米国SECは17億ドルの暗号資産ピラミッド計画「ハイパーファンド」創設者とトッププロモーターを詐欺容疑で起訴 詐欺的な暗号資産スキームに対する厳しい警告

　米国の証券取引委員会(SEC)は1月30日、世界中の投資家から17億ドル(約2,499億円)以上を調達したハイパーファンド(HyperFund)として知られる詐欺的な暗号資産ねずみ講(pyramid scheme)に関与したとして、シュエ・サムエル・リー(Xue Samuel Lee a/k/a Sam Lee )別名サム・リー）(35歳)とブレンダ・インダ・チュンガ(Brenda Indah Chunga Brenda Chunga)別名ビットコイン・ボーティ）(43歳)を起訴した。

　今回のブログはSECのリリースの解説を中心に置きつつ、法執行機関がゆえに説明内容が限定されていることから、読者をロースクールの学生レベルを確保すべく、米国のJURIST等ロースクールの解説に準じつつ、補完的説明を試みた。

　なお、筆者は2020年7月9日付けブログで、FBIの証券詐欺の詳しい解説を行うとともに、2021年9月6日ブログで今回と同様の暗号資産のねずみ講詐欺事件につき解説している。

１．SEC起訴リリースの詳細

　SECの訴状によると、リー氏とチュンガ氏は2020年6月から2022年初めにかけて、ハイパーファンド(Hyper Fund)の「会員制」パッケージを宣伝し、ハイパーファンドの想定される暗号資産マイニング事業やフォーチュン500企業との提携などから投資家に高い収益を保証すると主張した。しかし、訴状が主張しているように、リー氏とチュンガ氏は、ハイパーファンドがねずみ講(pyramid scheme)(注1)であり、投資家から受け取った資金以外に本当の収入源がないことを知っていたか、あるいは知らなかったという無謀な行為であった。結果、 2022年、ハイパーファンド計画は崩壊し、投資家は出資額の引き出しができなくなった。

　メリーランド州地区の連邦地方裁判所に提出されたSECの訴状は、リー氏とチュンガ氏を連邦証券法の詐欺防止および登録規定に違反した罪で告発している。訴状は、①被告がマルチ商法や暗号資産の提供に参加することを妨げる行為に基づく恒久的な差止めによる救済(permanent injunctive relief)、②不正に得た利益の剥奪(disgorgement of ill-gotten gains)および判決前の利益(prejudgment interest)(注2)、および③民事罰(civil penalties)を求めている。

 　チュンガ氏は告訴に対し和解し、今後の告発条項違反やその他の特定の行為を永久に禁止され、将来裁判所が決定する額の不正に得た利益の剥奪(disgorgement of ill-gotten gains)および判決前の利益(prejudgment interest)および民事罰を支払うことに同意した。この和解には裁判所の承認が必要となる。なお、 リー氏に対する告訴は今後訴訟される予定である。

　これと並行して、メリーランド州連邦検事局は1月30日、リー氏とチュンガ氏に対する刑事告訴を発表した。 チュンガ氏は証券詐欺と電信詐欺(注3)(注4)(注５)の共謀について有罪を認めた。

２．SEC 起訴の根拠法と条文

　SEC起訴状にもとづき以下で補完的に解説する。

1933年証券法第20(b)条, 20(d), and 22(a) of the Securities Act, 15 U.S.C. §§ 77t(b)、 77t(d), and 77v(a)

1934年証券取引所法Sections 21(d) and 27(a) of the Exchange Act, 15 U.S.C. §§ 78u(d) and 78aa(a).

３．米国の証券詐欺規定の概観

　証券詐欺:法律と罰則についてローファームEisner Gorin LLPの解説等から抜粋、仮訳する。

(1)証券詐欺とは何か?

　「セキュリティ(security)」という用語は、地方債、企業株、紙幣、投資契約など、さまざまな種類の投資を含む幅広い用語である。証券詐欺は、これらの投資の1つに関与している誰かが、金銭的な優位性を得るために嘘をついたり、騙したり、盗んだりしたときに発生する。証券詐欺はホワイトカラー犯罪と見なされ、個人だけでなく、専門の金融アナリスト、証券ブローカー、企業、さらには政府機関による活動も含まれる。

(2)証券詐欺に関する州法および連邦法

　連邦政府は、証券取引委員会(SEC)を通じて、証券詐欺の起訴を担当する主要な政府機関である。ただし、各州には、証券詐欺に関する独自の法律と独自の州証券委員会もある。証券詐欺犯罪は州または連邦法にもとづきどちらかで罰せられるかもしれないが、 彼らはしばしば 連邦犯罪として起訴される。

2つの主要な連邦法—「 1933年証券法」と「1934年証券取引法」は、証券詐欺事件が起訴される主要な連邦法である,

(3)主な証券詐欺の種類

①株式と証券に関する不実表示(Misrepresentation)

　最も単純なレベルでは、証券で利益を上げることは、証券の現在の価値を知り、その価値が将来どうなるかを判断することにかかっている。証券の価値がどうなるかを知っているトレーダーは、その将来の価値から利益を得るように設計された投資を行うことができる。状況によっては、人は虚偽の記述や不実表示を行うことによってセキュリティの価値を操作しようとすることができる。たとえば、ソーシャルメディアで会社について故意に虚偽の 記述を行うブローカーは、株式への予想される影響から利益を得るために、証券詐欺を犯す。

②インサイダー取引

　会社に関連付けられており、一般には公開されていない情報を知っていて、証券を売買して利益を上げようとする人は 多くの状況でインサイダー取引を行う。たとえば、企業の人物が会社の株式を売買し、その活動を証券規制当局に適切に報告する場合など一部のインサイダー取引は合法であるが、 他の形のインサイダー取引は違法である。

　たとえば、会社で働いていて、いったん明らかになると会社の株価が変わる秘密を知った場合、その情報を合法的に使用して証券を取引することはできない。その情報を使用して取引を選択した場合、あなたは証券詐欺の罪を犯したことになる。友人にその情報について話し、友人が取引を行った場合、当該友人も証券詐欺の罪を犯したことになる。

③チャーニング(過剰な取引) Churning

　チャーニングは、ブローカーにより多くの手数料または手数料を生み出すことを意図して、クライアントに過度の取引に従事するよう説得する証券ブローカーの取引慣行をいう。ブローカーは受託者であり、ブローカーはクライアントの最善の利益になることを行う法的義務があり、ブローカーの利益のみに行動してはならないということである。ブローカーがチャーニングに従事するときは、彼または彼女はクライアントの最善の利益を念頭に置くことに失敗し、代わりにブローカーまたはブローカーに利益をもたらすためだけに取引を行うものである。

