自衛隊情報漏洩事件・事故の変遷から見る今後のSNS対策
ー漏洩事案の概要と変遷ー
宮永スパイ事件
元調査学校 副校長の陸将補・宮永幸久及び現職隊員2名がソビエト連邦 大使館付GRU の職員に常続的に秘密情報を売り渡した事件。
自衛隊法第59条(守秘義務)違反で1980年(昭和55年)逮捕の後懲役刑を宣告され、防衛庁長官 久保田円次 と陸上幕僚長 永野茂門 が引責辞任。
ボガチョンコフ事件
2000年6月、防衛研究所 所属の海上自衛官(3等海佐)が機密文書2件を無許可で複製しロシア国駐在武官 ビクトル・ボガチョンコフ大佐に手渡したというもの。ボガチョンコフは外交特権 を以って警視庁への同行を拒否し出国、3等海佐は自衛隊法(守秘義務)違反で起訴、懲戒免職 。
本事件を機に自衛隊法 が改正、「防衛秘密」を制定するとともに陸海空の調査隊が「情報保全隊」に改組される(これに伴い「日米相互防衛援助協定等に伴う秘密保護法 」により規定されていた旧「防衛秘密」は「特別防衛秘密」と名称が改められる)。
ファイル共有ソフトによる情報漏洩
2004年(平成16年)以降、陸上自衛隊 ・海上自衛隊 ・航空自衛隊 の各自衛隊員が職場に私物のパソコン を持ち込み、業務に利用していたが、秘密のデータを保存したまま自宅へ持ち帰りWinny その他のファイル共有ソフト を使用したため、Antinny をはじめとする暴露ウィルス に感染する事案が多発。これにより装備品の性能諸元・コールサイン等の軍事機密 情報が漏洩した。漏洩した情報の中には米国からもたらされた軍事機密情報等も含まれていた。
私物PCによる事務作業及び業務データの持ち出しが原因で[1]軍事機密情報が簡単に筒抜けになってしまったことに危機感を持った防衛庁(当時)は2006年(平成18年)2月、軍事機密情報の保守施策として私物パソコンの持ち込みを厳禁としたほか、DELL より40億円分のパソコンを緊急調達し隊員に割り当てた。
しかしその後も内部資料の流出(武器庫内見取り図や部内専用の訓練資料、隊員名簿・住所録等の個人情報 )は後を絶たず、あまりのお粗末な防諜 体制が国内外から懸念され、情報管理体制の強化が課題の一つとなっている。
防衛省1 等空佐の情報リーク事件
2005年(平成17年)5月31日付の読売新聞 朝刊に、中国海軍 の潜水艦 が事故のため南シナ海 で航行不能と報じられた。この記事には米側の極秘情報もあり、情報管理を徹底するよう要請を受けた。これに伴い、陸上自衛隊警務隊 は情報本部 の1等空佐 を自衛隊法違反(防衛秘密の漏洩)容疑で取り調べてきたが、2008年 3月25日当人を東京地検 に書類送検 したことを防衛省が発表した。(同法違反により自衛官が書類送検されたのは本件が初)防衛省によると、記者の取材の手段・方法が、贈賄 や脅迫 など刑事法 に触れる場合、情を通じるなど社会通念上是認できない態様である場合、教唆罪が成立するとされる。捜査は米国側に「情報保全 」への取り組みを示す狙いがあったが、メディア側が必要以上に萎縮する可能性も指摘されている。なお、書類送検された1佐は刑事処分が確定する前に懲戒免職を宣告されたため、不起訴(起訴猶予)となった。
イージス艦情報漏洩
海上自衛隊 第1護衛隊群 (神奈川県 横須賀市 )の2等海曹 がイージス艦 の構造図面などを持ち出した。神奈川県警 と海自警務隊 は極めて秘匿性の高い「特別防衛秘密(特防秘)」に当たるとして、2007年4月4日以降、日米相互防衛援助協定等に伴う秘密保護法 違反の疑いで捜査を進めてきた。これは、1月に2等海曹の中国 籍の妻を出入国管理法 違反容疑で調べた際、同県警が押収した外付けハードディスク (HD)内にイージス艦 の情報が発見されたもの。
当該2等海曹は1995年から1999年に同群所属のイージス艦"きりしま "に所属していた。しかし機関担当で、システム中枢部のCIC(戦闘指揮所 )に入る立場ではなかった。捜査当局は情報の流出元や経路の特定を進めていたが、2007年12月13日、事案の発端となった開発隊群 プログラム業務隊所属(当時)の3等海佐 を逮捕したことが報じられた。特別防衛秘密が含まれていることを認識していた上で情報を拡散させた行為が極めて悪質であるとして、当該3等海佐は初の日米相互防衛援助協定等に伴う秘密保護法違反容疑で起訴(2008年12月に懲戒免職)されたほか、流出の舞台となった海上自衛隊第1術科学校 では一連の事案に係わった隊員5名が書類送検されるという、防衛省・自衛隊創設以来最悪の情報漏洩事件となった。2008年3月21日に防衛省が発表した一連の不祥事に係わる懲戒処分状況[2]によると、本事案に関与した隊員3名(起訴された3等海佐を含む)が懲戒免職 、17名が6日以上の停職 (重処分 )となった。流出した情報には最高軍事機密 とも言うべきレーダー性能の限界や迎撃プログラム、使用する電波帯などがある可能性があり、これは日米間のみならず、同システムを採用する国の安全保障すら脅かすおそれがあり、当時の海上幕僚長 の辞任の一因ともなった。起訴された被告人については2008年10月の横浜地方裁判所 第一審で有罪判決を受け即日控訴したが、2009年12月の東京高等裁判所 において控訴棄却となり、有罪が確定した。事案の発端となった中国人女性は事件発覚後に国外追放されたにもかかわらず、日本に再入国して横浜中華街 に潜伏していたことが明らかになっている。
