンポ、姿勢やしぐさなど様々なポイントで相手を観察することでコミュニケーションを成立させます。デジタル環境では、それらの大半が失われた状態でコミュニケーションが図られるため、対面では生じようのない誤解や曲解、さらにはフィッシング詐欺などの犯罪に巻き込まれる可能性もあります。こうした事案がマスコミなどを通じて紹介されるたびに、デジタルに対して漠然とした不安を抱く人も多いと思います。私にも「知らない人からこのようなメールが来たけど、いったいどうすればいいのか?」などといった相談はよく寄せられます。身に覚えのないメールは削除すべきと思っていても、件名によっては心配になってつい開いてしまったという経験は誰にでもあると思います。前項で紹介したアンケートで「サイバー犯罪被害の恐れがあった」と回答した中にも、同様の経験をした人もいるのではないかと思います。

 これが1対1のメールではなく、SNSのような不特定多数に向けたメッセージであれば、何気なく発した一言がまったく異なった意図や内容で拡散され、とんでもない事態を招いてしまう可能性もあります。これも、文字だけに頼るコミュニケーションが陥りやすいリスクだと思います。発信する側も、対面では到底口にできない言葉も、顔が見えない相手に対しては遠慮会釈なくぶつけられるといった心理状態に陥る可能性も多分にあると思います。SNSでの炎上などは、まさにこうした心理状態によって招かれた悪意なき犯罪行為ではないでしょうか。

 ドイツの哲学者マルクス・ガブリエルは「ネット空間は秩序を放棄した無法地帯だ」と述べていますが、これはある意味で当たっていると思います。≪ある意味で≫と断ったのは、秩序を解さない無法者にとっては自由に生きられる空間ですが、ネットを利用する大多数の人はこうした無法者であるはずはなく、仮に完全に無法地帯であればネットは当の昔に淘汰されているからです。

 インターネットが一般に普及してからおよそ30年が経ちますが、これは人間に置き換えるとようやく分別が身について自立を迎える時期にあたります。対面以外の様々なコミュのケーション手段を備えたネット環境の中で、自立した社会人として踏み出す時期に来ているのではないでしょうか。

 さて、そこで問題となるのは無法者などへの対応をいかに図るかということになります。

 ネットというバーチャル社会がリアルな社会と根本的に異なる点は、コミュニケーションする相手の身元確認が極めて曖昧であると感じています。もちろん対面でも見知らぬ相手の身元確認まではできませんが、表情やしぐさなどで一応は相手の認識はできます。顔の見えないネット上の相手であれば、そうした確認を行う手段すらありません。

 相手の身元を知る唯一の手掛かりは、電子メールではメールアドレス、SNSではハンドルネーム、ホームページではURLなどがありますが、これらには身元を証明する手段ではありませんし、書かれた情報が成りすましや偽情報の可能性もあります。つまり、インターネット空間においては相手の身元を確実に証明する標準的な手段が確立されていないという弱点があります。

 こうしたインターネット上の弱点を克服するために、EUでは2016年7月にeIDAS(electronic Identification and Authentication Services)規則を発効し、サイバー取引における確実性を確保し、市民や企業の経済活動の効率化を促す仕組みを導入しています。すなわち、電子文書の作成者は確実に実在する本人であるか、途中で改ざん等が行われていないか、ウェブサイトが真正で正当性はあるか、データ送信の取扱いは正しく行われていたかなどを公的に証明することで、発信者の身元や到達家庭での不正を防ぐうえで重要なトラストサービスです。こうした安心・安全なデータ流通を支えるためのトラストサービスは、わが国の『デジタル時代の新たなIT政策大綱』にも明記されており、次期サイバーセキュリティ戦略にも確実に盛り込まれると思われます。 また、すでに一般財団法人日本情報経済社会推進協会(JIPDEC)が発行する“eシール1”などを始めとする、インターネット上の情報の信頼性を確保するための様々な仕組みが提供されています。また、冒頭で紹介したように、銀行などから送付されるメールには原則として“電子署名[efn_note]電子文書が正しく発信され改ざんされていない正規の書類であることを証明するための電子的な印鑑やサインの機能を持つもの[/efn _note]”が添付されており、正しい発信者から送信されたものであることが分かる仕組みになっています。今後、金品のやり取りに関わる請求書などの電子文書への添付が普及することで、ネット環境はより安全に利用可能になると思います。

