高校「情報Ⅰ」単語帳 - 開隆堂「実践 情報Ⅰ」 - 情報社会における個人の果たす役割と責任

デジタル化された情報の発信や公開、利用にあたり必要となる基礎的な知識や規範の体系で、他者への加害や権利侵害を行わないよう行動に責任を持ち、また、自己や周囲が危険に巻き込まれるのを避けるために必要となる。

まず、コンピュータやスマートフォンなどの情報機器やインターネットやネットサービスの特性(特に、現実の日常生活との違い)、および、情報発信に関する法制度(著作権や名誉毀損など)の基礎知識が土台となる。

その上で、具体的な行動規範として、発信する情報に責任を持つ、他者の権利や尊厳を尊重する、自らや周囲の個人情報やプライバシーをみだりに公開したり教えたりしない、ネットでしか繋がりのない相手を簡単に信用しない、といった内容が含まれる。具体的な内容は多岐に渡り、時代や新しい機器・サービスの普及、法制度の改正によっても変遷する。

大人が社会人の基礎的な素養として身につけるべきであることはもちろん、子どものうちから発達段階に応じて教育すべきであるとされ、学校でも情報教育の一環として2008年改定の学習指導要領から情報モラル教育が明確に定義されている。

主な個人情報としては、氏名や性別、住所、電話番号、電子メールアドレス、勤務先、生年月日、顔写真、SNSやネットサービスなどのユーザー名、クレジットカード番号や銀行の口座番号、日本のマイナンバー(個人番号)や米国の社会保障番号(SSN)など行政が個人に割り当てた識別番号などがある。

ただし、名簿のように複数の項目が個人に結び付けられて列挙されていたり、そのような情報と容易に組み合わせられるような形態になっている必要があり、例えば、「0から始まるランダムな11桁の番号1万個のリスト」は、その中にたまたま誰かの電話番号が含まれるかもしれないが、それ自体は個人情報とは言えない。

一方、特定の個人に属する情報でも、人物の識別・同定に直接は繋がらないようなものは「パーソナルデータ」(personal data)と呼ばれ区別される。例えば、携帯端末の位置情報、商品の購入履歴などが含まれる。

これらは(狭義の)個人情報そのものとはみなされないが、複数の情報源からのデータを突き合わせることなどにより個人の特定や捕捉に利用できる場合があるため、個人のプライバシーの一種として個人情報に準じる適切な管理や保護を行う必要がある。

知的財産には様々な種類があり、法律で権利保護の対象となっているものには著作物(著作権)や実演(著作隣接権)、発明(特許権)、商標(商標権)、意匠(意匠権)、肖像(肖像権)、物品の形状(実用新案権)などがある。商業上の利益に繋がる特許権、実用新案権、意匠権、商標権は「産業財産権」あるいは「工業所有権」とも呼ばれる。

広義には、営業秘密(企業秘密)や植物の品種(育成者権)、農畜産物の産地表示(地域ブランド)、インターネット上のドメイン名、文字の書体(フォント)、半導体の回路設計(回路配置利用権)なども含まれる。肖像については人格権と財産権(パブリシティ権)に分けて考えることもある。

一方、ある事柄について体系的に記録・蓄積されたデータなど、経済的な価値のある情報の一種だが、それ自体は法律上の保護の対象とならない知的財産もある。また、主にビデオゲーム産業を中心とするエンターテインメント業界では、知名度や過去の実績が顕著な、有力な作品タイトルやシリーズ、キャラクターなどを指して知的財産という意味で「IP」という用語を用いる。

大きく分けて、人間の知的活動によって創作された表現に対して認められる「著作権」、商業上有用になりうる情報や標識などに対して認められる「産業財産権」(工業所有権)、この二つに属さないその他の権利に分かれる。