その他の事案
①2007年 (平成19年)5月14日 、仮想敵国 特殊部隊 への対処法や自衛隊格闘術 の技を指導する陸上自衛隊の内部向けの教育ビデオがYouTube に漏洩していることが判明した。このビデオは全ての自衛隊関係者が教養の一環として視聴するものに過ぎず、機密に属するものではないが、「対抗部隊の構成、武器」「ボウガン 、鈍器 の使用方法」「敵遊撃部隊の前進速度・潜伏要領」「捕虜の取り扱い」「昼間射撃」 「遭遇時の至近距離射撃」「近接戦闘(殺人術)」などを説明。 犯罪を企てる者に悪用される恐れがあるとして、防衛省は公式に遺憾の意を表明した。
②2007年(平成19年)10月19日 の産経新聞 朝刊第一面には海上自衛隊第22航空群 (長崎県 大村市 )所属の1等海尉 が内規に違反して秘密情報を含んだデータをLAN に接続されたパソコン 内に保存していた事を理由に処分されていたことが報じられた。該当データの外部流出は現段階で確認されていないという。海上幕僚監部 では処分内容未公表の理由を「(公表の)基準に満たなかったから」と説明しているが、情報管理体制の不備が未だ改善されていないことに加え、組織ぐるみの隠蔽体質も浮き彫りになったことが伺える。
(Wikipedia)
最近の事案
海上自衛官のSNS利用における情報リテラシーの欠如は、24年6月にビジネスジャーナルサイト『自衛官語る「SNSで防衛機密垂れ流すトンデモ艦長が野放し」』で取り上げ、朝日新聞も『自衛官のつぶやき、取材直後すべて消えた』(朝日新聞デジタル/1月5日)で紹介された。
『自衛官語る「SNSで防衛機密垂れ流すトンデモ艦長が野放し」』全文
SNSをはじめとするインターネット経由で情報流出の可能性は、何も海上自衛隊に限った話ではない。官公庁、民間企業など、どこでも十分起こり得る話だ。
例えば、秘匿性の高い研究も数多く行っている独立行政法人・産業技術研究所に勤務するある研究者は、「SNSへの書き込みにより、自分が予測していない情報流出の可能性がある。なのでSNSへの書き込みは一切行わない」と話す。
こうした流れは、研究機関はもちろん、中央官庁、金融機関、大手民間企業など、責任ある立場にある者の間では、今や当然のものとなりつつある。もちろん防衛省・自衛隊勤務の者も例外ではない。現役海上自衛隊幹部・A氏は次のように話す。
「細心の注意を払ってSNSへの書き込みを行ったとしても、思わぬかたちで情報を流出させたり、諸外国に情報を読み解くヒントを与えてしまうのではとの懸念は拭えない。なので、もうSNSは行わない。もっぱらROM専(Read Only Member。SNSへの書き込みを行わず、閲覧のみを行うこと)です」
海上自衛隊当局も指導へ
事実、関係筋によると、海上自衛隊の「艦艇長講習」などでは、冒頭の本サイト記事も取り上げつつ、SNSを通じた情報流出の危険性について、海上幕僚監部指揮情報通信部長(海将補)名で、現役自衛官たちに対し広く伝えられたという。
しかし、そうした海上自衛隊当局の努力むなしく、FacebookやmixiなどのSNSでは、防衛省・自衛隊のうち海上自衛隊に関する情報だけが、広く漏洩しているのが現実だ。その背景について、前出のA氏は次のように話す。
「そもそも自衛隊には閉鎖的なところがある。中でも海上自衛隊は海上勤務が多く、交友関係もおのずと限られてくる。そのためか、海上自衛官は民間の人との交流をできるだけ持ちたいという思いが強い。どんなに激務でも陸上での勤務が主体で、平日はほぼ毎日自宅に帰れる陸上自衛官や航空自衛官と違い、民間の人との出会いの機会も少ない。そうした海上自衛官心理にぴったり合致したのが、SNSではないだろうか」
A氏がいう「人との出会い」とは、なにも異性との出会いではなく、近隣住民との触れ合いなど、民間企業のサラリーマンが日々経験しているような、ごく普通の日常での人との出会いである。
最高機密のはずの「潜水艦の行動」も丸わかり
さて、海上自衛隊に関する情報のうち、SNS上に流出している情報の一つが「潜水艦の行動サイクル」だ。潜水艦の行動は、各国海軍の中でも最も秘匿性の高いものである。そんな秘匿性の高い情報でさえも、SNSを通して容易に収集できることに多くの海上自衛官が気づいていないところに、この種の問題の根深さがうかがえよう。
【具体例】
<プロフィール>
名前:●(Facebook上では実名)
勤務先:防衛省・海上自衛隊
出身校:海上自衛隊生徒●期
出身地:●県●市(Facebook上では実際の地名)
<書き込み内容>
ー2012年3月12日
同分隊の先輩、生徒先輩の●海曹と神戸で飲み。朝からビールが男らしい。夜は●の●ではっちゃけるぞ!