****************************************************************************

(注1) 米国の証券詐欺とは何か?　FBIの解説等をもとに、仮訳する。

　証券詐欺には、株や商品の売買、取引における虚偽の表示が含まれる。証券詐欺とは、株式、取引、または投資における窃盗、横領、または偽りのふりによる窃盗を含む広範な用語である。 米国の有価証券には、株式、企業の金銭的利益、手形や利息証書などが含まれる。 証券詐欺事件の種類には次のようなものがある。なお、筆者独自に補筆する。

①インサイダー取引(Insider trading)

②ねずみ講(Ponzi schemes) ：基本的に、ポンジスキームは投資詐欺で新しい投資家から集めた資金を昔から投資をしていた投資家に支払うようになっている。このようなスキームの問題は、最後の方の投資家にはまったく支払いがなされないことである。

③ポンプアンドダンプ方式(Pump-and-dump schemes)：安く購入した株式をより高い価格 (ダンプ) で販売するために、虚偽の誤解を招く肯定的な記述 (ポンプ) によって所有する株式の価格を人為的につり上げる証券詐欺をいう。スキームの運営者が過大評価された株式を「処分」（売却）すると、価格が下落し、投資家は損失を被る。

④前払い手数料詐欺(Advance processing fee scams)：通常、少額の前払いと引き換えに被害者に多額の金銭のかなりの部分を約束し、詐欺師らはその支払いが多額の支払いに使用されると主張する。被害者がお金を支払った場合、詐欺師は被害者に支払わせるために一連の追加料金をでっち上げるか、そのまま姿を消す。

⑤株価操作(Stock manipulation)

➅有価証券報告書詐欺（Financial report fraud）

⑦証券会社による横領(Embezzlement by stockbrokers)

⑧不正会計詐欺(Accounting fraud)

⑨インターネット詐欺(Internet fraud)

⑩高利回り投資詐欺(High-yield investment fraud)

⑪ねずみ講(Pyramid schemes)：そのスキームに参加するメンバーに対して報酬や支払いを約束するだけでなく、そのメンバーが新しいメンバーを誘うことに対しても報酬や支払いを約束するビジネス形態をいう。

⑫前払い金詐欺(Advance fee schemes)：貸付、契約、投資、ギフトなど、より価値の高いものを受け取ることを見越して被害者がお金を払い、その見返りはほとんどない、または、まったくないという時に発生する詐欺。

⑬外国為替詐欺(Foreign currency fraud)：外国為替市場での取引で高い利益が期待できるとトレーダーを騙すために使用される取引スキーム。外国為替市場はよく言ってもゼロサムゲームである。 言い換えれば、あるトレーダーが勝てば、別のトレーダーは負けとなる。ただし、FXはすべてのトレーダーのパフォーマンスから仲介手数料やその他の取引コストが差し引かれるため、マイナスサムゲームである。

⑭　Late Day Trading：時間外に取引を実行し、その日の市場取引の終了前に実行されたかのように記録する方法をいう。レイトデイ・トレーディングでは、他の市場参加者がトレーディング時間中に利用できなかった可能性のある市場情報をトレーダーが使用できる。

　深夜の取引に従事することは重罪であり、そうすることは証券詐欺の民事上および刑事上の告発につながる可能性がある。

(注2) ”prejudgment interest”につき、筆者ブログ参照。

(注3) 18 U.S.C§ 1343-連邦電信詐欺法Fraud by wire, radio, or television

解説文及びDOJ解説文を抜粋、仮訳する。

　電信詐欺とは、あらゆる種類の電子通信を使用して犯罪を犯すことと定義される。通信が州の境界線または国境を越えた場合、電信詐欺は連邦犯罪として起訴される。この法律は、被告が州間通商で電信通信を送信することにより、偽装を使用して金銭または財産を詐欺または取得するスキームを考案したことで有罪判決を受けた場合、厳しい罰則を科す。

　しばしば Wire Fraud やMail Fraudは同じ事件で起訴される。(注4)特に、加害者は有罪判決を受けるために意図された犯罪を完了する必要はない。つまり、“試みられた“Wire Faud”詐欺は、完了したものと同じペナルティが科される。

１．Wire Fraud成立の要素

(1)詐欺のスキームまたは巧妙さ、 (2)被告が自発的かつ意図的に別の金銭を詐欺する計画を考案または参加したこと。 (3)被告が詐欺の意図(mens rea)(注5)で実際に行ったことたこと、 (3)州間電信通信が使用されることが合理的に予見可能であったこと。 (4)州間電信通信が実際に使用されたこと。

２．Wire Fraudの具体的手口例

①Work-at-home schemes：インターネットで宣伝した在宅勤務高収入スキーム

②Fraudulent online：偽の投資機会を提供する詐欺オンライン

③Phishing scamsフィッシング詐欺： 不正な電子メールを送信して、パスワード、クレジットカード番号, および社会保障番号などの個人情報を開示するように人々を欺くなど、アカウントへの不正アクセス権を取得する。

④Telemarketing fraudテレマーケティング詐欺： クレジットカード情報を放棄するよう説得するために隠匿している人々に電話をかけるなど,

⑤False radio or TV ads：虚偽のラジオまたはテレビ広告：メデイアを利用して 存在しない、または著しく誇張された製品を販売する。

３.Wire Fraudの罰則

18 U.S. Code § 1343 - Fraud by wire, radio, or televisionの条文を仮訳する。

　高額な罰金や連邦刑務所での最長20年の拘禁刑が科せられる。また、被告は銀行のような金融機関に関係している場合、被告は最高30年の拘禁刑または罰金最高100万ドル(約１億4700万円)が科せられ、またはこれらの併科もある。

　特に、上記の文はWire Fraudの各訴因(カウント)に適用され、すべての個別のカウントは刑務所でかなりの時間を追加する可能性があり,たとえば、複数の被害者との10件の個別のWire Fraudで有罪判決を受けた場合、被告は最大200年の拘禁刑が科せられる。