著作権は思想や感情を創作的に表現した者がその表現の利用を独占できる権利で、複製権や上演権、公衆送信権、貸与権、翻案権など様々な権利で構成される。また、音楽などの場合には実演家や記録物の製作者、放送事業者などに著作を利用した実演などに対する「著作隣接権」が認められ、広義にはこれも知的財産権の一種とみなすことがある。

産業財産権は企業などの経済活動に関連する情報などを保護する権利で、発明に認められる「特許権」、有用なアイデアなどに認められる「実用新案権」、工業製品のデザインや特徴的な外観に認められる「意匠権」、営業活動に用いる名称や標識などに認められる「商標権」などが含まれる。

これ以外にも、IC(集積回路)の設計など半導体の回路配置を保護する「回路配置利用権」、品種改良で産み出された有用な植物を保護する「育成者権」、企業の営業上のノウハウや秘密の情報などを保護する「営業秘密」(企業秘密)、著名人の容姿を写した記録物の持つ商業的な価値を保護する(財産権としての)「肖像権」、インターネット上のドメイン名を保護する権利などがある。

産業財産権 (工業所有権)

知的所有権のうち、企業や経済活動に関わりの深いものを産業財産権(industrial property right)あるいは工業所有権と総称する。日本では商標権、特許権、意匠権、実用新案権がこれに含まれる。

国際的には、1883年にパリで締結された「産業財産権の保護に関するパリ条約」(パリ条約)および、その最新の改正版であるストックホルム改正条約(1967年)によって規定された諸権利のことを意味し、「特許、実用新案、意匠、商標、サービス・マーク、商号、原産地表示又は原産地名称及び不正競争の防止に関するもの」(特許庁訳)と規定されている。

日本では明治時代にパリ条約の訳文に「工業所有権」の語が用いられ、一般にも定着したが、2002年の「知的財産戦略大綱」以降、政府公式の文書などでは「産業財産権」の語を用いるようになっている。

大きく分けて、人間の知的活動によって創作された表現に対して認められる「著作権」、商業上有用になりうる情報や標識などに対して認められる「産業財産権」(工業所有権)、この二つに属さないその他の権利に分かれる。

著作権は思想や感情を創作的に表現した者がその表現の利用を独占できる権利で、複製権や上演権、公衆送信権、貸与権、翻案権など様々な権利で構成される。また、音楽などの場合には実演家や記録物の製作者、放送事業者などに著作を利用した実演などに対する「著作隣接権」が認められ、広義にはこれも産業財産権の一種とみなすことがある。

産業財産権は企業などの経済活動に関連する情報などを保護する権利で、発明に認められる「特許権」、有用なアイデアなどに認められる「実用新案権」、工業製品のデザインや特徴的な外観に認められる「意匠権」、営業活動に用いる名称や標識などに認められる「商標権」などが含まれる。

これ以外にも、IC(集積回路)の設計など半導体の回路配置を保護する「回路配置利用権」、品種改良で産み出された有用な植物を保護する「育成者権」、企業の営業上のノウハウや秘密の情報などを保護する「営業秘密」(企業秘密)、著名人の容姿を写した記録物の持つ商業的な価値を保護する(財産権としての)「肖像権」、インターネット上のドメイン名を保護する権利などがある。

産業財産権 (工業所有権)

知的所有権のうち、企業や経済活動に関わりの深いものを産業財産権(industrial property right)あるいは工業所有権と総称する。日本では商標権、特許権、意匠権、実用新案権がこれに含まれる。

国際的には、1883年にパリで締結された「産業財産権の保護に関するパリ条約」(パリ条約)および、その最新の改正版であるストックホルム改正条約(1967年)によって規定された諸権利のことを意味し、「特許、実用新案、意匠、商標、サービス・マーク、商号、原産地表示又は原産地名称及び不正競争の防止に関するもの」(特許庁訳)と規定されている。

日本では明治時代にパリ条約の訳文に「工業所有権」の語が用いられ、一般にも定着したが、2002年の「知的財産戦略大綱」以降、政府公式の文書などでは「産業財産権」の語を用いるようになっている。