2012年6月22日
今乗っている潜水艦を退艦することになりました。今度は川崎製です。横須賀に戻ります。神戸の皆様、有難うございました。また近いうちに神戸に戻ります!ー
SNSへの書き込み内容から、「人柄」がわかる?
これだけでも、2012年3月と6月時点で神戸に潜水艦がいたこと、また書き込み者は潜水艦乗員であり、その交友関係や教養、ネットリテラシー、人柄までも十分わかる。
Facebookでは書き込みがされていれば、書き込み者は陸上におり、書き込みがしばらく途絶えれば長期の海上行動に出ていると考えればいい。
しかし、同じSNSでもmixiの場合は、「何分、何日以内にログインした、していない」という表示がなされることから、たとえ書き込みをしていなくとも、ログインした時間には、
「もう陸上で行動している、つまり潜水艦は母港である横須賀、呉、もしくは修理のために神戸などの土地に入港している可能性が高い」
ということが読み解けてしまう。
中国や韓国が自衛官を逆ナンで情報収集?
こうした情報漏洩は、自衛官と付き合いのある民間人により、引き起こされる可能性もあるという。潜水艦乗組経験のある元海上自衛官・B氏は、次のように話す。
「潜水艦が修理のために入る神戸の飲み屋の女の子は、潜水艦乗員と付き合っている者も多い。また乗員全員で行きつけにしている飲み屋の女の子たちが、潜水艦の出入港の様子を写真入りでSNS上にリアルタイムでアップしている例も多々見受けられた。自衛隊員ではない民間人にまで保全意識を求めるには無理がある」
確かに民間人にまで保全意識は求められない。ましてやその民間人が外国人なら、なおさらだ。
「神戸の街には、中国人や韓国人も大勢住んでいる。彼女らが、三ノ宮や元町の飲み屋はもちろん、潜水艦が修理に入る三菱重工業や川崎重工業の神戸造船所付近の飲み屋、コンビニや量販店などで潜水艦乗員を逆ナンパし、親しくなったという話はよく聞く」(神戸市内の飲み屋経営者)
いくら意識の高い自衛官といえども、親しくなった友人には、酔ったいきおいで仕事の内容を話してしまうこともあるかもしれない。
「中国や韓国の軍が、同国の民間人を利用して、日本の自衛官へのこうした接触を通じて、情報収集を行っている可能性もある」(B氏)
との声も聞かれるが、日本の防衛を左右する軍事情報の管理には、一層の注意が必要といえよう。
(文=陳桂華/ITライター)
変遷を見てくると、2005年(平成17年)の1等空佐の情報リーク事件までは、情報の入手を企てる人物が、直接、自衛官に接触して狙った情報を入手していた。その後、イージス艦情報漏洩事件からは、パソコンの普及により情報が簡単にデータ化され持ち運びや保管が簡単になった環境とネットの普及によるデータのやり取りが簡単になったことを受け、管理体制の構築が追いつかなかったこともあり、ファイル共有化ソフトを介して、情報流出が発生した。
現在、この教訓をもとに情報データの管理は厳しくなり、私有パソコンの管理についても一元的に行う体制が整備され一定の成果を上げていた。しかし、平成19年以降、スマートフォンの急速な普及とあいまってSNSの流行が、隊員個人の情報発信を安易にしたため、これまでとは形態の違う情報流出の危機を生み出している。すなわち、サイバー空間における諜報活動である。SNS環境を土俵に情報を持っている自衛官に近づき、ソーシャルエンジニアリング技術を応用して、必要とする情報の入手を図っている。
※「ソーシャルエンジニアリング」
ネットワークシステムへの不正侵入を達成するために、必要なIDやパスワードを、 物理的手段によって獲得する行為を指す。代表的な例として、侵入した企業・組織の従業員になりすましてパスワードを聞き出したり、盗み聞きしたりする行為が挙げられる。ほかにも廃棄された紙ゴミから企業・組織に関する重要情報を読み取るなどの行為もあり、これもソーシャルエンジニアリングの一種である。電話に出た子どもに対して、両親に関する個人情報を聞き出すことも立派なソーシャルエンジニアリングであり、最近よく見られる事例である。
ーSNSの利用実情ー
以下の画像は、約1時間で何名の現職自衛官のFacebookを見つけることができるか実験した結果である。自衛官であることが判明している人物のFacebookを基にして陸・海・空の順に検索していった結果総数44名を確認することができた。
これだけ利用者が見つかるということは、他のSNSも入れるととんでもない人数になり、更に、規制のない予備自衛官や隊員家族も含めれば、その発信数は想像のつかない数に上ると思われる。更に想像すると、発信の中には保全上無視できない発信も相当あると考える方が妥当となる。
