従業員のストレスと、セキュリティにおける内部脅威の関係 / Stress prompts employees to break cybersecurity policies


内部脅威というと、不満を抱えた従業員が雇用主や上司に怒りをぶつける、というイメージが一般的です。しかし、セントラルフロリダ大学の研究によると、このようなケースはめったにないことが分かっています。

サイバーセキュリティへの投資は、パンデミック時の攻撃の急増に直面して大幅に増加しましたが、多くの場合、この投資はデータやシステムの安全を確保するための技術に集中しています。このような投資は価値がありますが、どのようなシステムにおいても最も脆弱なのは、ほぼ間違いなく私たち人間です。著者らは、組織がサイバーセキュリティのトレーニングを行う場合、内部脅威の攻撃は悪意を持って行われるという暗黙の前提が存在することが多いことを強調しています。

しかし、現実には、従業員が会社のサイバーセキュリティプロセスを遵守できないのは、ストレスが原因である可能性が高いのです。研究者たちは、武漢ウイルスのパンデミック時にリモートで勤務していた約330人の従業員にクイズを行いました。従業員は、会社のサイバーセキュリティポリシーを遵守しているか、ストレスレベルなどとともに尋ねられました。

さらに、パンデミックの影響でリモートワークに移行したことがサイバーセキュリティにどのような影響を与えたかについて、36名の従業員に詳細なインタビューを実施しました。その結果、セキュリティポリシーの遵守はかなり断続的であることがわかりました。実際、典型的な勤務日において、参加者の67%が少なくとも一度は公式のサイバーセキュリティポリシーを回避したことがあると答え、任意のタスクにおいて回避する確率は5%でした。

このような規模の違反が、上司や会社に対する広範な不満によって引き起こされるとは考えにくいことは、おそらく自明であり、研究者は実際にそれを発見した。実際、セキュリティ・プロトコルを回避した理由を尋ねたところ、最も多かった回答は、自分自身や同僚のために、そうすることで物事をうまく処理することができるから、というものでした。この理由は、意図的なセキュリティルール違反の約85%を占めた。一般的な認識とは異なり、損害を与えたいという意図的な欲求は、セキュリティ違反の3%に過ぎませんでした。つまり、悪意のない違反は、意図的な悪意のある違反の約28倍もあることになります。

重要なことは、比較的穏やかな違反は、従業員がストレスに苦しんでいる日にはるかに多く見られたということです。このことは、ストレスにさらされることで、やるべきことができなくなると認識されると、ルールを守ろうとする気持ちが弱まることを強く示唆しています。

ストレスの原因はよく言われることで、家族の要求、仕事の不安、同僚との衝突、さらにはサイバーセキュリティの規則そのものの要求などがあります。しかし、仕事をする上で直面するプレッシャーと、サイバーセキュリティの規定がその仕事を阻害しているという考えとの間には、明確な関連性が見られました。規則に従うと、仕事を完了するのに多くの時間や労力を要すると感じることが多く、また、規則のせいで自分が監視されているように感じ、信頼できないと不満を漏らす従業員もいました。

この調査結果は、インサイダー脅威が悪意ある意図的なものであることは少なく、むしろトレーニングの欠如や、できるだけ早く物事を終わらせたいという強いプレッシャーによるものであることを気づかせてくれます。

リスクを減らすには?

では、ガイドラインの遵守、ひいてはシステムのセキュリティを向上させるために、管理者は何をすればよいのでしょうか。まず、セキュリティ違反の圧倒的多数が意図的であり、良性であることを認識することが大切です。サイバーセキュリティのトレーニングは、それを基本に、セキュリティを維持しながら業務を遂行する方法を従業員に伝える必要があります。

また、セキュリティポリシーに違反したときには、自信を持って発言してもらうことも重要です。そうすることで、より早く問題に対処し、セキュリティリスクを低減することができます。

「従業員がミスをしたとき、人々はどのように反応するのか」とカスペルスキーのクリス・ハーストは言います。「社員がミスをした場合、そのことをオープンにし、起こりうるリスクに対して何かできる人にエスカレートさせるだけの自信を持つことが非常に重要です。」

また、セキュリティ規則の作成には、一般の従業員も参加することが望ましいと思います。そうすることで、従業員の業務を阻害するような規則は作られず、その結果、従業員は回避策を見つけようとし、規則自体の有効性が低下するのを防ぐことができるのです。規則が人々の業務にどのような影響を与えるかをより良く理解することで、セキュリティチームはより良い遵守の機会を得ることができます。これは、リモートワークに移行し、異なる働き方をする人々が増えているため、特に重要なことです。

