IT & Information security Journal
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
嶋村 直登
森・濱田松本法律事務所外国法共同事業 弁護士
当社では、ウェブサイトに登録したユーザーに対して、様々なサービスを提供しています。先日、何者かが正規のユーザーになりすまし、ウェブサイトに不正ログインしたことが判明しました。この場合、サービス提供者として、正規のユーザーにどのような対応をしていくべきでしょうか。
正規のユーザーには、法的な義務がある場合はもちろん、そうでない場合にも、さらなる被害拡大を防ぐため、不正ログインがあったことを通知しましょう。
加えて、不正に他人のアカウントにログインした者がどのような活動を行っていたのかを調査し、発見された不正な活動や漏えいした情報の内容に応じて、問合せ窓口やFAQの準備、補償や損害賠償の要否の検討など、個別に対応を考える必要があります。
「なりすまし・不正ログイン発生時の個人情報保護法対応、関連法令と刑罰」(以下「前回記事」といいます)では、正規のユーザーになりすました不正ログインが判明した場合の個人情報保護法に基づく対応や、成立しうる刑事罰について整理しました。
本記事では、サービス提供者によるユーザーへの対応として、被害拡大の防止のための措置、被害状況の確認・調査、調査結果に応じたユーザーへの通知、その他の対応方針の検討などについて解説します。
まず、不正ログインが確認された場合には、緊急的な対応として、さらなる被害の防止の措置をとる必要があります。
なりすましが判明したアカウントはもちろん、それに基づいてほかにもなりすましが疑われるアカウントが発覚した場合には、それらのアカウントの一時停止を検討することになります。また、アカウント停止のほか、暫定的な措置として、当該アカウントに関するパスワードを強制的にリセット等することも考えられます。さらに、サービスに対する大規模な不正ログインの兆候が確認できた場合には、個別のアカウントではなく、サービスそのものの一時停止を検討する必要が生じることもあります。
なお、不正ログインの原因がリスト型攻撃(※)であると疑われる場合には、一時的にアクセス元IPアドレス群からの通信をブロックするといった対処も考えられます。
(※)リスト型攻撃:ユーザーが同じID・パスワードなどの組合せを複数のサイトで使いまわしていることを利用して、あるサービスから漏えい等して流通してしまっているログイン情報の組み合わせのリストを用いて、ほかの様々なサービスでの不正ログインを試みる手法。
正規のユーザーになりすまして、不正に他人のアカウントにログインした者(以下「不正ログイン者」といいます)が、そのウェブサイトで行う活動は、そのウェブサイトで提供されているサービスの内容次第で、様々なものが想定されます。
次の表は、その典型例をサービスごとに示したものです(これ以外の活動をしないという趣旨ではありません)。
| サービス内容 | 不正ログイン者の活動例 |
|---|---|
| 商品・サービスを購入できるウェブサービス |
|
| ネットバンキングサービス |
|
| ポイントを貯め・使用できるサービス |
|
| Eメール送受信サービス |
|
| SNS(ソーシャルネットワーキングサービス) |
|
| 顧客情報の管理サービスやストレージサービス |
|
| ウェブメディアの有料会員向けサービス |
|
このように、不正ログイン者の活動は多岐にわたります。そして、実際に生じた被害に応じて、ユーザーへの対応方針が変わることから、早急に事実関係を調査し特定することが求められます。
また、なりすましによる不正ログインとして検知・認識したものが1件だけであったとしても、特にリスト型攻撃の場合、多数のID・パスワードのセットを用いて不正ログインを試行することも多いことから、同様の不正ログインの被害がほかのユーザーに発生していないかどうかも調査する必要があります。
不正ログイン者が、ウェブサービス上に登録されている正規ユーザーの個人情報にアクセスした場合、または、そのおそれがある場合には、そのアクセスには「不正の目的」がうかがわれることから、個人情報保護法に基づき、個人情報保護委員会等に対する漏えい等報告および本人に対する通知を実施する必要が出てきます(前回記事参照)。
また、前回記事で触れたとおり、なりすましによる不正ログインは、リスト型攻撃によって行われているケースが多く、そのような場合、ID・パスワードのセットがほかのサービス等からすでに漏えいしています。ほかのサービス等のID・パスワードで不正ログインできてしまうということは、そのユーザーが、当該ID・パスワードのセットを、さらにほかの複数のサービスで使い回している可能性が高いです。したがって、仮に法的な義務としての本人通知が不要であっても、さらなる被害拡大を防ぐため、なりすましによる不正ログインがあった場合には、ユーザーに通知を行うことが望ましいところです。
不正ログインされたユーザーの数が多数にのぼる場合、本人への通知を契機として、ユーザー等からの問い合わせの数も多くなることが予想されます。そのような場合、サービス提供者として各問い合わせに対して矛盾した回答をしないよう、統一的な問合せ窓口(コールセンターなどを含む)を設置し、想定される質問への回答を準備しておくことが考えられます。