(44枚から抜粋)
ーSNSに対する国内評価ー
以下は総務省等のホームページに掲載されているSNSの解説や利用上の注意事項である。
これによると、利用者間のコミュニケーションを可能にするツールとの認識を示しつつも、個人情報の公開に注意を喚起している。
また、次々に発表されるSNSの新機能についても紹介し、その中に見える危険性についても注意を喚起し、対策を紹介している。
仕組みから利用上の注意及び最近の状況について、関係文書を全文を転載する。
SNS (ソーシャルネットワーキングサービス)の仕組み
SNSは、ソーシャルネットワーキングサービス(Social Networking Service)の略で、登録された利用者同士が交流できるWebサイトの会員制サービスのことです。友人同士や、同じ趣味を持つ人同士が集まったり、近隣地域の住民が集まったりと、ある程度閉ざされた世界にすることで、密接な利用者間のコミュニケーションを可能にしています。最近では、会社や組織の広報としての利用も増えてきました。
多くのSNSでは、自分のホームページを持つことができ、そこに個人のプロフィールや写真を掲載します。ホームページには、公開する範囲を制限できる日記機能などが用意されていたり、アプリケーションをインストールすることにより、機能を拡張したりすることもできます。その他、Webメールと同じようなメッセージ機能やチャット機能、特定の仲間の間だけで情報やファイルなどをやりとりできるグループ機能など、多くの機能を持っています。さらに、これらの機能はパソコンだけではなく、携帯電話やスマートフォンなど、インターネットに接続できるさまざまな機器で、いつでもいろいろな場所で使うことができます。
最近では、SNSの1つとして提供されることもある、利用者同士が交流しながら遊べるソーシャルゲームも普及しています。
SNSは、とても身近で便利なコミュニケーション手段であると言えますが、最近ではアカウントの不正利用や、知り合い同士の空間であるという安心感を利用した詐欺やウイルス配布の被害に遭うなどの事例が発生しているため、注意が必要です。
また、友人間のコミュニケーションを目的としてSNSを利用している場合であっても、プライバシー設定が不十分であったり、友人から引用されることなどにより、書きこんだ情報が思わぬ形で拡散する危険性もあります。インターネット上に情報が公開されていることに変わりはないということを念頭に置いて、書き込む内容には十分注意をしながら利用することが大切です。
情報発信の際の注意
近年、個人がホームページやブログ、SNSなどを通じて、インターネット上で情報発信をすることが一般的に行われるようになりました。自分の考えや日常生活などを手軽に多くの人と共有できること、また多くのサービスの場合、自分の投稿に対する読者からの反応をすぐに確認できることなどが、利用者にとっての大きな魅力になっています。
その一方で、これらの情報発信に際して、さまざまなトラブルも起きています。ここでは、インターネットを利用して情報発信をする際の注意点、トラブルと対策について説明します。
ここでは、ブログやSNSなど、インターネット上で既に提供されている専用プラットフォームを利用して情報発信を行う場合を想定しています。自宅に自分自身でWebサーバを設置して、インターネット回線に接続している場合には、さらに多くの情報セキュリティ対策が必要となりますので、情報管理担当者の情報セキュリティ対策 などを参考にしてください。
個人情報の公開の危険性
インターネットで公開した情報は、いろいろな人が閲覧する可能性があります。そのため、インターネット上で、氏名、年齢、住所、電話番号、自分の写真といった作成者自身の個人に関する情報を公開することの危険性について、きちんと認識しておかなければなりません。
たとえば、住所や電話番号が公開されていれば、そのホームページを見た人があなたに興味を持って、自宅の周りをうろついたり、電話をかけてきたりといったストーカー行為を行うかもしれません。また、公開している個人情報を収集され、迷惑メールや振り込め詐欺などの別の犯罪に利用される可能性もあります。
そのような被害から身を守るためには、何よりもインターネット上では、むやみに個人に関する情報を公開しないようにすることが大切です。最近は、検索技術の向上により、たとえあるサイトで公開している情報が断片的なものであっても、インターネット上のさまざまな情報を組み合わせることで、あなた個人を特定する情報を探し出すことができる可能性が高くなっています。また、一度インターネット上に公開された情報が、コピーにより拡散していった場合、それを完全に削除することは困難です。