もちろん、従業員のストレスやプレッシャーに対処することも悪いことではありませんが、この調査から得られる重要なポイントは、仕事の設計方法とサイバーセキュリティの設計方法が本質的に関連していることです。サイバー攻撃は増加傾向にあり、ほとんどの組織に影響を与えているため、インサイダー脅威は仕事とセキュリティ規則の設計の仕方が悪いせいだと考えるのはもはや十分ではありません。このことを理解することで、私たちは前向きな前進を始めることができるのではないでしょうか。

13万ドルで市民権が得られる「サトシ島」 / Satoshi Island: 'Crypto paradise' where citizenship costs $130,000


サトシ島は3200万平方フィートのプライベートアイランドで、手つかずの海、一年中降り注ぐ日光、モジュール式の家、そして分散型民主主義の約束が手に入るのです。

サトシ島はフィクションではなく、暗号資産コミュニティに捧げられた現実のプライベートアイランドなのです。

2023年から始まる、暗号通貨好きが集う場所

オーストラリアとフィジーの間に位置する熱帯の楽園バヌアツにあるこの島は、Satoshi Island Holdings Ltd.によって所有され、「世界の暗号資産の首都」として、暗号資産の愛好家や専門家が繁栄する場所にすることを意図しているそうです。

この島の名前は、ビットコイン(BTC)の開発者とされるサトシ・ナカモトにちなんでいる。

「バヌアツ首相と財務大臣から認可を受け、何年もの準備期間を経て、サトシ島は暗号資産経済とブロックチェーンベースの民主主義を実現するための準備が整いました」と同社は述べており、将来的には「分散型自治組織」として運営されることを予見しています。

先週行われたCointelegraphのインタビューで、デニス・トロヤック、ジェームズ・ロー、タラス・フィラトフ、ベンジャミン・ネロのSatoshi Islandチームは、この暗号資産の楽園は、すべてが暗号通貨で支払い、購入できる「真の暗号資産経済」になると述べています。この島の資産の所有権はすべて、ブロックチェーンを利用したNon-Fungible Token(NFT)で表現される予定です。

現在、モジュール式住宅を建設中で、2023年から世界に門戸を開く予定です。


「現実に映し出されたメタバース」

NFTのようないわゆるモジュール式住宅が、デジタル世界だけに存在すると思ってはいけないのです。すべての住宅は「Satoshi Island Land NFT」となり、NFTのように取引することができるのです。

「サトシアイランドは、デジタルの所有権をフィジカルに変える方法を導入し、NFTの進化における次のステップを踏み出そうとしています」と同社は説明します。

"従来の不動産の譲渡に伴う複雑な手続きなしに、簡単に売買できるSatoshi Island Land NFTを取得することで、誰でも島の一部を所有することができます。"

しかし、NFTの保有者は、バヌアツの公式な土地登記簿で、デジタルな権利を物理的な文書に変えることができると、創設者は説明しています。

そして、これだけでは終わりません。この島の壮大な計画には、暗号資産に焦点を当てたイベントを一年中開催し、暗号資産プロジェクトを収容し、世界中の暗号資産愛好家のために場所を集めることも含まれています。

市民権NFTは無料、市民権取得には13万ドルかかります

Satoshi Islandの創設者は、「永住権を持つ居住者」になりたい世界中の暗号愛好家から、5万件を超えるビザ nonfungible token (NFT) 申請が殺到していると述べています。

そして、Satoshi IslandのNFT「市民」になった人々は、さらに、2022年の第4四半期に設定された初期の「プライベートオープニング」を楽しむことができます。これは、島の国境がNFT市民権保持者に短期間の旅行で開放される時です。


また、NFT市民は、島を統治する政策について投票する権利を得ます。1つの財布に1つの市民権を持つことができ、そのNFTは1票としてカウントされます。また、NFT Mints & Airdropsは、このような市民に与えられるもう一つの特典です。「市民権NFTを保有するアドレスは、自動的にホワイトリストに登録され、Satoshi IslandのすべてのNFTミントとエアドロップに早くアクセスできるようになります」と同社は説明します。