自分についての情報を勝手に公開されないプライバシー権(人格権の一部)としての性質と、芸能人など容貌に経済的な価値がある場合に、無断で商業的に利用されないパブリシティ権(財産権の一部)としての性質がある。

日本では肖像権そのものを規定した法は無く、肖像権の侵害が刑事事件として扱われることはないが、憲法の幸福追求権や民法の人格権、財産権の侵害として、民事で差止請求や損害賠償請求が認められた判例はいくつも存在し、実質的な権利としてある程度確立している。

このうち、無名の一般人の肖像については主に人格権、プライバシー権が問題となり、インターネットで誹謗中傷を受けるなど肖像の公開・利用によって受忍限度を超える精神的苦痛を受けた場合などに公表の差し止めや損害賠償が認められている。

また、著名人の肖像については主に財産権、パブリシティ権が問題となり、無断で肖像を著作物や製品の広告や包装などに用いて利益を得るなどした場合には、差し止めや賠償が認められることがある。著名人の場合でも、週刊誌が勝手にプライベートの姿を隠し撮りし公表するなどプライバシー権の侵害が争われる事例は存在する。

ちなみに、競走馬のパブリシティ権が争われた、いわゆる「ダービースタリオン事件」の控訴審判決(2002年東京高裁)では、著名人のパブリシティ権は自然人(人間)の人格権に根ざして派生的に生じた権利であるとされ、(この事件で争われた競走馬のように)人間以外の有名な生き物や無生物を写した肖像には肖像権は存在しないとするのが通説となっている。

有名人の名前や肖像(写真や明白に本人と分かるイラストなど)は人を惹き付ける力があり、広告や商品の外観などに使用したりメディアに露出することで経済的な価値を生み出すことができる。その利益を本人が独占し、他者に勝手に使わせない権利をパブリシティ権という。

肖像に関しては「肖像権」という概念もあり、こちらは本人の意に反して肖像を勝手に使われない人格権としての側面が重視される。すなわち、経済的な利益を得る目的でなくても、肖像を勝手に使うことで名誉やプライバシーが害されれば肖像権の侵害であると解される。

パブリシティ権について明文の法律を設けている国(米国のいくつかの州法など)もあるが、日本のように判例の積み重ねで一定の権利を確立している国もある。保護の対象は氏名(本名)と肖像だけでなく、芸名やペンネームなどで活動している場合はこれも含まれる。明確に争点となった裁判例はないが、声やサインも含まれるとする見解もある。

著作権法では対象となる著作物を「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」と規定しており、小説や随筆、論文、絵画、写真、図形、立体造形物、建築、音楽、映画、コンピュータプログラムなどがこれに該当する。新聞や雑誌、辞書などは要素の選択や配列といった編集に創作性が認められ、編集著作物として保護される。

一方、思想や感情ではない単なるデータや、創作性に乏しい他人の作品のコピーや誰が書いても同じになるような定型文書、文芸・学術・美術・音楽に含まれない日用品や工業製品、法令や判決文、行政機関などの発行する通達等の文書などは除外される。また、アイデアなどはそれを記したものはその表現が著作物として保護の対象となるが、アイデアそれ自体は著作物ではないため対象外である。

著作者に認められる権利はいくつかあり、大別すると、著作者の人格的利益を保護する著作者人格権、著作物の利用を独占的に制御することを認める財産権としての(狭義の)著作権に分かれる。また、音楽などの場合には著作者以外にも実演家やレコード製作者、放送事業者に著作隣接権が発生する。

人格権には公表権、氏名表示件、同一性保持権などが含まれ、著作権(財産権)には、複製権、上演権、公衆送信権、展示権、頒布権、譲渡権、貸与権、翻訳権、翻案権、二次的著作物の利用についての権利などが含まれる。音楽の実演家などには、著作隣接権として、その実演についての同一性保持権や録音権、放送権、送信可能化権、譲渡権、貸与権などが認められる。

