米国連邦通信委員会の委員長は携帯電話等の「通話記録」委託販売業者に対する規制強化法案を支持

　Last Updated:March 31,2021

　米国連邦通信委員会委員長(chairman of Federal Communications Commission )のケビン・マーティン（Kevin J.Martin）(2009年6月からは委員長はJulius Genachowski )は、連邦議会下院「エネルギー・商務対策委員会（HECC）」において個人の私的な電話（固定・携帯式）の盗聴はきわめて機密情報の侵害行為であると述べた。

Kevin J.Martin 氏

　また、HECC委員長のジョー・バートン（Joe Barton：テキサス州選出　民主党）は、これらの通話記録の漏洩は詐欺犯人による「なりすまし詐欺」を助長するだけでなく、組織犯罪、ストーカー行為や口汚くののしる配偶者等の潜在的利用者といった隠れた利用者の存在は機密の位置情報等の漏洩や被害を引き起こすと述べている。

Joe Barton 氏

　この問題に関し、上院でも議員立法の法案が出されているが、金融取引情報については「1999年グラム・リーチ・ブライリー法(金融制度改革法)」において本人の同意がない限り金融取引情報の収集行為（pretexting）(注)は禁止されているが、全米で40社を超える業者がいわゆる通話内容の「pretexting」による情報収集・販売行為を行っている。
　これらの業者の利用者は、1件約100ドルの手数料で数時間内に自分の上司、かつての恋人、市長、警察官の最新の100通話情報（電話相手、何時、何分話したか等の記録）を集めてみせた。シカゴ警察では警察官の携帯電話の通話記録が利用されたと言う報告もある。

　連邦取引委員会（FTC）のジョナソン・リーボウィッツ（Jonathan Leibowitz）委員長は通話記録の販売行為の禁止に関し、より広い対応を取るべきとしており、人権保護団体のEPIC等もより厳しい法整備を要請している。

Jonathan Leibowitz 氏

　一方、「携帯電話・インターネット協会（Cellular Telecommunications & Internet Association：CTIA）」会長のスチーブ・ラージェント(Steve Largent)はこの問題について、「情報漏洩の脅威は絶えず変化しており、法律による静的な規制は急速に時代遅れになるか架詐欺師により破られてしまうことになる。また、携帯電話の事業者が顧客の利用状況の把握を法律で禁止するとは顧客サービスに影響を与え、現にファックスサービスを中止した通信業者がいる。」と述べている。

　フロリダやイリノイ州では通信記録の販売事業者のウェブサイトが訴訟対象になっている。FCCは2006年1月末にAT&TとAlltelに対し、顧客の通話情報を保護する手続の明確化に失敗した場合は、各10万ドル（約1,180万円）の罰金を科す旨提案している。

〔参照URL〕
１．最近の連邦議会や行政機関の動向等を法律学者(Anita Ramasastry氏:ワシントン大学ロースクール教授)がまとめた解説。

Anita Ramasastry氏

２．議員立法法案を提出しているチャールズE.シューマー(Charles E. Schumer)上院議員の法案(S. 2178 Consumer Telephone Records Protection Act of 2006)

解説。

Charles E. Schumer 氏

同デック・ダービン(Dick  J. Durbin)上院議員の法案(S.2177 Phone Records Protection Act of 2006)(Text of S. 2178 (109th): Consumer Telephone Records Protection Act of 2006 (Reported by Senate Committee version) - GovTrack.us)解説。

Dick J. Durbin 氏

　なお、連邦議会で可決されなかった法案は連邦議会調査局(CRS)が管理しているが、民間の法案トラッキングサイト”gov track”の方が法案につき正確かつ丁寧にフォローしている。

(注)「pretexting」とは本人を装い、電話会社に電話してうその口実を使って電話代の請求のコピーを要求し、かけた電話の宛先、支払いのための銀行口座の明細等を違法に入手する行為をいう。個人のプライバシー侵害という観点で従来から問題視されている。