以上のような観点から、個人に関する情報の公開の判断は、非常に慎重に行うべきです。さらに、自分以外の家族や他人の個人に関する情報を、本人の許可なく掲載することは、厳に慎まなければなりません。
個人に関する情報の公開にあたって、問題となりやすい事例と対策には、以下のようなものがあります。なお、自分の個人情報が他人に書き込まれた場合の対策については、「ネットを使ったいやがらせや迷惑行為 」のページを参照してください。
ネットストーカーによる被害
インターネットの世界においても、実社会と同様にストーカー被害が急増しています。現実世界でのつきまといや、取得された個人情報が他のWebサイトへの誹謗中傷などに利用される場合があります。こうした被害が深刻な場合には、最寄りの警察に相談しましょう。
SNSと個人情報・プライバシー
SNSのような、基本的には特定の友人だけに公開しているサイトの場合であっても、個人に関する情報の公開には注意が必要です。SNSのプライバシー設定が不十分であったり、友人側の操作などにより、自分の意図しない範囲まで情報が広まってしまう事例が発生しています。SNSとはいっても、インターネット上に個人に関する情報を公開していることにかわりはなく、自分の手の届かないところへ拡散していく危険性があるということを念頭に置いて、投稿内容を判断すべきです。
また、特にSNSの場合、写真などの投稿により、友人のプライバシー情報を公開することになる点にも留意が必要です。どの情報を他人に公開しても良いと考えるかの基準は、人により異なります。友人に関する情報を掲載する場合には、事前に許可を取ることを原則とするべきでしょう。
メールアドレスの公開
ホームページなどでは、問い合わせ先としてメールアドレスを掲載する場合がありますが、公開しているメールアドレスには、大量の迷惑メールが送られる事例が多く発生しています。Webサイト上で公開されているメールアドレスを自動的に検索・収集するプログラムが存在し、悪用されているためです。これへの対策としては、まずは、公開用のメールアドレスには、普段利用しているメールアドレスとは別の専用のアドレスを用意しましょう。そして、上記のプログラムに検知される確率を少なくするため、「@」を「atmark」などと表記する、メールアドレスを画像ファイルとして表示するなどの対策が有効です。Facebook に注意!「公開」はトラブルの元
Facebookには安易にプライバシーや友人の情報を書いてしまう人が多い。検索によって外部から見られたり、外部のブログに埋め込まれる可能性があるので注意したい。
「Yahoo !リアルタイム検索」の驚異的な検索機能
Yahoo!リアルタイム検索の結果画面。FacebookとTwitterの投稿が、ほぼリアルタイムで検索できる
右の画面はYahoo!JAPANの検索画面だが、2年前にスタートした「Yahoo!リアルタイム検索」というサービスだ。この検索サービスは、スピード・質ともに驚くべきものだ。
あるキーワードで検索すると、キーワードが含まれたFacebookの書き込み、Twitterのツイートが、ずらっと表示される。しかも新しい書き込みをリアルタイムで更新していく。現在の書き込みがほぼすべて見えるリアルタイム検索サービスなのである。
Facebookの検索結果に限ってみると、書き込み本文はもちろんのこと、書き込んだ人の実名(Facebook上の氏名)も表示される。実名が出ると言うと、ちょっと驚くかもしれないが、機能上は何の問題もない。というのは、表示される投稿は、Facebookで「公開」になっているからだ。友達以外の誰でも見られる「公開」だから、検索で表示されても問題はないはずである。
ところが設定をよく考えずに「公開」のままでFacebookに書き込んでいる人がいる。個人の行動、プライバシー、中傷に近い投稿、他人の顔が映っている写真などの投稿だ。ほとんどの人は「友達」に限定しているが、初期設定を「公開」にしている人は、深く考えずに個人情報などを含んだ投稿をしてしまっているのだろう。
今まではあまり問題にならなかった。というのは、Googleなどの検索結果では、Facebookの投稿があまり表示されなかったからだ。ところがYahoo!リアルタイム検索を使えば、公開の投稿ならすべて表示され、かつ実名も見えてしまうのである。Facebook投稿の公開範囲は変更すべきだろう。
Facebook 投稿のブログ埋め込みでトラブルも?