ただし、ビザや市民権のNFTは、それ自体が、政府による別のビザ手続きを伴う島への移住許可を表すものではなく、またそれ自体でもないことに注意してください。

サトシ島NFTの市民権は誰でも今日から申請できますが、それは口語で理解されている「市民権」という言葉と混同しないでください。

島のウェブサイトには「サトシ島民権NFTはバヌアツの市民権とは関係ありません」と明記されており、同社はその事実を補強する説明文をツイートしています。

バヌアツ共和国への入国が許可されており、政府発行の有効なビザ、またはバヌアツへのビザなし渡航を許可している130カ国のパスポートを所持していれば、サトシ島の市民権NFTを所有しているかどうかにかかわらず、誰でも入国できるものとします。

バヌアツ共和国は、投資ルートによる市民権申請手続きを別途行っており、その費用は申請者一人につき最低でも130,000米ドルかかります

「"サトシ島市民権NFT "と "バヌアツ市民権 "は別物であることを覚えておいてください。しかし、バヌアツには、第二のパスポートを求める人々のために、定評ある投資による市民権プログラムがあります」と、島チームは説明します。

このプログラムを利用する場合、Satoshi Island Citizenship NFTは、バヌアツ投資移住局の迅速な手続きを利用することができます。

しかし、暗号通貨やNFTのような不安定な金融資産を扱う新規事業は、バヌアツ首相の承認を得たとはいえ、実現しないことも含め、常に固有のリスクを伴います。

2022年1月には、Crypolandと同様のベンチャー企業、「暗号通貨愛好家のための熱帯の楽園」が、1200万ドルの取引でフィジーのリゾートを確保できず、破綻している。

さらに、バヌアツ政府の政策により、「NFT市民」にどのような法的保証や権利が与えられるのか、まだわかっていません。このように、Satoshi Islandの壮大な計画が実現するまでは、お金を払っても受け取れない商品やサービスによって損をするリスクがあります。

出典:Satoshi Island: 'Crypto paradise' where citizenship costs $130,000:

週刊OSINT 2022-12号 / Week in OSINT #2022-12

 

ディープなフェイク検出から衛星画像まで、OSINTの世界からのニュースを少しずつ紹介します。

今回紹介するv7labsの「Fake Profile Detector」のように、試してみたくなるような新しいツールが登場することがあります。しかし、AIが生成したさまざまな写真でそれをテストしているうちに、その正体が見えてきたのです。ただ、ひとつのことをきちんとこなすツールに過ぎないのです。他のツールと同様に、それが何のために設計され、どのように動作するのかを知り、その結果を手動で検証する方法をよく理解しておくことが重要です。もしツールが壊れたり、結論が出なかったり、間違った結果を出したりしたら、調査員がその結果を無視して引き継ぐしかないのですから。読者であるあなたが、このメルマガを見て、検証もせずに、ここで取り上げたツールを使い始める時には、そのことを決して忘れないでください。それはさておき、今号の概要を見てみましょう。

  • Fake Profile Detector
  • Using Tools
  • Scrcpy
  • Downloading YouTube Videos
  • Farearth Observer
  • Satellite Imagery
  • Python Tools

ツール: Fake Profile Detector

前号、Micah Hoffmanは、プロフィール写真の真偽を確認するのに役立つChrome拡張機能のリンクを紹介しました。この拡張機能は、確認が必要な写真のURLをv7labsに送信し、その後、小さなポップアップがその写真が生成されたものか、本物であるかを教えてくれます。この拡張機能は StyleGAN で作成された写真に対してのみ機能することに注意してください。引用します。

”免責事項:このAIモデルは、実際には存在しない人物の偽の顔を生成するために使用されるStyleGAN画像に対してのみ動作します。動画ディープフェイクや顔交換は検出できません。"

ThisPersonDoesNotExist からの写真は問題なく検出されましたが、同じく StyleGAN を使用していると主張する Face Generator からの写真では、いくつかの問題が発生しました。5人の男性と5人の女性の顔をテストしましたが、生成された顔を検出できたのは2回だけでした。このように、StyleGANは完璧なものではありませんので、結果は慎重に判断してください。時間が経てば改善されるかもしれませんが、それに依存するのはやめましょう。


小技: ツールの使い方、頼り方

注意:
タスク自動化ツールを扱う場合、そのプロセスを知ることが重要です。データをその場で取得し、検証可能な方法で保存するための単純なコマンドやツールであれば問題ありません。しかし、ツールやサービスが、ある結論に至った経緯を示すことなく、分析や情報提供をしている場合、オリジナルの調査結果を裏付ける別の情報源を見つけるか、必要な手順を踏んで手作業で検証することが必要です。検証ができない場合は、レポートに追加するかを考える必要があります。常にそのような扱いをするようにしてください。でなければ裏付けとなる証拠、あるいは裁判のための証拠としては不十分と見なされるでしょう。