 すなわち、「重要」などという件名や内容にとらわれる前に「信頼できる相手が発信した情報ですよ」という証の有無が重要だと思います。eシールや電子署名などはこうした信頼性を証明するための有効な手段と言えます。

トラスト基盤としてのマイナンバーカード

 「信頼できる相手」は、『実在性』と『本人性』の2つの条件から証明しようと考えられています。実在性とは「確かに存在している人格(個人・法人)である」ことを証明することであり、本人性とは「実在する人格自身が発信したものである」ことを証明するものです。

 実在性を証明するうえで最も確実な方法は、行政が保管している住民票台帳(個人)や登記簿謄本(法人)にその根拠を求めることです。

 現在、行政に届け出を行えば無料で配布されているマイナンバーカードのICチップに収められている電子証明書は、住民票台帳に基づいた実在する個人であることを示す、最も確実な証明書であると言えます。

 私は2012年に北欧諸国の国民(法人)番号制度の調査に赴いたことがあります。まだ、この当時はマイナンバー制度がわが国では成立しておらず、国民番号制度がいち早く根付いた北欧諸国の事情を視察することが主な目的でした。

 “デジタル立国”と呼ばれるエストニアでは、“eIDカード”と呼ばれる国民カードが15歳以上の全国民に配布されており、身分証明書や行政への電子申請などのほかに、パスポートや運転免許証、健康保険証などの各種証明書、eチケットと呼ばれる公共交通機関を利用する際のパスなど、極めて広範な利用がなされていることに驚いたものです。交通取り締まりの警察官・医師。交通機関の検札員などそれぞれの役割に応じたモバイル端末にeIDカードを読み込ませることで、アクセス権限のある情報のみが閲覧できるという仕組みでした。

 また、デンマークのデジタル庁(Agency for Digitazation)は、認証ポリシーの総括・監理・監督を担い、CA局3を保有していないわが国では、プラットフォームの大半はブラックボックスであり、こうした機能を完全に利用することはできないようです。

 上のグラフは、スマートホンの世界シェア4を2009年と2020年を比較表示したものですが、デジタル社会の接点ともいえるスマホの世界シェアの確保は、メーカー戦略を超えた今後のデジタル社会に向けた肝ともいえる戦略技術だと思います。

Cybersecurity for All

 さて、ネット空間で犯罪に巻き込まれるリスクはネットを利用する限り誰にでも付きまとい、大国間でサイバーテロをめぐって外交上の対立までが生じるように、自助努力だけで防げる問題では決してありません。しかし、だからといってネット環境の利用を忌避していては社会生活において支障が生じてしまいます。

 2021年6月18日に閣議決定された『骨太方針』では、次の時代をリードする新たな成長の4つの原動力の一つが「官民挙げたデジタル化の加速」とされています。それを実現するためにも、安心安全なネット環境の構築は不可欠な課題であり、骨太方針の中にも「健全な情報通信社会の実現に向けて不可欠なサイバーセキュリティ対策の強化のため、政府の次期サイバーセキュリティ戦略を2021 年中に策定する」と指摘されています。

 次期サイバーセキュリティ戦略は、NISC(内閣サイバーセキュリティセンター)に設置された戦略本部を中心に検討がなされ、『Cybersecurity for All(誰も取り残さないサイバーセキュリティ)』の実現に向けて7月時点で30回の会合が設けられています。

戦略会議の概要は『次期サイバーセキュリティ戦略(案)について』で見ることができます。「国は様々な主体と連携しつつ、①⾃助・公助による⾃律的なリスクマネジメントが講じられる環境づくりと、②持ち得る⼿段の全てを活⽤した包括的なサイバー防御の展開等を通じて、サイバー空間全体を俯瞰した⾃助・共助・公助による多層的なサイバー防御体制を構築し、国全体のリスク低減、レジリエンス向上を図る」という目標に向け、具体的施策として次の事項を挙げています。

(1)国⺠・社会を守るためのサイバーセキュリティ環境の提供
(2)デジタル庁を司令塔とするデジタル改⾰と⼀体となったサイバーセキュリティの確保
(3)経済社会基盤を⽀える各主体における取組
(4)多様な主体による情報共有・連携と⼤規模サイバー攻撃事態等への対処体制強化