Yahoo!リアルタイム検索の結果画面。FacebookとTwitterの投稿が、ほぼリアルタイムで検索できる
もう一つ、8月22日から提供された「Facebook投稿の外部ブログ埋め込み機能」についても注意が必要だ。今まではFacebookでは、個別の投稿を外部に貼りこむことはできなかった(一部のユーザーを除く)。しかし8月22日から、公開の投稿はすべて外部のブログに埋め込みできるようになったのである。
右の画像は、Facebook埋め込みの実例だ。筆者のブログ記事に、筆者のFacebook投稿を埋め込んでいる(「Facebookをブログに埋め込みできるように。勝手に埋め込みされないよう注意を:ライター三上洋事務所」) 。「いいね!」ボタンはブログ上でクリックすることが可能だ(コメントやシェアはFacebook本体に飛ばされる)。もちろん他人の投稿を埋め込むことも可能で、公開になっている投稿なら、誰の投稿でもブログに表示できる。
これもしくみ上は問題はない。元のFacebook投稿が「公開」になっているのだから、他で表示されても文句はないハズだ。しかしながら上のブロックで書いたように、安易に公開のままで個人情報を書いたり、誹謗中傷に近い投稿をしてしまっている人がいる。一部の人には、Facebookは友人しか見えない、という先入観があるからだ。
このFacebook投稿の外部ブログ埋め込み機能の問題点について、ネットサービスに詳しいウェブメディアパイロットの小崎真一氏が以下のように指摘している。
●ブログ記事「Facebookの埋め込みモード解禁によるいい点、心配な点」での指摘(小崎真一氏)
・「いいね!」をした人の名前が晒される。これを嫌がる人がいるかもしれない。
・Facebookに個人情報を安易に書いてしまう人がいるので、それがさらされる可能性がある
・Facebookだと、友人しか見てないような錯覚に陥って、誹謗中傷を書いて炎上してしまう可能性がある
・TogetterとNAVERなどのまとめサービスで、Facebookの投稿を使えるようになるかもしれない
このうち、見逃しがちなのが、いいね!した人の実名が出る点だ。いいね!はFacebook上のアクティビティ(行動)になるが、このアクティビティを公開にしていると、いいね!をした人の実名(Facebook上の氏名)が出るものと思われる。
また今後は、安易な投稿と行動で「炎上(不祥事でネット上で爆発的に注目・批判を受けること)」が起きた場合、Facebook上の投稿が利用される機会が増えそうだ。
Facebook の投稿・アクティビティの公開範囲は「友達」に
この問題について、セキュリティ大手・マカフィーが「Facebookで簡単に検索されてしまう、あなたの個人情報」 という警告を出している。
それによると「本人だけでなく家族の行動まで簡単に把握され、家を数日間留守にすることなども分かってしまう危険性がある」として、安易な投稿に注意を呼びかけている。Facebookの投稿から、他のサイトのログインで使われる「秘密の質問」の内容を推測される場合もあるとのことだ。
これらのトラブルを防ぐには、以下の設定をしてほしい。
●Facebook投稿の公開範囲は「友達」に
パソコンでFacebookにアクセスし、右上の設定マークをクリックし「プライバシー設定」を選択。「私のコンテンツを見ることができる人」の「今後の共有範囲」を「友達」にする。公開したい場合は、個別の投稿時に変更すればよい
●いいね!で実名を出したくない場合
あまり気にする必要はないと思うが、「いいね!」で実名を出したくない人は設定しよう。パソコンでFacebookにアクセスし、自分の氏名をクリックしてタイムラインを表示。上にある「基本データを編集」をクリック。基本データのページを下にずっとスクロールすると「いいね!」の一覧が表示されるので、右上の鉛筆マークをクリック。「プライバシー設定を編集」を押すと、ジャンルの一覧が表示されるので、公開範囲をすべて「友達」にする
Facebookの「いいね!」の公開範囲設定1:自分の氏名をクリックしてタイムラインを表示。上にある「基本データを編集」をクリック。基本データのページを下にずっとスクロールすると「いいね!」の一覧が表示されるので、右上の鉛筆マークをクリックし「プライバシー設定を編集」を押す
Facebookの「いいね!」の公開範囲設定2:ジャンル1つずつの設定を「友達」にする
いいね!の設定は面倒なのでしなくてもいいだろうが、投稿の公開範囲は変更することを勧めたい。(ITジャーナリスト・三上洋)
(2013年8月23日 読売新聞)
ー自衛隊関係者がSNSに投稿した個人情報ー
以下は、自衛隊関係者がSNSに投稿した情報の画像である。情報に関する専門教育を受けた人物であれば、ターゲットとする自衛官について、ターゲットが自ら投稿した各種SNSの情報を分析し、ターゲットの基礎情報、趣味趣向、人間関係及び利用価値まで判断することが可能となるであろう。
現に、このレポートを作成している筆者でも、ターゲットを絞れば相当の個人情報が入手可能と思われる。
ちなみに、以下の情報は、筆者の個人情報を出さずに入手した物である。
※データとして保存してあるが、内容に配慮するため画像で掲載した。
ー民間研究機関の調査結果ー
以下は、社会問題化しているSNSに関しての民間3団体の研究成果である。特にJPCERTの研究結果は示唆に富んでおり全文を掲載した。