(注4) Mail FraudとWire Fraudの明確な法的区別についてはサイトを参照されたい。

(注5)ラテン語“mens rea”とは「犯罪の意図」(故意)を指す。 ラテン語からの直訳は「罪深い心」である。 メンズレア(“mens rea”)とは、特定の犯罪で特定の被告に有罪判決を下すために法的に必要とされる精神状態をいう。 刑事裁判で有罪を証明するには、通常、犯罪行為（犯罪の身体的要素）に加えて、犯罪者の“mens rea”)領域を確立することが必要である。 検察は通常、被告が有罪の精神状態で犯罪を犯したことを合理的な疑いを超えて証明しなければならない。 かつて連邦最高裁ホームズ判事が「犬でも、つまずくことと蹴られることの違いは知っている」と意図の概念を説明したのは有名である。

　“mens rea”の要件は、人は罪の意識を持ち、自分の違法行為を認識していなければならないという考えを前提としている。ただし、被告は、犯罪を犯すために自分の行為が違法であることを知る必要はない。むしろ、被告は「自分の行為が犯罪の定義に適合する事実」を認識していなければならない。(Cornell Law Schoolの解説から抜粋、仮訳)

***********************************************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

「ニューヨーク州金融サービス局(NYDFS)のサイバーセキュリティ・コンプライアンス規則制定の意義と企業における今後の取組課題」

　Last Updated：  April 19.2019

　8月28日、筆者の手元にニューヨーク州金融サービス局(NYDFS)を受けたローファーム・サイト:Cyber Breach Centerからメール記事が届いた。当日が、米国の州として第一号となるサイバー・セキュリティ・コンプライアンス規則の第一次遵守期限であり、第二次遵守締切はさらに６か月以内とするもので、改めてその内容を解説するものである。 

　ニューヨーク州のNYDFSのサイバーセキュリティ規則「NEW YORK STATE :DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500 ：CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES 」

は、2016年12月28日に公布されたもので、NYDFSの規制対象企業やサイバーセキュリティのリスクに直面する企業にとって重要なものであり、筆者もその重要性は十分に認識していた。

　同規則案については、わが国ではニューヨーク州弁護士(Pillsbury Winthrop Shaw Pittman LLPパートナー) 奈良房永氏が「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016　Legal Wire blog)」で取り上げている。

　州立法の第一号ということもあり、内容の範囲の広さ、遵守に当たり検討すべき具体的な課題、さらには第三者たる委託先との関係等「効果的技術促進による反テロリズム支援法：Support Anti-terrorism by Fostering Effective Technologies Act:）(以下、「安全法)」 (注1)の適用可能性等、同弁護士が指摘している通り、今後の他州への影響だけでなく、これらの課題の検討はわが国の金融機関でも決して無視しえないこれからの重要課題といえる。 

　今回のブログは、ニューヨーク州のNYDFSのサイバーセキュリティ規則の内容、立法・運用上の課題等について、概観を試みるもである。 

１．2016年12月28日、ニューヨーク州金融サービス局のサイバーセキュリティ規則(REGULATION)案を最終更新した旨のリリース

　2016.12.28 ニューヨーク州金融サービス局リリース「DFSの問題は、消費者や金融機関を保護する提案されたサイバーセキュリティ規則(REGULATION)案を最終的に更新した。合衆国で第一号となるこの規則案は、テロ組織やその他の犯罪企業から消費者データおよび金融システムを保護することを目指す」の内容を以下、仮訳する。 

　本日、マリア T. ヴロ(Maria T. Vullo )NYDFS局長 (注2)は、ニューヨーク州金融局（Department of Financial Services：DFS）がサイバー攻撃の脅威から常にニューヨーク州民を守るために提案した第一次サイバーセキュリティ規制案を最終的に更新したと発表した。2017年3月1日に発効する予定のこの法案は、DFSによって規制されている銀行、保険会社、およびその他の金融機関に対し、消費者を保護し、ニューヨーク州の金融サービス業界の安全性と健全性を確保するためのサイバーセキュリティプログラムを確立するものである。

 　ニューヨーク州民は、信頼できる銀行、保険会社、その他の金融機関が機密情報のセキュリティとプライバシーを確保するために必要な手順を安全に処理し、確立していることを確信できなければならない。この更新された規則案は、規制監督対象金融機関が最終的になる前に規則内容を見直し、システムがサイバー脅威に関連するリスクを効果的かつ効率的に満たすことができることを確実にする適切な検討期間を許容するものである。

　DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関して提出されたすべてのコメントを慎重に検討し、DFSが最新の草案に適切であると示唆した。 DFSは、以前のコメントプロセスでは提起されなかった新しいコメントについて、30日間の最終的なレビューの間に焦点を当てる。 

　DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関し提出されたすべてのコメントを慎重に検討し、DFSが最新のドラフトが適切であると示唆した。DFSは、元のコメントプロセスで以前には提起されなかった新しいコメントについて、最終的なレビューに焦点を当てた。

更新提案された規則案は、2016年12月15日にニューヨーク州公報局に提出、12月28日に公開され、30日間の通知およびパブリックコメント期間に続いて最終確定される。

２． NYDFSの規制対象となる金融機関へのサイバーセキュリティー規則の特定の条項の第一次遵守期限などの通告の内容と意義

　NYDFSの告示

 

「NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 

23 NYCRR 500 ：CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES 」

の内容を以下、仮訳する。 (注3) なお、規則の正確な理解のため、適宜条文を追記した。 (注4)

　本日、 NYDFSのサイバーセキュリティー規則(以下「規則」という)の特定の条項を遵守するために、ニューヨーク金融サービス局（NYDFS）によって規制対象となる金融機関への第一次遵守期限日であることを告げる。 

　「規則」は、NYDFS規制対象企業やサイバーセキュリティのリスクに直面している企業にとって重要な出来事である。具体的には、次の事項の組み合わせである。

（1）具体的なサイバーセキュリティ要件（アクセス・コントロールなど）、（2）上級役員・シニアレベルの認証義務、（3）72時間以内の通知義務要件の独自の組み合わせは、サイバーセキュリティの規制と期待に永続的な影響を与える可能性がある。本規則の対象金融機関は現在、次の措置を講じている必要がある。 

① 最高情報セキュリティ責任者（Chief Information Security Officer ：CISO）の指名(Section 500.04 Chief Information Security Officer)。 

② サイバーセキュリティプログラム、サイバーセキュリティ・ポリシー、事故対応計画に必要な要素の実装。

③ 情報システムに対する規制されたアクセス特権の明確化(Section 500.07 Access Privileges)。

④ 必要なサイバーセキュリティ・スタッフが確保されていることの確認(Section 500.10 Cybersecurity Personnel and Intelligence)。

⑤ 特定のサイバーセキュリティ・事故が発生してから72時間以内にNYDFSに通知するように準備ができていること。(Section 500.16 Incident Response Plan.)(Section 500.17 Notices to Superintendent )