著作物の自由な利用や流通を促進する米国の非営利団体「クリエイティブ・コモンズ」(CC：Creative Commons)が提唱しているガイドラインで、法律や技術に関する専門的な知識がなくても、簡単な4つのアイコンを選択し、組み合わせることで誰でも自分の創造物(原著作物)を自由に、自分の好きな条件でインターネットを通じて世界に発信することができる。

CCライセンスの基本となる4つのアイコンは、原著作者のクレジットを表示を義務付ける「表示」(BY：Attribution)アイコン、原著作物を改変した場合、原著作物と同じ条件下で頒布することを許可する「継承」(SA：Share Alike)アイコン、原著作物の改変を禁止する「改変禁止」(ND：No Derrivative Works)アイコン、原著作物の営利目的での使用を禁止する「非営利」(Non-Commercial)アイコンで構成される。

日本ではこれらの4つのアイコンを日本の著作権法にあわせた6パターンの「日本法準拠版ライセンス」が用意されており、その組み合わせは「表示」(CC BY)、「表示・継承」(CC BY-SA)、「表示・改変禁止」(CC BY-ND)、「表示・非営利」(CC BY-NC)、「表示・非営利・継承」、(CC BY-NC-SA)、「表示・非営利-改変禁止」(CC BY-NC-ND)となっている。

CCライセンスは多くの情報があふれるインターネットにおいて創造者が創造物の取り扱いを明確にすることで、創造者の著作権を保護しつつ広く創造物を有効利用することを目的としている。CCライセンス自体は法律ではなく、著作権法に基づいた著作物の取り扱いを著作者の意思として明示するものである。CCライセンスの表示は義務ではなく、あくまで著作者の意思に委ねられている。

一般には、情報の「機密性」(confidentiality)、「完全性」(integrity)、「可用性」(availability)の三つの性質を維持することと理解される。これらの頭文字を組み合わせて「情報セキュリティのC.I.A.」と呼ぶ。国際標準のISO/IEC 27000シリーズなどでも、この三要素を情報セキュリティの構成要件としている。

情報の機密性とは正当な権限を持った者だけが情報に触れることができる状態を、完全性とは情報の破損や欠落がなく正確さを保っている状態を、可用性とは正当な権限のある者が必要なときに情報に触れることができる状態を、それぞれ表す。

また、これに加えて「真正性」(authenticity)や「責任追跡性」(accountability)、「信頼性」(reliability)、「否認防止」(non-repudiation)などの要素を情報セキュリティの要件の一部とする場合もある。

情報セキュリティが脅かされると、外部の攻撃者や内部犯による機密情報や個人情報などの漏洩や改竄、消去などの被害が生じる。企業などの組織が取り扱う情報の安全を確保するには、これらの要素に留意しながら、適切なコンピュータシステムによる保管や管理、認証やアクセス制御、暗号化などの実施、適切な利用手順の整備や利用者に対する啓発などが必要となる。

情報部門などの提案や助言などを得ながら経営層が策定し、全社に周知すべきものとされる。基本方針など一部は、その組織の情報管理についての考え方や取り組み方を表明する文書として外部や一般にも公開される。

基本方針には、ポリシーの適用範囲、対象となる情報資産、実施体制、各員・部門の役割や責務、実施・策定すべき施策や規約、遵守する法令や指針などが記述される。これに基づき、組織内に存在する人員や部門、情報などに合わせて具体的に何をどのような脅威から守るのか、誰が何をすべき・すべきでないか、誰に何を許可する・許可しないか、といった方針をセキュリティ対策基準として策定する。

基本方針のみ、あるいは対策基準までをポリシーの範囲とする場合が多く、これらに基づいて実施手順や運用規約、社内規定など個別具体的なルールが定められる。内部の人員にはこれら具体的な規約が手順書やマニュアルなどの形で周知・徹底される。