***********************************************************

（今回のブログは2006年2月3日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．

米国FDICがインターネット等を介した電子詐欺の被害者にならないための啓蒙ビデオガイドを公表

Last Updated : March 31,2021

　2006年1月27日、本ブログで米国連邦財務省の「なりすまし詐欺」啓蒙用DVDを紹介したが、一方、連邦預金保険公社（FDIC）も負けてはなるのかと、時間は3分19秒と短いが、ポイントが押さえられており、また音声（当然、英語）ガイド付きのインパクトがあるマルチメディア・ビデオを公開した旨リリース(New FDIC Tool Helps Consumers Protect Themselves Against Identity Theft and Suggests Steps They can Take if Victimized
Don't Be an On-line Victim: How to Guard Against Internet Thieves and Electronic Scams)した。

　リリース文の内容は簡単であり、ここでの紹介は省略するが、ビデオを見て感じた簡単な印象だけ述べておく（あくまで個人的印象であり、不謹慎な点はごめんなさい）。
　自分は絶対詐欺には引っかからないと自ら自負する人も一度見ておくと参考になるし、もちろんインターネットバンキングの推進上、消費者向けの啓蒙ビデオの作り方に悩んでいる金融実務家には参考となろう。

　なお、約5年前のFDICのビデオをFDICのHPで探したところ”FDIC Youtube Channel”で見つけた。膨大なデータベースから今でも3分たらずの短時間に検索でき、いまだに閲覧できるシステムを持つ米国の強さが見えた。

〔印象１〕犯人や被害者のモデルの顔がよい：被害者は善良そうな中年のおじさん（52歳）など、あわてかたが良い。一方、犯人はどう見ても凶悪殺人犯には見えないが、少々詐欺師らしきプライドがあるようなひげずら顔。

〔印象２〕犯人が被害者のそばを通りつつするりと財布を盗むところやパスポートの偽造等、日常性が感じられて印象深い。詐欺社会に生きる我々が持つべき知識強化のためには、手口は出来るだけ具体的であるというFDICの哲学が感じられた。

〔印象３〕 フィッシングにかからないためのアクセス時の入力手順等も具体的である。機密情報である社会保障番号、運転免許証、パスワード、生年月日、母親の姓といったキーワードが、カード等デバイス例とともに取扱い上の留意点が説明されるので、日本人でも分かりやすい。

〔印象４〕銀行や信用情報機関への被害報告の仕方の説明も具体的である。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
以下の説明は2006年1月28日現在に記載である。

１．このビデオはFDICのホームページの1月26日付け「What’ s New」にある。どうしても見つからない場合は次の先に照会メールを送っていただきたい。

　なお、連絡いただいた内容については、個人情報保護法ならびに関係省庁のガイドラインに基づき「×××」が善良なる管理者の注意義務を厳格に履行し、今回の情報の発信のみに利用すること、ならびに第三者へ情報提供を行わないこととする。
(1)本件 欄：FDICビデオのURL
(2)本文：①メールアドレス
②法人の場合：企業名（フリガナ）
個人の場合：姓名（フリガナ）

２．この教育ツールを見るためには「Macromedia Flash Player」が必要である。

*************************************************************

（今回のブログは2006年1月28日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．

米国連邦財務省が作成した「なりすまし詐欺：詐欺師の裏をかく（特集DVD）」の入手方法

　

　2006年1月24日付けの本ブログで米国連邦財務省のスノウ長官が「なりすまし詐欺対策」として、消費者啓蒙用DVD（「なりすまし詐欺：詐欺師の裏をかく（Identity Theft：Outsmarting the Crooks）」）を作成、希望者に頒布する旨リリースした件を紹介した。その際、外国人としての入手方法について財務省に照会する旨述べていたが、本日財務省からメールが届き、申込方法などの詳細につき連絡が届いた。

　直ちに申し込んで、すでに受付通知を得たが、在庫限定で3～4週間かかるそうである。今回の通知メールには「連邦市民情報サービス（FCIC）」へのDVDの申込み方法だけでなく、DVDの利用方法、内容（個人信用情報報告の利用の仕方、なりすまし詐欺手口の紹介、共同学習ガイド、フィッシング対策等）について言及している。


**********************************************************

次の解説は2006年1月27日現在の記載である。

同通知内容のURLやFCICへの申込方法、費用（実費）等についての情報を希望される方には後日メールをお送りするので下記の先に連絡いただきたい。ただし、配布先を限定している可能性があるのでその点はあらかじめ承知しておいていただきたい。