今回は、一般的なツールの使い方と、それに対する個人的なアドバイスについて書きたいと思います。オープンソースのPythonスクリプトでも、ウェブベースのツールでも、あるいはオンラインサービスやプラットフォームでもかまいません。何を使うにしても すべてを検証してください。

なぜこのようなことを言うかというと、専門家の判断や他の人の矛盾した結果よりも、道具とその結果を信じてしまう人を何度も見てきたからです。そのようなことがないように、必ず検証してください。「検証」という言葉の意味について、Oxford Dictionaryに書かれていることを見てみましょう。

"何かの真実、正確さ、妥当性を立証するプロセス"

もし、あなたがある主張の真実や正確さ、妥当性を求めていないのなら、何を求めているのでしょうか?検証しなければ、調査プロセス全体の重要なステップがスキップされてしまうのです。これは、あなたがTwitterで自分のスキルを誇示したいのか、調査ジャーナリストとして記事を書いているのか、あるいは何らかの法的な立場でこの分野に携わっているのかに関係ありません。調査をするときは、必ずすべてを確認すること。それは通常、人を巻き込むので、根拠のない主張でその人たちを判断するのは、単にあなたの判断ではありません! なぜなら、調査結果が公表されると元に戻せなくなり、その影響は壊滅的なものになるからです。「猫イジメに断固NO!: 虐待動画の犯人を追え」をもう一度見て、南アフリカの無実の男性がどのようになったかに注目してください。

最後に、実際によく目にする失敗例を紹介しましょう。ユーザーは、NamecheckrInstantusernameなどのオンラインツールを使って、複数のプラットフォームでユーザーを見つけることができるかどうかをチェックすることがよくあります。WhatsMyNameのような、アカウントの存在を確認するのに適したツールでさえ、完全に安全というわけではありません。WhatsMyNameのようなツールで、特定のユーザー名が見つかるウェブサイトのリストが表示されても、そのリストをそのままレポートにコピー・ペーストすることは絶対にしないでください。なぜなら、それらのサイトは、アカウントが存在するという証拠を提供するのではなく、ヒットしそうに見せかけるだけだからです。

ツールやサイトの結果を鵜呑みにせず、すべて検証すること。また、アカウントが存在する場合でも、探している人物と同一人物であることを確認する必要があります。そうしないと、何人も何十人もの人を追いかけてしまうことになります。


ツール: Scrcpy

少し前に、ある方からバーチャルフォンについて、どのように機能しているのか、という質問を受けました。バーチャルフォンをいくつか持っていても、Snapchatのようなアプリを動かすという課題があったりするんです。だから、私は初日からいくつかの物理的な携帯電話を使っています。そして、これまでのところ、私にとって最もシンプルに使えるツールのひとつが、Genymotionの「srcpy」です。これは、接続されているあらゆるAndroidデバイスをキャプチャして制御することができ、画面に表示されているものをそのままキャプチャすることができるんです。


サイト: Downloading YouTube Videos

Zewenは、YouTubeから高画質の動画をダウンロードする方法について、情報を提供しました。URLにppを追加して、youtube.comyoutubepp.comに変更すると、y2mateというサイトにリダイレクトされ、すぐに好きな画質で動画をダウンロードしたり、音声だけを取り出してMP3としてダウンロードしたりすることができます。


サイト: Farearth Observer

wisdomという人が、OSINTCurious Discordですごいリンクをシェアしていました。Farearth Observerというサイトでは、人工衛星をリアルタイムで追跡しているのですが、その飛行を録画したものへのリンクもあります。任意の記録を選択し、ポップアップすると、都市の人口情報を含む画像が画面上に表示されます。解像度は高くありませんが、ほぼリアルタイムの画像情報が必要な人や、時間つぶしに最適なリソースです。


小技: Satellite Imagery

衛星画像について、Julia Bayerがいくつかの知識とコツを教えてくれました。このTwitterのスレッドでは、光学衛星とレーダー衛星の違いを説明し、誰もが衛星画像の世界に飛び込むことができるサイトやソースを紹介しています。


リンク: Python Tools

Ritu GillCyber Training Internationalでトレーニングを行っており、いくつかのStart.meのページをオンラインで共有しています。そのうちのひとつが、Pythonツールのリストです。実際には'Linux Tools'と呼ばれていますが、ざっと見たところ、これらのほとんどは単にPythonベースのツールで、おそらくWindowsでも問題なく動作することがわかりました。ソーシャルメディアからデジタルアセットまで、あらゆる種類のスクリプトが集められています。


出典:Week in OSINT #2022-12

ループイフダン利益・相場まとめ2022年3月




出典:ループイフダン利益・相場まとめ2022年3月【アイネット証券】:

セキュリティ担当者の価値 / How Do I Demonstrate the ROI of My Security Program?