セキュリティポリシーは技術的な対策や専門家、専任スタッフだけでは適切な情報資産の管理に限界があることを踏まえ、全社の人や組織がどのように情報やシステムを安全に運用していくか観点で策定される。このため、作成しただけで具体的な行動に反映されなければ意味がなく、また、施行後も運用状況や外部環境の変化などに合わせて繰り返し見直しや改善を行うことが重要とされる。

システムを構成する機器や装置、ソフトウェア、あるいはデータ形式や通信規約(プロトコル)などに含まれる、設計上あるいは実装上の誤りや見過ごしなどにより生じる不具合のうち、システムの安全性(セキュリティ)を脅かす潜在的な危険性を持つものを指す。

攻撃者はこれを発見し悪用することで、システム上で本来の権限を超えた操作を実行したり、本来は見ることのできないデータを盗み取ったり、編集権限の無いデータを改ざん、削除したり、他のシステムへの侵入や攻撃の踏み台に使用したりすることができるようになる。攻撃はコンピュータウイルスやインターネットワームのような形で自動化されている場合もあり、知らない間にこれらに感染し損害を被ったり、他のシステムへ感染を広げてしまうことがある。

セキュリティホールの多くはソフトウェアの問題により発生するため、欠陥の発見されたソフトウェアは開発者が修正プログラム(セキュリティパッチ)を配布することが多い。インターネットが普及した現在ではセキュリティホールを放置するといつ外部からの攻撃に晒されるか分からないため、ソフトウェアは常に最新の状態に更新することが奨励されている。

原義は「防火壁」で、外部から攻撃のために送り込まれるデータに対する防御を、火事の炎を遮断して延焼を防ぐことになぞらえている。「FW」「F/W」などの略号で示されることもある。

一般的な構成では、ファイアウォールに内部ネットワーク(LAN)の回線とインターネットなど外部ネットワーク(WAN)の回線を両方つなぎ、内部と外部の境界をまたぐ通信が必ずファイアウォールを通過するようにして、一定の基準に従って不正と判断した通信を遮断する。

サーバコンピュータ上でソフトウェアとして動作するものと、専用の通信機器(アプライアンス)として提供されるもの、ルータなどのネットワーク機器の機能の一つとして統合されているものがあり、防御対象や規模などに応じて選択する。パソコン向けのセキュリティソフトやオペレーティングシステム(OS)にはファイアウォール機能が含まれることもある。

パケットフィルタリング方式

ファイアウォールが通信の可否を判断する方式には様々なものがあるが、最も一般的なのは「パケットフィルタリング」(packet filtering)と呼ばれる方式で、内外を通過するパケットの制御情報(ヘッダ)を読み取り、あらかじめ指定された条件に基づいて通過か破棄かの判定を行う。

よく用いられる条件として、送信元IPアドレス、宛先IPアドレス、プロトコルの種類(ICMP/UDP/TCP)、送信元ポート番号、宛先ポート番号、通信の方向(内部→外部/外部→内部)などがあり、これらの組み合わせによって可否を指定することができる。

形式的な判定だけでなく、TCPコネクションの状態などを一定の過去まで記録しておき、過去の通信と辻褄の合わない奇妙な制御情報が記載されたパケットが届くと攻撃の試みであるとみなして拒絶する「ステートフルパケットインスペクション」(SPI)など、高度な判断が可能な製品もある。

他の方式

パケットフィルタ方式は原則としてIP(Internet Protocol)の制御情報を利用するが、トランスポート層のTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)のレベルで通信の中継を行うものを「サーキットレベルゲートウェイ」という。SOCKSなどが該当し、通過や遮断の制御だけでなく、NATのようにプライベートIPアドレスとグローバルIPアドレスの変換なども行う。

また、さらに上位のHTTPなど個別のアプリケーション層のプロトコルの制御情報を用いて通信制御を行うものは「アプリケーションレベルゲートウェイ」という。プロキシサーバなどが該当し、アドレス変換やコンテンツのキャッシュ、ウイルスチェックなどの機能も合わせて提供される。