なお、連絡いただいた内容については、個人情報保護法ならびに関係省庁のガイドラインに基づき「×××」が善良なる管理者の注意義務を厳格に履行し、今回の情報の発信のみに利用すること、ならびに第三者へ情報提供を行わないこととする。
(1)本件 欄：財務省DVD情報申込
(2)本文：①メールアドレス
②法人の場合：企業名（フリガナ）
個人の場合：姓名（フリガナ）

***********************************************************

（今回のブログは2006年1月27日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All Rights Reserved．No reduction or republication without permission．





　

英国金融サービス庁が銀行のオンラインバンキングに対する消費者の信頼維持のための留意事項を奨励

Last Updated: March 31,2021

　英国の金融機関の監督機関である「金融サービス庁（FSA）」は、2006年1月23日に「2006年金融サービスリスクに関する見通し(FSA’s Financial Risk Outlook　2006)」を公表した。本OutLookは今後18か月の金融サービスを関係法令の目標に合致させまた戦略的な目的から監督機関としていかなる対応を進めるべきかについて、各種の調査をもとにリスク面の先行的な取組み課題を提示するものである。
　今回は、FSAがオンライン・バンキングのリスク問題を取り上げた章の概要を紹介する。

　一方、今まさにわが国で話題になっている「ライブドア違法株式取引問題」について金融監督機関である金融庁（証券取引等監視委員会の機能の見直し等も含め）、証券取引所、監査法人、弁護士等が本来果たすべきである違法な株式取引の阻止や株式市場の安全性確保についてそれぞれの立場から的確に対応すべきといった論議が期待される中、事後的な行政処分・司法処分依存型でない消費者の実態を踏まえた金融監督機関における先行的な課題の提起の必要性が増すことは間違いなかろう。　

　さらに、この問題は先延ばしになったオンライン詐欺の損失補てん問題とも関連する金融界にとって重要な問題といえよう。

１．オンライン・バンキングにおける消費者の信頼の脆弱性
　積極的なオンライン・バンキングのユーザーの半分は、オンライン取引における潜在的なリスクは「極めて」あるいは「大変な」懸念材料であるとしている。実際、彼らは取引に伴い生じるリスクから自らを守るために、PCにセキュリティソフトをインストールしているが、一方で、４分の1の人はいつ更新（アップデート）したか記憶していないし、また頻繁に更新していない。

　英国のAPACs（英国におけるカード決済の共同機関。Association for Payment Clearing Servicesの略。2009年7月6日に新設された”UK Payments Administration Ltd (UKPA)”に引き継がれた）によると、2005年6月までの半年間のカード詐欺被害額は1,450万ポンド（約29億2,900万円）であった（注1）。この額は比較的低いがそれでも2004年の同時期に比べ約3倍である。FSAの調査によると、仮にこの損害額をすべて消費者に向けたとするとオンラインバンキングのユーザーの77%はオンライン取引を解約することになる。回答があったユーザー（95%）のうち45%の人は銀行が唯一責任を負うべきであると信じているのである。

　FSAの金融犯罪部門の責任者であるフィリップ・ロビンソンは次のように述べている。
「ユーザーは、オンライン詐欺について自らの責任を問われるようなことになればサービスの利用をやめるであろう。彼らはセキュリティ問題についてのある程度の自己責任については理解しているもののその結果としての経済的な責任まで負うことは考えていない。詐欺に伴う損失について銀行はセキュリティ対策を徹底的に追求すべきである。つまり消費者に対しわが身の守り方の教育を徹底すべきである。この点について、FSAは銀行がすでに手を打っていることは承知しており、また官民が協力した「Get Safe Online’ campaign」（注2）のような先行的取組みが始まっていることも知っている。しかし、銀行はこれらの取組みが消費者の信頼を維持する上での有効性については注意深く見守る必要がある。インターネットバンキングの更なるセキュリティ対策としては２要素認証（筆者注：トークン型ワンタイムパスワード等のこと）がある。」