 戦略会議が公表している上記資料を読む限りでは、サイバーセキュリティの必要性・重要性、極めて崇高な理念や目的などは何度も繰り返されていますが、具体的に踏み込んだ検討はこれからのように感じました。

 2021 年中に策定される政府の次期サイバーセキュリティ戦略では、法や体制の検討に加え、安心・安全なデジタル社会の実現に向けた技術的裏付けのある総合的な戦略構図が描かれることを期待したいと思います。


社会・政治問題ランキング
  1. 電子文書などの電子データに対し、データの発信元と完全性を保証する添付データの1つで、企業文書における角印の電子版に相当する
  2. CA局:Certification Authority=認証局。デジタル証明書を発行する機関で、電子証明書の登録、発行、失効をおこなう第三者機関[/efn _note]はPBS社(デンマークのネットバンク等を行っている民間企業)の子会社であるDanIDが担い、小企業や市民に対して無料で電子証明書が付与されるように、デンマーク政府からDanIDに対して資金的援助がされているなどの情報を得ることができました。

     こうした視察から10年を経た今日、わが国でもマイナンバーカードの多様な活用に向けた検討が本格的に行われつつありますが、これは実にエポックメイキングな動きと言えます。なぜなら、ガブリエルが言う“無法地帯であるネット空間”に住まう住民が、ようやく市民権を得ることができたと言えるからです。

     さて、信頼できる相手であることを証明するもう一つの条件である“本人性”については、まだまだ検討すべき課題は残されていると思います。マイナンバーカードで実在性が証明されても、それを使う人が成りすませばネット犯罪の温床になります。

     実際に韓国では、2008年2月にオークションがハッキング攻撃を受けて、1081万人の会員の住民登録番号(日本でいうマイナンバー)が盗まれるという事件が生じています。また、2008年4月にはハナロテレコムから600万人の個人情報が漏えいした事件も起きています。こうして盗用された住民登録番号は、銀行口座を成りすまし開設してオンライン融資に利用したり、携帯電話や製品やチケットを購入したりという犯罪に使われ、社会問題になりました。

     わが国のマイナンバーは、このような海外で生じた犯罪事例を踏まえ極めて強固に過ぎるほどの対策を講じています(具体的にはこちらをご参照ください)が、一方でネット取引をマイナンバーカードによって行う際には、暗証番号による本人確認に多くを頼っています。すなわち、暗証番号は本人でしか知り得ないという前提で本人性を証明しており、利用者証明用パスワードや署名用パスワードといった重要な暗証番号をマイナンバーカードごと他人に渡してしまえば、キャッシュカードを暗証番号ごと渡すことと同様、成りすまされることは容易に想像ができます。また、暗証番号を忘れてしまうとカードごと再発行の手続きをする必要が生じることにもなります。

     スウェーデンではBankIDと呼ばれるマイナンバーを基盤とした取引銀行固有のIDによる認証が行われています。すなわち、銀行で口座を開設する際にはマイナンバーを登録しますが、その際に銀行が発行するBankIDアプリと登録したパスワードのペアを入手します。口座開設後の取引は基本的にオンラインバンキングで行われ、決済を行う際の本人であることの証明は、銀行が発行する、BankIDアプリとパスワードによってなされるという仕組みです。

     第一暗証に加え、ワンタイムパスワードによる第二暗証を組み合わせる本人確認の仕組みはわが国でも広く行われておりますが、こうした本人確認方法は当人の記憶による暗証番号に加え、BankIDアプリの持ち主が操作を行っている当人であることへの証明手段としては有効だと思います。 韓国では、さらにスマホ購入時に本人であることを証明するキーをスマホ本体に埋め込むといった方法も取られています。これは、スマホのプラットフォームのセキュリティ機能を直接利用するという方法ですが、残念なことにプラットフォーム技術2OS(Operating System)・SoC(System on a Chip)・周辺機器・ファームウェアなど、スマート・デバイスに標準装備された様々なソフトウェアやハードウェアから成り立っている

  3. 2009年の数値は「総務省情報通信白書2013年」、2020年の数値は日本経済新聞記事(2021年1月28日)より採取
error

Enjoy this blog? Please spread the word :)