パーソナルファイアウォール

家庭などでパソコンに導入する個人向けの製品は「パーソナルファイアウォール」(PFW：Personal Firewall)と呼ばれる。パソコンと外部の機器とのネットワーク通信を監視し、あらかじめ指定された条件に基づいて許可された通信以外を遮断する。

単体の製品やフリーソフトウェアがあるほか、セキュリティソフトウェア企業などでは、アンチウイルスソフトなどと共に統合セキュリティソフトウェア(「○○インターネットセキュリティ」といった製品)の機能の一部として提供している場合がある。Windowsでは標準で内蔵されている「Windows Defender」にパーソナルファイアウォール機能が組み込まれている。

単にバックアップといった場合は、データの破損や損失に備えてデータの写しを取って保管する「データバックアップ」のことを指す場合が多い。データをコピーする作業や工程のことをバックアップという場合と、作成されたデータの複製(を記録した装置など)のことをバックアップという場合がある。

コンピュータの記憶装置に保存されたデータを別の装置や記憶媒体へ複製して別に保管するもので、機器の故障や破損、人為ミス、不正行為などによってデータの消失や改変などが起こった場合に、複製した時点のデータに復旧させることができる。

また、「バックアップ回線」「バックアップサーバ」などのように、通常時に使用している機器などが何らかの原因で正常に稼働できなくなった時に、その機能を肩代わりするための機器や設備、施設などのことをバックアップということもある。

生物の体に潜り込んで害を成す微生物のウイルスに似ていることからこのように呼ばれ、コンピュータ関連の文脈であることが明らかな場合は単に「ウイルス」と呼ばれることも多い。広義には不正・有害なソフトウェアの総称として用いられることがあるが、本来これは「マルウェア」(malware)と呼ぶべきであるとされる。

ウイルスの感染

コンピュータウイルスは自ら単体のプログラムとして起動する能力はなく、「宿主」となる他の(正常な)プログラムの一部として自らを「感染」させ、その動作を改変して起動時に自らを実行するよう仕向ける。感染したプログラムが起動されると様々な不正・有害な処理を行うほか、他のプログラムへ自らを複製して次々に増殖していく。

ウイルスに感染したプログラムファイルが、光学ディスクやUSBメモリなどの持ち運び可能な記憶媒体(記録メディア)、インターネットや構内ネットワーク(LAN)などを通じて他のコンピュータへ移動し、そこで起動されることにより、別のコンピュータへ次々に感染が広まっていくこともある。

ウイルスの挙動

コンピュータウイルスは記憶装置に保存されたプログラムやデータを破壊、改変、消去したり、秘密あるいは重要なデータを利用者の知らないうちにネットワークを通じて外部に送信したりといった不正・有害な動作を行う。

こうした振る舞いは感染後すぐに実行に移すとは限らず、一定時間の経過後や攻撃者の指定した日時に実行したり、システムの状態を監視して何らかの条件が満たされると実行するものもある。稀に、繰り返し感染するだけで何も有害な振る舞いを行わない愉快犯的なものもあり、これをウイルスとみなさない場合もある。

ウイルス対策

コンピュータウイルスに感染したプログラムを発見し、また、感染前の状態に戻したりする働きをするソフトウェアを「アンチウイルスソフト」(anti-virus software)あるいは「ワクチンソフト」(vaccine software)などと呼ぶ。

ウイルスの検知には、ストレージ内のファイルなどを既知のウイルスの特徴的なパターンと照合する「パターンマッチング法」や、ウイルスに特徴的な振る舞いを検知する「ヒューリスティック法」、隔離された実行環境で実際に実行してみる「ビヘイビア法」などの検知手法が用いられる。

ウイルス検知のみを行い回復は利用者や他のツールに頼るシステムと、ファイルに含まれる不正なコードの除去を試みるシステムがある。企業などのネットワークでは、伝送途上の通信内容からウイルスを検知して流入を阻止する「アンチウイルスゲートウェイ」なども用いられる。