　また、規則では、金融機関は「リスク・アセスメント(Section 500.09 Risk Assessment.)」を実施することが求められているが、その遵守期限（CISOの取締役会への報告、研修トレーニング(Section 500.14 Training and Monitoring.)、侵入テスト(penetration testing)(Section 500.05 Penetration Testing and Vulnerability Assessments)、多要素認証(multifactor authentication)(Section 500.12 Multi-Factor Authentication)の対応の遵守期限とともに）は、2018年3月1日ではない。その「リスク・アセスメント」と規則に定められている多くの義務との関連性を考慮すると、多くの金融機関は2018年2月15日までに完了しなければならない認証プロセスにそのリスク・アセスメントを含めることを目指している。 

　72時間以内の通知要件を求めるサイバーセキュリティ事故には、次のものが含まれる。

①他の政府機関、自主規制機関、監督機関に通知することを要求する事故。

②あなたの会社の通常の業務のいかなる部分にも重大な損害を与える妥当な可能性を作成する事故。 

　その他、本規則を直接遵守義務を負うNYDFS規制対象金融機関以外にも、数千社の受託ベンダーがこの規則を遵守する必要がある。なぜなら、規則の定めにより、それら金融機関がベンダーに規則の則った要件を課す義務があるからである。 

　すなわち、より広義にいうとは、2017年6月15日に開催した「NYDFSのサイバーコンプライアンスに関するのWebキャスト」で議論されているように、本規則はサイバーセキュリティの関係業界ベストプラクティスになる可能性がある。その結果、直接的に規則に従わない多くの企業ども、様々な理由によりNYDFSの要件を満たしていると言えるようになりたいと考えている。 

３． 奈良房永氏が指摘されるNYDFS規則の主な内容、課題といえる問題

(1)前述した「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016　Legal Wire blog)」で取り上げている内容を中心に、筆者なりにフォロー、補足して説明する。 

Ａ．この規則の対象となる組織

　この規制は、対象となる組織を銀行法、保険法または金融サービス法に基づいて、免許、登録、設立、認証、許可、認可などを受けて運用されているすべての法人、と定義しています。但し、適用除外として、過去3年につき、顧客数が平均1,000人以下、年間総所得が各年500万ドル以下、年度末総資産が1,000万ドル以下の場合は、適用対象外となっている。(Section 500.19 Exemptions.)

 Ｂ． サイバーセキュリティ計画全体について、年に最低一度は取締役会（またはそれに同等の経営組織）で見直した上

　で、上級幹部役員による承認を受けなければならない。 

Ｃ． 事故対応計画を作成し実行する。 

Ｄ．最高情報セキュリティー責任者（CISO）を設け、半年に１度、会社のサイバーセキュリティの全体的状況を、取締役

　会またはこれに同等する場に報告しなければならない。 

Ｅ． 対象組織はサイバーセキュリティ担当者を雇うか、「資格のある第三者を利用して要件を満たす」ようにしなければ

　ならない。 

Ｆ． 年に１度の侵入テストとリスク評価に加え、四半期毎の脆弱性評価と定期的な訓練を実施しなければならない。 

Ｇ． サイバーセキュリティの監査記録は少なくとも6年保管しなければならない。 

Ｈ． サイバーセキュリティ計画は、アプリケーションソフトやアプリについてセキュリティ対策を施すものでなければな

　らない。 

Ｉ． 取引関係にある第三者のサイバーセキュリティ方針と手続きは、正式に記録として残さなければならない。第三者の

　セキュリティー方針は、最低限次の要件を満たさなければならない。

＊第三者取引先のサイバーセキュリティのリスク評価

＊第三者取引先が従うべきサイバーセキュリティ手順を特定し、これを遵守しているかについてのデューデリジェンス

＊第三者取引先セキュリティ対策の年次見直しと評価

＊第三者取引先との契約には下記項目を含むこと

　・マルチファクター認証の採用

　・暗号化

　・サイバーセキュリティ事故発生時の即時通報

　・第三者取引先のサイバーセキュリティ体制に対する監査を実行する権利

　・第三者取引先から規制対象組織に提供されるサービスと製品がサイバーセキュリティの脅威に対応している旨の、当

       該第三者による表明保証

　・システムとアプリケーション開発およびその品質保証

　・警備・施錠設備および空調設備 

Ｊ．「サイバーセキュリティ事故」（既遂、未遂に関わらず、また成功・不成功に関わらず、情報システムおよびそのシ

　ステムに保存されているデータに対する不正なアクセス、妨害、不正操作と定義される）は、その発生から72時間以内

　にDFSに報告されなければいけない。 

(2) 規則の適用、遵守、運用にあたり考えられる課題

① 「サイバーセキュリティ事故」の定義があまりにも広い。

② 第三者取引先のサイバーセキュリティ規則遵守に責任を持つことはほとんど不可能といえる。

４．筆者から見た今後の検討課題

　筆者は従来からサイバーセキュリティ問題として、EUのサイバーセキュリティ指令やこれを受けた国内法立法例としてドイツの動きを取り上げている。再度、引用する。

(1) 2016.8.31 ブログ「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)を採択と今後の課題」(その

　１)」、「同(その2完)」 

(2) 2014.9.1 ブログ「ドイツ連邦内務省等がEUのNIS指令等に準拠するサイバーセキュリティ法案の新バージョ ン草稿を公開」 

　ニューヨーク州の規則をこれらと比較すると対象となる範囲が大きく異なる点は言うまでもないが、これらを比較した検討作業がわが国でも行なわれるべきであることは必須であるし、筆者も引き続き何らかの寄与ができれば幸いである。 

*********************************************************************************

(注1) いわゆる「安全法（Support Anti-terrorism by Fostering Effective Technologies Act: 効果的技術促進による反テロリズム支援法」）は、賠償責任を限定・管理するための法律で、2002年国家安全保障法の一部として成立した。

2002年、国土安全保障法（Public Law 107-296）の一環として、連邦議会は、「2002年効果的技術促進法（以下「安全法」という）による反テロリズム企業支援制度を創設した。この安全法は、テロ対策技術の開発と展開にインセンティブを与えるリスク軽減と訴訟回避システムを作り出すことにある。この法律の目的は、企業の賠償責任を負うことへの脅威が、効果的なテロ対策技術の潜在的な製造業者または売り手が人命を救う可能性のある技術の開発および商業化を阻止しないようにすることにある。このプログラムは、DHSの科学技術局(Science and Technology Directorate)8/31(21) の安全法部が管理する。科学技術局次長は、安全法の適用にかかる決定責任者であるである。(DHSサイトの原文をもとに翻訳ならびに補足を行った)