JPCERT CCの報告
SNSの特性とそれが招く危険性
SNS は、電子メールやブログなどの旧来のインターネット上の通信メディアと比べて、 次に述べるような特性をもち、そうした特性ゆえに発生する危険性を伴っていると考え られる。
3.1. 個人情報の公開とそれが招く危険性
SNS 上では、コミュニケーションを拡大するため、同窓生や同郷の人など共通の体験や 趣味をもつ利用者を検索して見つけ出し、SNS 上での自分のコミュニティに加えるため の機能が提供されている。こうした機能により他の利用者から発見してもらえるよう、 SNS 利用者は登録時に一定の個人情報の提示を求められる。Facebook や LinkedIn など 一部の SNS では、実在する個人を特定できるような情報も求められる。Facebook では 実名を公開することが条件であり、LinkedIn においては実名のみならず、勤務先の法人 名や学歴に関しても公開される。SNS により細かな差異はあるものの、SNS を利用する にあたっては、多かれ少なかれ個人情報を提示することと引き換えに、気を許した発言 ができる「仲間内のコミュニケーションの場」が実現されているのである。
SNS 利用の前提となっている個人情報の開示が、本人が想定していた以上の公開性を帯 びてしまう可能性があることに注意をしておく必要がある。その原因の一つは、開示し た情報の閲覧範囲の制御に関する利用者の誤解や操作ミスである。その中には、閲覧範 囲のデフォールト設定が途中で SNS 提供事業者により変更され、利用者がその影響に気 付いていない場合も含まれる。
さらに、開示した複数の情報を組み合わせることにより、あるいは、それらをインター ネット上の公開情報や SNS などを通じて入手できる他の情報と組み合わされることに より、対応する物理的な存在を一人に絞り込むことができるなど、本人が元々想定して いた以上に立ち入った個人情報を他人に知られる可能性がある。
3.2. 利用者がもつ種々の人間関係の表現とそれが招く危険性
SNS 上でのコミュニケーションでは、「同じ SNS 利用者の A さんと私は B 大学の同窓 生である」とか「私は C 社でアルバイトをし始めた」などのように、しばしば利用者相 互間や特定の法人との関係が記述される。発信者は他人に知られても構わないとの判断を行った上で、こうした関係性を公表するのであるが、その記述の中で言及される他人 や組織にとっては公表されたくない内容が含まれている場合があり得る。
さらに、関係性の記述を引用したメッセージを他の利用者が発信することにより、元の
記述を行った利用者が意図していた範囲の外側にいる利用者にまで情報が伝わる可能性
もある。
3.3. 利用者間の信頼関係とそれが招く危険性
SNS 上でのコミュニケーションでは、通信相手が友人またはその知人に限られていると の安心感があり、そのために、受け取ったメッセージを善意に基づくものと信じ、機微 な情報についても大胆に表明するといったように、警戒感の水準を下げて行動する傾向 がある。しかしながら、種々の要因により、SNS 上のコミュニティ内にも悪意を持った 者が入り込んでいる可能性がある。
利用者が気心の知れた仲間ならばと考えて SNS で公開している情報も、悪意をもった部 外者にとっては、普通では簡単に入手しがたい攻撃相手の周辺の人間関係を掌握できる
表 1: SNS で公開している情報が悪用される例
情報:情報の悪用(例)
基 本 プ ロ フィール氏名:標的型攻撃
顔写真:誘拐、ストーキング
住所:誘拐、空き巣、ストーキング
生年月日:パスワードの推測
電話番号:パスワードの推測
メールアドレス:IDの推測、標的型攻撃
勤務先:標的型攻撃
出身校:同窓生を詐称
家族構成:誘拐、空き巣、炎上
交際:炎上、ストーキング
趣味・関心:標的型攻撃
友達:標的型攻撃
時系列で表示される情報:誘拐、空き巣、ストーキング、標的型攻撃
友達へ送信する情報:マルウエア・フィッシングのURL
利用者全員へ公開する情報:マルウエア・フィッシングのURL、炎上
アプリケーション:標的型攻撃
位置情報:誘拐、空き巣、ストーキング
お気に入り:マルウエア・フィッシングのURL
という意味で、ソーシャルエンジニアリング攻撃を仕掛けるための貴重な参考情報にな り得る。例えば、基本プロフィールで公開している法人名や所属部署をもとに、攻撃者 が法人情報や関係者情報を収集し、利用者プロフィールを公開している本人や同僚に成 りすまして、ソーシャルエンジニアリングを仕掛ける恐れがある。また、公表されてい る生年月日や電話番号などの情報は、ログイン・パスワードを推測するヒントになり得、 推測に成功すれば不正アクセスにつながる恐れがある。多くの SNS で公開されている情 報のうち悪用される可能性が考えられるものを、それぞれの悪用のシナリオを添えて表 1 に掲げる。悪意をもった者が、他人によって投稿された情報にアクセスして入手するだけの場合に も生ずるリスクについて上で述べたが、さらに、能動的に情報発信を行う場合について 考えられる危険性について次に述べる。利用者は、SNS で送られてきたメッセージを無 条件に信用する傾向がある。図 に示した「ソーシャルネットワークサービス利用に関す るセキュリティ意識調査」では、面識のある友人・知人からのメッセージを「特に気に せずクリックする」と回答した人は、「同意する」・「やや同意する」を合わせると約80%に達している。このため、SNS 上で友達や仕事関係者を騙る攻撃者からメッセージ が届けば、利用者は特に注意することなくメッセージに書かれているリンク先にアクセ スしたり、添付ファイルを開いたりすると考えられ、マルウエアに感染するリスクが著 しく高いと言える。