他のマルウェアとの違い

コンピュータウイルスのような開発者が悪意に基づいて開発・配布している有害なソフトウェアを総称して「マルウェア」(malware：悪意のあるソフトウェア)という。この用語はあまり普及しておらず、総称の意味で「コンピュータウイルス」と呼ぶことも多い。

ウイルスの他に、プログラムファイルへの感染などはせず、自ら単体のプログラムとして起動し、主にネットワークを通じて他のコンピュータへの感染を広める「ワーム」(worm)、一見何か有用な働きをするソフトウェアのように振る舞うが、その裏で利用者に気づかれないように有害な動作を行う「トロイの木馬」(Trojan horse)などがある。

他にも、感染先のコンピュータのストレージを暗号化し、復号のために攻撃者への「身代金」の支払いを求める「ランサムウェア」(ransomware)、攻撃者が遠隔から操作できるネットワーク上の「窓口」を設ける「バックドア」(backdoor)、利用者の操作やコンピュータ内の処理、データ送受信などを盗聴して攻撃者に報告する「スパイウェア」(spyware)など様々な類型があり、これらの複数に該当する複合型のマルウェアも多い。

ITの分野では、ある人がコンピュータやネットワークを利用するために利用している識別・認証情報(アカウント名やパスワードなど)を不正に取得し、その人のふりをしてアクセスするなりすまし行為が問題となっている。不正に取得した認証情報で金融機関のオンラインサービスなどにアクセスされ、預金などを盗み取られるといった被害が起きている。

電子メールの差出人情報を偽装するなどして、ある特定の人物や組織からのメッセージであるかのように装い、騙された受信者に個人情報や秘密の情報を送信させるといった手口のなりすまし行為もある。この手口で騙し取った情報を使って本人になりすまし、金融機関に不正アクセスするといった二重のなりすましによる詐欺手法を「フィッシング」(phishing)などと呼ぶ。

また、サイバー攻撃などの手法の一つで、データの送信元アドレスなどを改ざん・偽装し、別のアドレスやコンピュータからのアクセスであるかのように装うことで、他の人の仕業に見せかけたり、追及されにくいようにすることもなりすましという。攻撃者が罪を無関係な第三者になすりつけ、司法当局が誤ってなりすまされた被害者を罰してしまう事件も発生している。

SNSなどでのなりすまし行為

SNSなどのネットサービスでは、自分とは無関係な有名人や企業、団体などの名前を勝手に名乗り、その人物・組織を装って発言などを行うなりすまし行為も発生している。IDやパスワードの詐取、行使などを行わなくても誰でも簡単に実行できてしまうため、著名人などになりすますいたずらが後を絶たず問題となっている。

なりすます対象は著名な人物や団体とは限らない。何らかの論争の渦中にある人が、自分と対立する側の匿名ユーザーを装った別のアカウントを作成し、わざと対立側に不利な発言などを行うといったなりすまし行為もある。「自作自演」「偽旗作戦」などとも呼ばれる。

なお、動物や人工物など人間以外の存在、故人や歴史上の人物、創作物に登場するキャラクターなどを自称するSNS利用者もいるが、こうした行為は「本人」が実在しない(ことが誰の目にも明白である)ため、なりすましとは区別され「なりきり」などと呼ばれる。

近年では、ネット広告などで著名人の名前を勝手にかたり、無関係な第三者が広告を作成して掲載する「なりすまし広告」も問題となっている。実業家が投資の勧誘をするなど本人の実績や信用を勝手に利用する広告で、宣伝されている商品やサービスなどがそもそも詐欺である事例も多いとされる。

ITの分野では、コンピュータに保管されたデータが何らかの不正な方法で本来とは異なる状態に変更されることを指す。データの不正な取得(漏洩)と並んでデータ保護上の重大な事象(インシデント)として警戒される。