 (注2) ごく一般的説明ではあるが、DFSのサイトから局長の任務に関する説明文を仮訳しておく。

　局長は、保険法および銀行法の規定に従い、金融商品およびサービスのよりよい監督を行うために次の任務を行う。

① ニューヨーク州での金融業界の発展を促進し、思慮深い規制と慎重な監督を通じた州の経済発展を促進する。

② 金融商品やサービス提供者の持続的な支払い能力(solvency)、安全性、健全性、慎重な行動を確保する。

③ それら提供者の財務上の義務につき、公正でタイムリーかつ衡平な履行を確保する。

④ 金融商品やサービスの利用者につき、それらサービスに関し、金銭的に損失を受けた業者または破産した業者から保護

　する。

⑤ 誠実さ、透明性、公正なビジネスの実践および公的責任につき高い基準を推進する。

⑥ 金融業界の金融詐欺、その他の刑事上の不正行為や非倫理的行為を排除する。

⑦ 金融商品とサービスの利用者を教育、保護し、また金融商品やサービスに関する責任ある意思決定を行うためのタイム

　リーかつ理解可能な情報をユーザに提供する。 

(注3) 奈良房永氏のレポートから「『規則』の要旨」部を一部抜粋する。

　2017年より、対象となる企業は、広範囲にわたるサイバーセキュリティ計画および方針の設定、トレーニング体制、リスク分析と脆弱性評価、事故対応能力、およびその他の管理体制を構築することを求められています。さらにこの規則はサイバーセキュリティに関する方針、手順そしてさまざまなテスト計画と評価を定期的に行い、更新するよう求めています。 

(注4) ”23NYCRR500”について、protiviti「サイバーセキュリティ規制（概要）ニューヨーク州金融サービス局　23NYCRR500」が詳しく解説している。

*****************************************************************

Copyright © 2006-2017 芦田勝(Masaru  Ashida）．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．  

 

警察庁有識者会議が警察によるISPに対する“Tor”利用行為の通信遮断要請の具体化の勧奨報告書

　オーストラリアの人権擁護NPO団体“Electronic Frontiers Australia Inc.(EFA)” から手元に届いたニュースに、毎日新聞英字版や日経新聞の記事に基づく警察庁有識者会議の提言内容が紹介されていた(注1)。有識者会議の報告書の内容は非公開(注2)なため、不本意ながらその内容はメデイア記事のみに頼らざるを得ない。

　今回のブログは、この問題に関するEFAのプライバシーに対する懸念・問題指摘をまず紹介するとともに、Torの実施・運用NPO団体である“Tor project .org”が欧米主要国の法執行機関・警察や関係機関との相互認識強化に関する情報を改めて提供するものである。特に後者の問題は有識者が“Tor system”につき、いかほど正確に把握しているか不透明であり、その意味でも報告書の早い公開が必須なことは言うまでもない。

１．EFAの課題指摘の内容
　同レポートを仮訳しておく。

・日本の警察庁(National Police Agency:NPA)は、自国のISPに「自発的に」Tor（インターネットを匿名でサーフィンするため広く利用されている有名なシステム）(注3)の使用を妨害するよう、明らかに依頼している。

　NPA（それはTorシステムを悪用している犯罪を防止するための措置を調べていた）に向けた専門家による議論は、4月18日のレポートでサイト管理者の裁量のブロッキング・パソコン通信がそのような犯罪を防止することに効果的であるとしていると編集した。同会議の推奨に基づいて、NPAはインターネット・プロバイダー産業界や他の団体にその旨を自発的な努力をするよう求める。

　これは、極端に危険な過剰反応といえる。確かに、一部の人々は、違法な行為の目的で、Torの匿名性を悪用する。まさに一部の人々が悪いことをするために「現金の匿名性」を悪用するのと同じである。

　しかし、そうであるからといって、我々はこのため「現金」を非合法化しない。人々には彼らの個人識別(アイデンティティ)を保護するためのTorのような匿名化(anonymizing)しているツールを捜す多くの正当な理由がある。彼らが警察で組織犯罪または汚職に関して警告を鳴らすホイッスルブロアーであるならば、どうであろうか？。それが犯罪行為のために使われているという恐れに関しては、それは、警察が他の手段によって彼らを特定することができないことを意味しない。我々は、彼らが犯罪を犯しているとき、再三再四、人々がデジタル・トラック情報を他の方向に向け混乱させる事例を見た。事実、それは生命を警察にとってより難しくする。そして、それは彼らが実際の捜査活動をしなければならないことを意味するが、まさに、それが彼らの仕事なのである。

２．Torの国際的は法執行機関等との深まる協議の内容
(1)ここからが、本ブログで筆者が言いたいポイントである。有識者会議がこれらの各国の法執行機関との協議内容を十分に検証した上での今回の勧奨報告であればまだしも、いかに「拙速のそしり」という非難を指摘されることはいうまでもない。

　他方、筆者はこの問題に対する極めて多くの「2チャンネル」での非難を支持するものではない。まさに冷静な対応が必要な問題であると思うのである。したがって、ここでは、Tor systemにつき詳しく論じることは行わないが、少なくとも彼らが行う欧米主要国の警察や法執行機関、関係機関等の会議、研究会への積極的な参加や意見交換の概要につき紹介する。
　少なくとも、わが国でもこれらに準じた手続きを経たうえでの勧奨行為が当然と考える。

(2) Tor systemの運営幹部であるロジャー・デングルディン(Roger Dingledine)のブログ解説がやや冗長かつ専門家向けのため、説明不足の感はあるが、具体的な内容なので概要を仮訳する。

Roger Dingledine氏

　2013年 1月、ジェイク(Jacob Appelbaum, Advocate, Security Researcher, and Developer)と私(Roger Dingledine, Project Leader, Director, Researcher) (注4)は、オランダの地方警察や国家警察、およびベルギーの国家警察と間でTor　system につき説明や協議を行った。また「Bits of Freedom」に対する短いが感動的な対話だけでなく、オランダの国家サイバーセキュリティ・センター(National Cyber Security Centre ：NCSC)の2013年次会議の閉会の基調講演を行った。

　あなたは私の側の得意な点の一つとして、最近のTorに関する法律の施行方法を教えてきたことを思い出すかもしれない。我々は、2012年10月にはTorについてFBIの会議で説明するとともに、過去では2008年3月にドイツでのデータ保持について議論されたときにドイツ・シュトゥットガルト警察の訪問については、私の以前のエントリーしたブログを参照してほしい。