セキュリティチームは、「ノー」と言うことから脱却し、セキュリティの取り組みをビジネス目標に整合させ、ビジネスリーダーが理解できる方法で指標を報告する必要があります。

セキュリティのROIを実証するには?

セキュリティプログラムのROIを実証する際、セキュリティチームが行うべきことは3つあります。

1つ目は、セキュリティの役割を "NOのオフィス "とする認識を改めることです。セキュリティ・プログラムの役割は、リスクを排除することではなく、ビジネスがリスクを取れるようにすることであることを受け入れる必要があります。例えば、ある企業がリスクの高い国、リスクの高いサイバー法、リスクの高いオペレーターのいる国で事業を立ち上げる必要がある場合、ほとんどのセキュリティ・チームは、すぐに「ノー」と言うでしょう。しかし、実際には、サイバーセキュリティの脅威を特定、検出、対応することができる健全なセキュリティ・プログラムを構築することによって、企業がリスクを負うことを可能にすることが、セキュリティ・チームの仕事なのです。企業のリーダーは、セキュリティ・チームが自分たちのビジネス目標の達成を支援しようとしていることを知れば、強力なサイバーセキュリティ・プログラムの価値をより理解することができるようになるのです。

同様に、サイバーセキュリティ・チームは、自社のビジネス目標を理解し、それに基づいてセキュリティ対策を行う必要があります。多くのセキュリティチームが、自分たちのセキュリティ対策をビジネスの優先事項として押し付けようとしていますが、実際には、その対策がビジネスにとってマイナスになる可能性もあります。例えば、使用済みオペレーティング・ソフトウェアが稼働しているラインの生産性を向上させることがビジネス目標だとします。セキュリティ専門家の中には、攻撃によるダウンタイムを防ぐために、セキュリティ管理を強化しようとする人もいます。しかし、このアプローチは生産性を向上させるものではなく、むしろ逆効果で製造効率を低下させる可能性があります。

むしろ、セキュリティ・チームは一歩下がって、製造ラインの生産性を向上させるためのセキュリティ戦略をどのように導入できるかを評価する必要があるのです。よりビジネスに重点を置いたアプローチとしては、ビジネスの回復力目標をサポートするために、より優れた識別と対応策を構築し、製造環境を隔離するデバイスへのアラートの忠実度を高め、サイバー攻撃に備えるためにインシデント対応や危機対応演習をより頻繁に行うことなどが挙げられます。CEO と CFO が最大のビジネス推進要因として認識しているものを理解し、サイバーセキュリティ戦略をそれらの推進要因に合わせることは、最終的にサイバーが収益性の高いビジネス目標に結びついているという認識と関連し、サイバー支出に対する ROI を増加させることに繋がります。

最後に、サイバーチームは、ビジネスリーダーが理解できるような方法で、自分たちの指標を報告する方法を考えなければなりません。例えば、セキュリティ・チームが、ビジネスを行っているリスクの高い国に起因するサイバー攻撃を何件受けたかについて報告することが挙げられます。ビジネスが利益を上げている場合、経営陣は、報告されている何千ものサイバー攻撃の可能性に直ちに影響を与えるとは考えないかもしれません。しかし、セキュリティ・チームが測定基準を少し進化させて、その特定の地域でフィッシングの対応にどれだけの時間がかかったか、USB マルウェアのために毎月どれだけのノートPCを初期化しなければならなかったか、または耐用年数の切れたOSのために生産ラインがどれだけのダウンタイムを経験したかを示すと、リスクの高い状況でこれらのサイバーセキュリティ問題を直接収益の喪失に結びつけることができるようになるのです。そして、この知識こそが、ビジネス・リーダーがセキュリティ・リスクとそれがビジネスに与える潜在的な影響、そして組織の安全を守るセキュリティの役割をよりよく理解するために必要なものなのです。

出典:How Do I Demonstrate the ROI of My Security Program?:

短縮URLの調査 / Investigate shortened URLs


OSINT調査において、短縮URLに遭遇することがある。例えば、そのような短縮URLは次のようなものです:https://bit.ly/3KNfO4K。問題は、このURLがどこにつながっているかということです。そして、これに加えて、そのURLがいつ作成されたかを知りたい場合もあるでしょう。このブログでは、短縮URLを安全に調査する方法について説明します。なぜなら、ただリンクをクリックするだけではいけないからです!