　消費者調査の結果で明らかとなったその他の点は以下の通りである。
①オンライン取引ユーザーの5%はまったくセキュリティ・ソフトをインストールしていない。その最大の理由は高価であること（注3）またその必要性についてまったく理解していない。
②ユーザーの59%は、第三者が誰でもオンライン口座にアクセスでき、またログインに関する機密データが無くても詐欺が行えると信じている。21%の人のみがそれはありえないと考えている。
③世代により問題意識に差がある。15歳～17歳の場合、ほとんどセキュリティ詐欺について問題意識はないが、45歳～54歳では最も不安に感じている。
****************************************************************************************
(注1）わが国の場合、警察庁の統計では平成16年中(91頁以下)のカードを使用した窃盗事件は4,477件（クレジットカード：568件(被害総額2億540万円、キャッシュカード：3,448件（被害総額24億250万円）、消費者金融カード：461件（被害総額1億7,700万円））である。

(注2）同キャンペーンは、2005年10月に英国政府、関係会社の支援により立ち上げたコンピュータ・セキュリティやインターネット・プライバシー問題の国民向け啓蒙キャンペーンである。2013.9.5 同キャンペーンは、Get SafeOnlineの「SwitchedOn」キャンペーンが開始した旨報じた。これは、親や子供を担当するその他の大人がインターネット上で料金を安全に保つのを支援することを目的としている。 子供の保護に関する情報とアドバイスについては、ここをクリックしてください。 親が子供よりもインターネットに自信がない場合、オンラインリスクを管理することが難しくなり、オンラインで安全を保つ方法について親が自信を持って話すことができるというものである。

（注3）例えば、英国の大手銀行である「ロイズTSB銀行」のサイトではセキュリティ対策として銀行のお勧めセキュリティソフトについて1か月の試用期間を置き、購入時10ポンドの割引が受けられるといったサービスが行われている。FSAも当然知っているであろうが。また、欧米の啓発サイトでは無料のセキュリティソフトを具体名を挙げてユーザーが自らインストールできるような配慮が一般的であり、FSAの見解の背景については別途確認してみたい。これも年代によってかなり差があるのであろうか。

************************************************************

（今回のブログは2006年1月26日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．

米国初のボット・ネッツ犯人が逮捕され有罪を認める

　2006年1月23日にコンピュータ・システムをハイジャックし、また大量のスパムを送りつける「ボット・ネッツ」（bot nets）（注1）犯罪を犯した事件で、20歳の男が連邦検事局に対し国防総省など連邦政府機関のシステム破壊の事実ならびに詐欺(Computer Fraud and Abuse Act)(注2)や”CAN-SPAM Act”違反に関する共同謀議（conspiracy）につき有罪答弁(plead guilty)を行った。

　今回のブログは、被告のサイバー犯罪行為自体の具体的な内容・起訴・裁判経緯等について連邦司法省の公表等に基づき解説する。
　なお、この犯罪は2005年に起きた犯罪である。サイバー犯罪に関する専門ブログの解説例(2010年8月26日、同年10月4日)で見ると、最近では今回の被告のような極めて高度な専門性を持つマニアックな犯人ではなく、違法な海外への送金請負人”money mules”を巻き込んだ東欧を中心とする工場生産・組織型サイバー犯罪に変化してきている。
　法執行機関の認識も大きく変えなくてはならない時期にきている。

１．犯罪手口と起訴内容
　ロスアンゼルス・ダウニー(Downey)に住む被告ジェンソン・ジェームス・アンチェタ(Jeanson James Ancheta：当時20歳)は「ボット攻撃の専門技術を持つ闇の機密街のボット・ネッツ(botmaster underground)」の有名なメンバーであり、2005年11月2日に逮捕、起訴されたもので、連邦検事(U.S.Attorney)はこの種の犯罪ビジネス・逮捕事例として初めてのケースであると述べている。また、無権限のアクセス行為は詐欺、マネーローンダリングにあたるとされた。

　起訴状によると被告は17の訴因（count） (注3)に基づき2006年に入り起訴され、当時連邦検事によると本来の「連邦量刑ガイドライン」（注4）では5年から7年の拘禁刑であるが、事件の重要性・社会的な影響から見て、実質的には本件の場合、 最高25年の拘禁刑が科されることになろうと述べていた。すなわち、犯人は、極めて重大な犯罪行為に関与しており、50万個のコンピュータ・システムのある部分をハイジャックしており、コンピュータ・システムへの悪影響だけでなく、共犯者が大規模なコンピュータ攻撃を行うことについても許容したことが起訴理由となっていた。