それに加えて、必要に応じて、インターネット等を通じて事実関係やよくある質問(FAQ)を公表することで、ユーザーに対する説明を行うこともあり得ます。
不正ログイン発生時におけるサービス提供者による公表文のサンプル(実際の公表例を元に筆者にて作成)
〇〇サービスにおける不正ログインのお知らせ
2024年6月〇〇日
お客様各位
平素は〇〇サービスをご利用いただき、誠にありがとうございます。
この度、2024年6月〇〇日(〇)に、弊社が提供する〇〇サービスにおきまして、外部からの攻撃による不正ログインが発生いたしましたので、お知らせします。
弊社は、今後もお客様に安心してご利用いただけるよう、安心安全なサービスの運用に努めてまいりますので、引き続き、ご愛顧賜りますよう宜しくお願い申し上げます。
サービス提供者のセキュリティ対策の不備などが原因となって、なりすましなどの不正ログインが発生した場合、よく議論となるのは、ユーザーに対して損害賠償を行うべきかどうかという点です。この問題は、次に説明するように、ユーザーにどのような被害が生じているかに応じて検討する必要があります。
また、必ずしもサービス提供者に一方的に責任があるとは評価されないケースもありえます。たとえば、なりすましによる不正ログインの手法がフィッシングであった場合には、偽サイト上でIDやパスワード等の情報を入力してしまったユーザーの過失が考えられますし、リスト型攻撃の場合、ユーザー側のID・パスワードの使い回しが主な原因です。そのような場合にまで積極的に補償や賠償をすべきかどうかは、とりわけ慎重な検討を要すると考えられます。
ユーザーの氏名、住所などの情報が漏えいした場合の対応として、過去には、ユーザーに経済的損失が発生していなくても、ユーザーに対して、サービス提供者側から500円程度の金券を配布した事例が散見されました。また、氏名、住所などの個人情報が漏えいした事案に関する裁判例においても、サービス提供者側に1人あたり1,000円~3,000円程度の損害賠償の支払を命じたものがあります 1。他方で、近年では、金券を配布する事例はあまり見られません。
金券を配布するかどうかは、その漏えいに関するサービス提供者の責任の有無および大小、漏えいした情報の内容および規模、社会的な注目の状況などを踏まえて個別に判断することになるでしょう。ただし、一般論としては、ユーザーが現実に金銭的な損害を被ったわけではないこと、損害賠償の算定について明確な計算式があるわけではないこと、法令上要求されているものではないこと、そして、金券の配布はサービス提供者に大きな金銭的負担を伴わせるもの 2 であることなどから、金券の配布には、基本的には慎重であるべきと考えられます。
他方で、不正ログインを契機として、ユーザーに経済的な実損害が発生してしまった場合には、状況に応じてその損害の補償や賠償を検討する必要があります。
補償・賠償の内容としては、たとえば、クレジットカード情報が漏えいしたために、ユーザーがクレジットカードの再発行を余儀なくされた場合の再発行にかかる費用等が考えられます。
ほかにも、金銭的な価値を有するポイントサービスに不正ログインがあり、ポイントが使われた(何らかの商品と交換されたなど)場合には、不正に使われたポイントの補償・賠償を検討する必要があると考えられます。
なりすましによる不正ログインは、ユーザーの行動に起因するケースも多く(パスワードの使い回しを原因としたリスト型攻撃など)、サービス提供者側でどのように再発防止策を策定するかは悩ましい点も多いです。
たとえば、IDとパスワードで認証されるシステムであれば、二段階認証または二要素認証を導入することが考えられますが、これらは、ユーザーの利便性を落とすリスクもあるため、強制的に利用させるのではなく、オプションとして実装したうえで利用を推奨するケースもあります。
また、不正ログインがあった場合にユーザーがそれをただちに検知できるように、ログインした際の電子メールによる本人への通知機能を実装することで、被害の拡大を防ぐこともあり得ます。
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野とする。サイバー攻撃対策として、事前の体制整備等の取組、攻撃を受けてしまった後の被害拡大防止のための事後対応について豊富な知見を有する。元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。総務省、警察庁、経済産業省などで有識者委員を歴任。近時の著書として、「クロスセクター・サイバーセキュリティ法」(商事法務NBL連載)、『情報刑法I サイバーセキュリティ関連犯罪」(弘文堂、2022年)、『60分でわかる!改正個人情報保護法超入門』(共著、技術評論社、2022年)ほか多数。
嶋村 直登
森・濱田松本法律事務所外国法共同事業 弁護士
情報処理安全確保支援士。CIPP/E/US。ウェブサイトやアプリケーションのプログラミングの経験と、複数のIT企業での執務経験を活かし、サイバーセキュリティ、個人情報、生成AI、フィンテック、知的財産、消費者保護等の分野でテクノロジーにまつわる法律問題を解決に導いた豊富な経験を有する。2022~2024年グーグル合同会社出向、2016~2018年ソフトバンク株式会社出向。ニューヨーク州およびカリフォルニア州弁護士。お茶の水女子大学および日本女子大学講師。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