　この「Torブログ」を始める前、Torにつき私は米国司法省と数回にわたり、またノルウェー警察の特別犯罪捜査局(Kripos)との協議を行った。

　今、オランダ警察は第一に2011年に起きた「DigiNotar被害」(注5)でぴりぴりしているので、オランダ警察に対しTorの話を進める良いタイミングである。しかし、彼らはどの国かわからない外国のコンピュータに侵入し合法化する彼らの2012年の法規制強化の野望があった（私は、彼らはすでにそれをやったので、合法的であると言う！）

　以下に、私に印象を与えたそこでのいくつかの論点がある。

•私は、オランダの地域警察署から約80人に対話を開始した。どうやら各地域の警察グループは、基本的に1人以上のサイバー犯罪者を抱えており、ほとんどすべてのそのためTorを学ぶようになった。これらには、Torのケースを処理する方法についての彼らは警察グループの助言人なので、正確にExoneraTorのようなサービスについて知っておく必要があるのである （それは彼らの仕事が簡単になったため、その後、国家警察の一つはTorについて地域警察を教えたことに心から我々に感謝した）。

・オランダ警察との対話中に繰り返し登場した１つの問題は、次のような内容である。
：悪い男が、誰かが彼のドアのところに現れたときにもっともらしい否認を行うため、Torの「出口ノード(Exit relays)」(注6)を実行したらどうなるか？

　私が最初に考えたのは警察の注目を減らすためTorの出口ノードを実行することは狂気の沙汰である。
　あなたは無視したい場合、あなたは悪いことをするボットネットか何かを利用する必要があり、誰もそれを学びませんし、それは、あなたにとってすべての終わりです。
　我々はTorにつきおよそ地球上のすべての法執行者を教育するまでは、常にこれまでのTorが何であるかを知らなくても、容疑者リスト上のすべてのIPアドレスを襲撃する人々が存在する。彼らについての興味深い発見の第二点は、Torのリレーがディスクにすべてのトラフィックを書き込むことはないということであった。もし容疑者は彼のハードドライブ上の悪いものを持っており、それがためにTorリレーのせいであるというのはうそである。もちろん、ディスクの暗号化は、状況を複雑にする（我々は、出口に関しディスクの暗号化の使用は勧めない）。

・私は、ベルギーの警察との間で彼らのインターネットのフィルタリング行為は "検閲"ではないという問題に関し議論に入った。私の経験では、それが起動する方法は、幾人の議員は、インターネット上でフィルタリングを正当化する非常に恐ろしい何かを決めることである。その次に、彼らは禁止事項のURLのリスト（一部完全に非透過的な方法で）を用意すべく準政府組織に委譲する。必然的に、このリストにはフィルタリングを設定するための元々の理由よりも、コンテンツのより多くの種類が含まれている。そして必然的に、あなたがそれにあってはならない場合は、リストから降りるメカニズムの救済システムは全くない。ベルギーの警察はURLのみの小さなセットをフィルタリングすること、これらの問題の各々は、議論され、透過的に民主的な方法で決定されていること、さらに、警察は準政府機関にリストについて何を教えていないだろう私に保証した。

*************************************************************************************************************************

（注1) このようサイバー犯罪からみの問題をいつも真っ先に取り上げる夏井教授主催グループのブログ(Cyberlaw)は、4月22日付けでこの問題を取り上げ、有識者会議の姿勢を批判している。
　なお、英国のIT専門メディア”Wired co.uk”が4月9日の記事、やフランスのIT専門メディア“ZDNet.fr”が4月22日の記事でこの問題を取り上げているが、いずれも毎日新聞の記事を引用しているのみである。

(注2)筆者は、なぜがゆえに警察庁が有識者会議の報告内容をあえて 非公開とするのかが不明である。この程度の内容が非公開とすべきであるとも思えないし、そもそも有識者会議の目的や意図は何かさらには専門委員構成等、大いに疑問である。

　弁護士(元検事)の落合洋司氏の「日々是好日」の4月18日付けのブログが「警察庁がISPに対し“Tor”の通信遮断を要請」と題してこの問題を取り上げている。落合氏が指摘しているとおり、「どこの『有識』者が、こういうことを提言しているのか知りませんが、警察の提灯持ちや露払いに堕するのもいい加減にしておかないと、せっかくの『有識』（何の有識か知りませんが）が世界的な物笑いの種になりかねません（こんなもの(報告書)を出してくるようでは、そうなったほうが良いような気もしますが）」は、納得のいく的確な指摘であると思う。

(注3)  毎日新聞は“Tor”記事の中で、次のとおり簡単な用語解説を行っている。
「◇の略で、タマネギ（ｏｎｉｏｎ）の皮のように何重にも暗号がかけられていることから名付けられた。９０年代に米海軍の研究機関が秘密裏に情報交換するために開発。このシステムを使う世界中のパソコンの中から無作為に選ばれた３台が経由地になる。通信記録が残らないように設計されているため発信元の追跡は不可能とされる。」

(注4) Roger Dingledine氏は、TorのProject Leader, Director, Researcherである。外部に向けたアグレッシブな活動内容は興味を引くものである。例えば、YouTube：29C3: The Tor software ecosystem (EN)(2013年1月19日録画)を見てほしい。プログラム参照。なお、“29C3”は、2012年12月27日から30日にかけてドイツ・ハンブルグで開催されたカンファレンスである「29th Chaos Communication Congress（29C3）をさす。

(注5) オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。

　この被害は2011年8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オランダ政府でも利用されていた。
　SSL証明書は、自分がアクセスしている先が確かに「本物である」ことを確認するために利用される。もし証明書そのものが不正に発行されれば、本物のサイトと不正なサイト、フィッシングサイトなどを見分けることができない。通信を暗号化していても、それが第三者に筒抜けになってしまう可能性があるし、アクセス先を信用して、ユーザーIDやパスワード情報を入力してしまったり、マルウェアをインストールしてしまう恐れがある。
　この事態を受け、ブラウザベンダは即座に対策した。DigiNotarの証明書を信頼リストから外し、無効化した新バージョンを相次いでリリースしている。」 @IT記事から一部抜粋。
　
(注6)Torの「出口ノード（Exit Relay）」に関しては「ネットワーク経路を複雑化・追跡困難にするTorってどんなもの？」(netbuffalo)が図解入りで説明している。また、Tor自身がLegal FAQ で詳しく説明している。