外部の悪意の第三者によるネットワークを通じた不正アクセスや、感染・侵入したコンピュータウイルス等の挙動の結果として引き起こされるものと、組織内の人物が与えられた権限を超えた行為やシステムの不正な操作により引き起こすものがある。

「釣り」を意味する “fishing” が語源で、釣り針の先に付けた餌やルアーに獲物が食いつく様子を釣りに例えた表現だが、偽装の手法が洗練されている(sophisticated)ことから “phishing” と綴るようになったとする説がある。

フィッシング詐欺の代表的な手口は以下のとおり。メールの送信者名を金融機関の窓口などのアドレスにしたメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンクが載っている。

リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップページは「偽者」である。本物を見て安心した利用者がポップアップに表示された入力フォームに暗証番号やパスワード、クレジットカード番号などの秘密を入力・送信すると、犯人に情報が送信される。

フィッシング詐欺攻撃者は、URLに使用される特殊な書式を利用してあたかも本物のドメインにリンクしているかのように見せたり、ポップアップウィンドウのアドレスバーを非表示にするなど非常に巧妙な手口を利用しており、「釣られる」被害者が続出している。

フィッシング詐欺への対応策としては、送信者欄を信用しない、フォームの送受信にSSLが利用されているか確認する、メールに示された連絡方法(リンクなど)以外の正規のものと確認できている電話番号やURLなどから案内が本物かどうかを確認する、などが挙げられる。

スピアフィッシング (spear phishing)

特定の人物を狙い、偽のメールを送ったりウイルスを仕込んだりしてパスワードや個人情報などを詐取する詐欺。もとは魚釣りの用語で、銛(もり)や水中銃で魚を突き刺す釣り方のこと。

大手銀行のオンラインバンキングなど有名なサービスの不特定多数の利用者を狙う通常のフィッシングとは異なり、対象の素性を調査した上で、その個人に合わせた手法が個別に考案されるのが特徴である。

例えば、大企業の支店に勤務する社員に「本社の情報システム部の者だが調査に必要なのであなたのパスワードを教えてほしい」といったメールを送り、だまされた社員から聞き出したパスワードを使ってその企業のネットワークに不正侵入するといった手が使われる。他にも、上司や取引先に成りすまして業務上の機密情報や知的財産を詐取するといった事例が報告されている。

ファーミング詐欺 (pharming)

有名な金融機関やオンラインショップのサイトをそっくりに真似た偽のサイトを作り、DNSサーバの情報を書き換えることで利用者を誘導し、暗証番号やクレジットカード番号などを詐取する詐欺。フィッシング詐欺の手口の一つ。

通常、Webサイトにアクセスするにはドメイン名を含んだURLを入力するが、ドメイン名は通信事業者などが管理するDNSサーバによってIPアドレスに変換され、対応するIPアドレスを持ったサーバにアクセスすることになる。

ファーミングを行う攻撃者は、このDNSサーバの管理するドメインとアドレスの対応表を不正に書き換え(DNSキャッシュポイズニング)、利用者がドメインを問い合わせると偽のアドレスを返すよう細工する。

利用者は自分の利用している金融機関などの正しいURLにアクセスしているつもりで、攻撃者の運用するそっくりな偽のサイトに誘導され、不正に情報を詐取される。なお、パソコンの中にもドメインとアドレスを対応付けるhostsファイルというファイルが保存されており、ウイルスなどを使ってこれを書き換えることで偽のサイトに誘導する手法もある。

フィッシング詐欺は偽の案内メールなどで利用者を「一本釣り」にする手法だが、DNSサーバに不正な情報を流すことでそのサーバを利用する利用者を丸ごと偽のサイトに誘導する様子を農業(farming)に例え、ファーミングと名付けられた。綴りが本来の "farming" ではなく "pharming" なのはフィッシング詐欺を "phishing" と綴るのを踏襲したもので、"sophisticated" (洗練された) が語源と言われている。