　検事によると、犯人は「トロイの木馬プログラム(rxbot)」を機能強化や流布させる目的でのために変更し、さらに自らのコントロール下にある「ボット・ネッツ」のアクセス権を共犯者に売り(指示マニュアルまで提供した)、その結果、共犯者が「アドウェア(Adware)」を消費者のPCに植えつける手助けを行ったとしている。犯人がDDOS攻撃したコンピュータの中には、カリフォルニア州のチャイナ・レイクにある国防総省「ナヴァル航空戦略研究センター（China Lake Naval Air Warfare Center）」兵器部（注5）のコンピュータが含まれていた。

　被告は異なる広告サービス会社の系列となり、それらの会社はスパム用の違法なAdwareのインストール件数に合わせた手数料を支払った。被告はネットワーク管理会社、セキュリティ・アナリストや法執行機関の捜査・調査を回避すべくインストールやダウンロード時間や頻度を変えた。被告は約6万ドルを稼ぐために約40万台のPCを感染させた。

２．被告の有罪答弁
　2006年1月23日、被告は、有罪答弁（guilty pleas）（注6）の初めにサーバーを使って違法なソフトをウェブ上で運び込み、コンピュータ・システムの脆弱性を食い物にしたうえでさらにコンピュータを「ゾンビ・マシン」に仕立て上げたことを認めた。また、同答弁の一部において、犯人は軍事施設に対し約15,000ドル（約171万円）を賠償すること及び6万ドル（約1,026万円）の現金、自家用のBMW、コンピュータ機器を含む違法な犯罪に関係したものの没収手続きについて同意した。

３．有罪判決
　2006年5月8日、被告に対する有罪判決(拘禁刑57か月)が下された。この刑はコンピュータ・ウィルスの感染事例としては最も重い刑であるとされた。被告は刑期を終えた後、3年間は保護観察下におかれ、その間はコンピュータの使用やインターネットへのアクセスは制限される。
************************************************************************************************

（注1）ボット・ネッツについて具体的な手口、システムへの影響などについてはわが国のIPA（情報処理推進機構）のサイトで詳しく説明がなされている。

(注2)1月23日のカリフォルニア中央地区連邦検事の有罪答弁のリリース中、起訴の根拠法を"Computer Fraud Abuse Act"と記している。”and”が抜けている。このようなミスは珍しいことではないが、何か変？

(注3) 起訴状によると17の訴因の内訳は共謀罪(2つ)、保護ｐされたされているコンピュータへの違法コードの感染罪(2つ)、政府の管理するコンピュータへの違法コードの感染罪(2つ)、詐欺行為目的での保護されたコンピュータへのアクセス罪(5つ)およびマネーローンダリング罪(5つ)と一般規定(1つ)である。

（注4）連邦量刑委員会(United States Sentencing Commission)が管理する「連邦量刑ガイドライン(Federal Sentencing Guidelines )」は、2004年11月に改正法が施行されている。この改正によりサイバー犯罪など被害規模などに応じ罰則が強化された。以降も、毎年のように改正が行われている。また、Guidelines Manualも毎年のように改定されている。」

（注5）同戦略研究センターの名前は、広島大学平和科学研究センターの篠田英朗氏の論文「武力紛争における劣化ウラン兵器の使用」で見た。
　チャイナ・レイクにある同戦略研究センターでは1950年から1991年の間に劣化ウランの研究を行っており、同地では環境汚染問題が起きているとのことである。核兵器などテロを最も恐れる米国にとって、サイバー犯罪者による脅威は許しがたいものであろう。

（注6）英米刑法の専門家でなければ、「有罪答弁」という言葉は理解しがたいであろう。米国の法律専門家用サイトである「Find Law」における説明内容を紹介しておく。「被告は検察側が被告の有罪性について証明する前に自らの有罪を主張できる。この制度の背景としてはいくつかの異なる理由が考えられるが、検察側に確かな証拠があり公判に持ち込んでかつ有罪宣告を受けるなら有罪を認めて少しでも罪を軽く出来るというもの。いわゆる被告と弁護士は検察側と「司法取引（plea bargaining）」を行うのであり、その結果、被告はより軽い罪になることが保証されるのである。」(http://caselaw.lp.findlaw.com/data/constitution/amendment14/16.html)

***********************************************************************************

（今回のブログは2006年1月25日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．