　同FAQの主要部分のみ仮訳する。
「出口ノード」とは、それらからの出口でノードのIPアドレスにまで遡ることができるトラフィックから 脱出できるという特殊な問題を引き起こす。(出口ノードは目的のWebサイトからすると、アクセス元のIPアドレスとして見えるが、もちろん本来のトラフィック送信元アドレスではない)

　我々は出口を実行することは合法であると信じるが、それは出口ノードがいくつかの点で民事訴訟や法執行機関の注目を集めることが違法な目的に使用されることを統計的には認めねばならぬ可能性がある。
　出口ノードは非合法とみなされ、トラフィックが中継のオペレータに起因する可能性があるためトラフィックを転送してもよい。あなたはそのリスクに対処することを望まない場合、ブリッジまたは中間リレーはあなたのためのより良い方法といえるかもしれない。これらのノードは、インターネット上で直接トラフィックを転送しないし、そう簡単に伝えられるところでは違法コンテンツの起源元と誤解されることはない。

　Torのプロジェクト・ブログでは、できるだけ少ないリスクと終了を実行するためのいくつかの優れた提言をしている。我々は、あなたが出口ノードを設定する前に、これらのアドバイスを確認することを示唆する。

＊私は私の家からの出口ノードを実行する必要があるか？

いいえ。もし法執行機関等は、出口ノードのトラフィックに興味がなくなった場合、官吏あなたが使用するコンピュータを押収することが可能である。そのため、それはあなたの家またはご自宅のインターネット接続を使用して、出口ノードを実行するのは最善ではない。その代わりに、Torを支持している商業施設で、出口ノードを実行することを検討してほしい。あなたの出口ノードのために別々のIPアドレスを持っているし、それを通るルート独自のトラフィックのため、別々のIPアドレスを持つべきである。もちろん、あなたの出口ノードをホストしているコンピュータ上に機密情報や個人情報を保持することは避けるべきであり、またあなたは違法目的のためにそのマシンを使うべきでない。

＊私は、出口ノードを実行していることを私のISPに伝えるべきか？

はい。あなたは、出口ノードを実行していることを知っていて、その目標に関しあなたをサポートしてTorに理解があるISPがあることを確認してください。これは、あなたのインターネット・アクセスが原因で虐待の苦情にカットオフされていないことを確認するのに役立つ。 Torの支持グループ特にTorに精通しているISPは、同様ではないものとともに仲間のリストを保有している。
（以下、略す）

**********************************************************************************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

米国初のボット・ネッツ犯人が逮捕され有罪を認める

　2006年1月23日にコンピュータ・システムをハイジャックし、また大量のスパムを送りつける「ボット・ネッツ」（bot nets）（注1）犯罪を犯した事件で、20歳の男が連邦検事局に対し国防総省など連邦政府機関のシステム破壊の事実ならびに詐欺(Computer Fraud and Abuse Act)(注2)や”CAN-SPAM Act”違反に関する共同謀議（conspiracy）につき有罪答弁(plead guilty)を行った。

　今回のブログは、被告のサイバー犯罪行為自体の具体的な内容・起訴・裁判経緯等について連邦司法省の公表等に基づき解説する。
　なお、この犯罪は2005年に起きた犯罪である。サイバー犯罪に関する専門ブログの解説例(2010年8月26日、同年10月4日)で見ると、最近では今回の被告のような極めて高度な専門性を持つマニアックな犯人ではなく、違法な海外への送金請負人”money mules”を巻き込んだ東欧を中心とする工場生産・組織型サイバー犯罪に変化してきている。
　法執行機関の認識も大きく変えなくてはならない時期にきている。

１．犯罪手口と起訴内容
　ロスアンゼルス・ダウニー(Downey)に住む被告ジェンソン・ジェームス・アンチェタ(Jeanson James Ancheta：当時20歳)は「ボット攻撃の専門技術を持つ闇の機密街のボット・ネッツ(botmaster underground)」の有名なメンバーであり、2005年11月2日に逮捕、起訴されたもので、連邦検事(U.S.Attorney)はこの種の犯罪ビジネス・逮捕事例として初めてのケースであると述べている。また、無権限のアクセス行為は詐欺、マネーローンダリングにあたるとされた。

　起訴状によると被告は17の訴因（count） (注3)に基づき2006年に入り起訴され、当時連邦検事によると本来の「連邦量刑ガイドライン」（注4）では5年から7年の拘禁刑であるが、事件の重要性・社会的な影響から見て、実質的には本件の場合、 最高25年の拘禁刑が科されることになろうと述べていた。すなわち、犯人は、極めて重大な犯罪行為に関与しており、50万個のコンピュータ・システムのある部分をハイジャックしており、コンピュータ・システムへの悪影響だけでなく、共犯者が大規模なコンピュータ攻撃を行うことについても許容したことが起訴理由となっていた。

　検事によると、犯人は「トロイの木馬プログラム(rxbot)」を機能強化や流布させる目的でのために変更し、さらに自らのコントロール下にある「ボット・ネッツ」のアクセス権を共犯者に売り(指示マニュアルまで提供した)、その結果、共犯者が「アドウェア(Adware)」を消費者のPCに植えつける手助けを行ったとしている。犯人がDDOS攻撃したコンピュータの中には、カリフォルニア州のチャイナ・レイクにある国防総省「ナヴァル航空戦略研究センター（China Lake Naval Air Warfare Center）」兵器部（注5）のコンピュータが含まれていた。

　被告は異なる広告サービス会社の系列となり、それらの会社はスパム用の違法なAdwareのインストール件数に合わせた手数料を支払った。被告はネットワーク管理会社、セキュリティ・アナリストや法執行機関の捜査・調査を回避すべくインストールやダウンロード時間や頻度を変えた。被告は約6万ドルを稼ぐために約40万台のPCを感染させた。

２．被告の有罪答弁
　2006年1月23日、被告は、有罪答弁（guilty pleas）（注6）の初めにサーバーを使って違法なソフトをウェブ上で運び込み、コンピュータ・システムの脆弱性を食い物にしたうえでさらにコンピュータを「ゾンビ・マシン」に仕立て上げたことを認めた。また、同答弁の一部において、犯人は軍事施設に対し約15,000ドル（約171万円）を賠償すること及び6万ドル（約1,026万円）の現金、自家用のBMW、コンピュータ機器を含む違法な犯罪に関係したものの没収手続きについて同意した。