図 4: SNS 利用中のメッセージ内のリンクに対する意識
出典:「ソーシャルネットワークサービス利用に関するセキュリティ意識調査」
3.4. サービスの連携とそれが招く危険性
昨今の SNS で提供されるサービスは、様々な外部サービスと連携している。たとえば、 GPS の位置情報をもとに現在地情報を提供する「foursquare」や、ランニングやサイク リングの記録を管理し、SNS 上で共有・提供できる「RunKeeper」などがある。このよ うなサービスは、単独でもサービスの提供が可能ではあるが、付加価値を高めるなどの 目的で SNS と連携して実現されているものもあり、利用者の情報が SNS 提供事業者以 外のサービス事業者に提供されている場合がある。
SNS の機能は年々進化し、かつ複数の事業者が提供している様々なサービスとの連携を 始めている。攻撃者は、サービスが連携している点を悪用し、次に例示したような攻撃 を仕掛けてくるかもしれない。
チェックイン機能を悪用した攻撃例
Facebook のチェックイン機能「スポット」のような現在の位置情報を提供するサービス を使うことで、SNS 上にリアルタイムで位置情報を表示することができる。SNS 利用者
1http://jp.trendmicro.com/jp/about/news/pr/article/20110819013710.html
がこのようなサービスを利用していた場合、攻撃者は利用者の位置情報を SNS から把握 し、現在地や行動パターン、更には仕事上の取引先などをも把握するかもしれない。
短縮URL
短縮 URL とは、URL の文字列を短く変換する機能2である。Twitter のような投稿文字数 に制限があるサービスでは、文字列の長い URL を貼り付けると本文を書き込めなくなっ てしまうことがあるため、短縮 URL が利用される。
短縮 URL は、リンク先の Web サイトのドメインが表示されないため、悪用されやすく、 短縮 URL から不正な Web サイトに誘導され、マルウエア感染やフィッシング攻撃を受 ける可能性がある。シマンテック社が SNS 上の不正な Web サイトに繫がる URL を調査 したところ、その 65%は短縮 URL であった。3
顔認識機能
顔認識機能は、顔写真の画像データから人物を特定する機能で、すでにソフトウエア製 品として市販されている。こういった顔認識機能は、昨今では、犯罪者やテロリストを 逮捕する手段として捜査当局に採用されたり、一部の SNS においてサービスに組み込ま れたりしている。また、法人において、顔情報がパスワード代わりのセキュリティトー クンとして利用されている例もある。
シマンテック社へ取材したところ、「最近は写真だけで誰かを特定するアプリケーショ ンがある。それがあれば、街中にいる人物を撮影し、SNS を悪用し、個人情報を収集す るというストーキングのような活動も可能になってしまう」と、将来的に顔写真が悪用 される可能性もあるという。加えて、同社のブログでは、顔認識ソフトウエアを使った 悪用事例も紹介されている。
カーネギーメロン大学の研究論文「Faces of Facebook: Privacy in the Age of Augmented Reality」によると、安価なハードウエア(35 ドルの Web カメラとスマートフォン) を使用するだけで、出会い系サイトに登録されている利用者の身元を特定したり、カー ネギーメロン大学のキャンパスを歩く人々を SNS 上で特定したりすることができた。ま た、市販の顔認識ソフトウエアを使用して、ある人の社会保障番号を割り出すことさえできた。この研究は、今後大きなプライバシーの問題が生じる可能性を示唆している。
NPO日本ネットワークセキュリティ協会
別冊情報セキュリティーインシデント報告参照
システム監査学会情報セキュリティ対策の診断研究プロジェクトSNSリスクリテラシー研究会
下記資料を別添で参照
ー自衛隊の取り組みー
防官広報第2916号「部外に対する意見発表の際の手続きの徹底について(通達)」(21.3.12)陸幕総第246号「部外に対する意見の発表に関する手続きの徹底について(通達)」(21.3.23)等により、部外への意見発表に関して手続きが厳格化したものの、現実には無許可でのSNSへの投稿は、日々増加傾向にある。
秘密保全及び情報保証における各種施策により、業務関係の資料等に対する保全性は各段に向上しているが、今後SNSを通じておこる断片的情報流出に対しての対策は皆無と言ってよい状態が継続している。
ここまで読んでいただきありがとうございます。
SNSは便利で優れたツールです。
しかし、この世は 善人ばかりではない 背負う国も違う 正義は人の数存在する。
これからの時代を生きる人は妄想力をもっと鍛えるべきだ。
この記事が気に入ったらサポートをしてみませんか?