３．有罪判決
　2006年5月8日、被告に対する有罪判決(拘禁刑57か月)が下された。この刑はコンピュータ・ウィルスの感染事例としては最も重い刑であるとされた。被告は刑期を終えた後、3年間は保護観察下におかれ、その間はコンピュータの使用やインターネットへのアクセスは制限される。
************************************************************************************************

（注1）ボット・ネッツについて具体的な手口、システムへの影響などについてはわが国のIPA（情報処理推進機構）のサイトで詳しく説明がなされている。

(注2)1月23日のカリフォルニア中央地区連邦検事の有罪答弁のリリース中、起訴の根拠法を"Computer Fraud Abuse Act"と記している。”and”が抜けている。このようなミスは珍しいことではないが、何か変？

(注3) 起訴状によると17の訴因の内訳は共謀罪(2つ)、保護ｐされたされているコンピュータへの違法コードの感染罪(2つ)、政府の管理するコンピュータへの違法コードの感染罪(2つ)、詐欺行為目的での保護されたコンピュータへのアクセス罪(5つ)およびマネーローンダリング罪(5つ)と一般規定(1つ)である。

（注4）連邦量刑委員会(United States Sentencing Commission)が管理する「連邦量刑ガイドライン(Federal Sentencing Guidelines )」は、2004年11月に改正法が施行されている。この改正によりサイバー犯罪など被害規模などに応じ罰則が強化された。以降も、毎年のように改正が行われている。また、Guidelines Manualも毎年のように改定されている。」

（注5）同戦略研究センターの名前は、広島大学平和科学研究センターの篠田英朗氏の論文「武力紛争における劣化ウラン兵器の使用」で見た。
　チャイナ・レイクにある同戦略研究センターでは1950年から1991年の間に劣化ウランの研究を行っており、同地では環境汚染問題が起きているとのことである。核兵器などテロを最も恐れる米国にとって、サイバー犯罪者による脅威は許しがたいものであろう。

（注6）英米刑法の専門家でなければ、「有罪答弁」という言葉は理解しがたいであろう。米国の法律専門家用サイトである「Find Law」における説明内容を紹介しておく。「被告は検察側が被告の有罪性について証明する前に自らの有罪を主張できる。この制度の背景としてはいくつかの異なる理由が考えられるが、検察側に確かな証拠があり公判に持ち込んでかつ有罪宣告を受けるなら有罪を認めて少しでも罪を軽く出来るというもの。いわゆる被告と弁護士は検察側と「司法取引（plea bargaining）」を行うのであり、その結果、被告はより軽い罪になることが保証されるのである。」(http://caselaw.lp.findlaw.com/data/constitution/amendment14/16.html)

***********************************************************************************

（今回のブログは2006年1月25日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．

オーストラリア準備銀行名を騙りデビットカード番号等を盗み取る「悪ふざけ電子メール」手口に警告通達

　2006年1月24日付けで中央銀行である「オーストラリア準備銀行（RBA）」ならびに「オーストラリア・ハイテク犯罪センター(2008年3月以降は連邦警察ハイテク犯罪捜査班(Australian Federal Police (AFP) High Tech Crime Operations (HTCO))(注1)の部門となっている。AusCERTとも連動）が「悪ふざけ（HOAX）電子メールに関する警告」に関する共同リリースを行った。

　RBAから筆者に1月24日朝１番で届いたリリース自体、詐欺メールの見本のみ添付されているだけで、筆者としては同時に届いたAusCERTの情報とあわせて対策をとるべき金融機関のセキュリティ担当者や消費者向けのニュースにしようと思っていた。同日午後になりRBAおよびハイテク犯罪センターから消費者が留意すべき点を網羅した標記共同リリースが届いた。その内容は、「フィッシング」や「なりすまし詐欺」対策のイロハであるが、改めて問題の根の深さを理解する意味で、その概要を紹介する。

　なお、偶然にも1月23日付けで米国の連邦財務省のジョンW.スノウ長官(John W. Snow )がなりすまし詐欺（identity theft）被害に遭わないための留意点や被害に遭ったときの身の守り方等について、消費者向け「啓蒙用DVD」を商務省、司法省、シークレットサービス、米国銀行協会等関係省庁や機関との共同で作成し、26日に配布を始める旨マスコミにリリースしている。
　残念ながら筆者は米国のマスコミでもないし、また米国の国籍（社会保障番号等）がないため同DVDを入手できるのか、同省に別途照会するつもりであるが、少なくとも「振り込め詐欺」の急増に悩んでいるわが国の司法当局・法執行機関においても共通の対策に向けた取組み課題があるのではないか(筆者は別途財務省に依頼し、DVDは入手した。リアルさも含め良く出来ていると思う)。

〔詐欺メールから身を守るための基本遵守事項〕
１．いかなる電子メールに対しても顧客IDやパスワードを含む機微情報を提供しないこと。中央銀行等銀行は決してこれらの機微情報を顧客に照会することもないし、第三者と共有することはない。
２．取引銀行のウェブにリンクするように見せかけた電子メールをクリックしてはならない。従来から使用するブラウザによって改めて銀行のアドレスを入力すべきである。
３．あなたが知らない人物または信頼できない疑わしいメールは、開くことなく直ちに削除すべきである。また、そのような場合は取引銀行に直ちに照会すべきである。
４．多くの「フィッシング・メール」は大量に作成するため、多くが氏名のタイプミスや文法の誤りを含んでいる。メールの内容を注意深く読むこと。
５．評判の良いウイルス・ソフト（スパム・メールにも効果がある）は違法なメールを防ぐ上で有効である。
６．ウイルス・ソフトをインストール後、必ず定期的にアップデートを行い、セキュリティ・パッチ・プログラムを完全にインストールすること。
７．取引銀行のウェブサイトのインターネット・バンキングのセキュリティガイドを丁寧に読むこと。
８．スパム防止ソフトを利用するかISPの同様のサービスを利用すること。

**********************************************************
(注) オーストラリア連邦警察（AFP）は2007年6月まで「オーストラリア・ハイテク犯罪センター（ Australian High Tech Crimes Centre：AHTCC）」と「オンライン児童性的搾取チーム（Online Child Sex Exploitation Team :OCSET）」の2つの独立したオンライン犯罪部門を維持していたが、2008年3月3日 、ハイテク犯罪部門の再編を完了し、最後の2つの独立した技術ユニットがハイテク犯罪作戦(High Tech Crimes Operations)に統合されたと発表した。

（今回のブログは2006年1月24日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All Rights Reserved．No reduction or republication without permission．