短縮URLとは?

URLとは、"Uniform Resource Locator "の略です。URLは、インターネット上の特定の場所を指します。例えば、URL "www.aware-online.com "は、インターネット上の場所であるウェブサイトを指しています。短縮URLでは、上記よりも短いURLですが、完全に転写されたURLと同じ場所を指しています。例えば、短縮URL「https://bit.ly/3KNfO4K」は、実際には「www.aware-online.com」と同じですが、短く書かれています。

URLを短縮する方法は?

URL短縮をサービスとして提供しているウェブサイトはいくつかあります。例えば、https://bitly.comhttps://tinyurl.comhttps://tiny.cchttps://cutt.lyhttps://www.shorturl.at

Bitly.comの例

短縮URLを安全に開くには?

リンクをクリックするだけでは危険だということを、皆さんは以前から知っています。確かに、Webサイトの中には、そのWebサイトにアクセスすることで実行/インストールされる悪意のあるソフトウェア(マルウェア)が含まれている場合があります。短縮URLの場合、このリスクはさらに大きくなります。結局のところ、どのウェブサイトに行き着くかはわからないのです。私たちのアドバイスは、まず、短縮URLがどこを指しているのかを確認してから、そのURLにアクセスすることです。その方法については、以下をご覧ください。

短縮URLがいつ作成されたかを知るにはどうしたらいいですか?

短縮URLの完全なURLを調べる方法は、短縮URLを作成するために使用されたウェブサイトによって異なります。例えば、「https://bit.ly/3KNfO4K」というURLに出会ったとします。URLの後に「+」を付けると、そのURLが何を指しているのかが分かります。つまり、得られるリンクは「https://bit.ly/3KNfO4K+」です。このリンク先には、以下のような情報が表示されます。これで、このURLは「https://www.aware-online.com」につながっていることがわかりましたね。


上記のように、短縮URLをどのように展開するかによって、プラットフォームが異なります。以下の表では、ウェブサイトごとに、短縮URLをどのように調査できるかを見ることができます。

Platform Shortened URL Addition Result URL
Bitly.com https://bit.ly/3KNfO4K “+” achter URL https://bit.ly/3KNfO4K+
Tinyurl.com https://tinyurl.com/3cpzwmtt “preview” before domain https://preview.tinyurl.com/3cpzwmtt
Tiny.cc https://tiny.cc/ugkpuz “=” after URL https://tiny.cc/ugkpuz=
Cutt.ly https://cutt.ly/GALu1o0 “@” after URL https://cutt.ly/GALu1o0@

しかし、プラットフォーム自体がURLを拡張する可能性を提供しない場合はどうでしょうか?その場合は、リンクを拡張してくれる他のウェブサイトを試してみることができます。例えば、これを行うウェブサイトは、Unshorten.It! (https://unshorten.it/)、URL Expander (https://urlex.org/)、CheckShortURL (https://checkshorturl.com/)があります。


最後に、URLを訪問する前に、https://www.virustotal.com のようなサービスを利用するのも有効です。このウェブサイトは、既知のマルウェアについてウェブサイトを分析し、安全にウェブサイトを訪問できるようにします。


出典:Investigate shortened URLs

2022年3月16日~31日 サイバー攻撃タイムライン / 16-31 March 2022 Cyber Attacks Timeline

ロシアのウクライナ侵攻の影響で、サイバー空間にも明らかに影響が及んでいます。ハクティビストは非常に忙しく(138件中15件、約11%がハクティビズムに関連している)、同様に138件中11件(8%)がサイバー戦争作戦に何らかの形で関連している。

しかし、その影響はこれだけにとどまりません。戦争は間違いなくサイバースパイ戦線を特徴づけており、21件(サンプルの約15%)が直接または間接的にウクライナと関連しています。UAC-0026 (AKA Scarab)、Ghostwriter、Armageddon、Curious Gorge、COLDRIVERは、ウクライナの企業を標的とした脅威者の一部に過ぎません。 合計すると、約19.7%(138件中27件)のイベントがウクライナに関連しており、これは3月後半に観測された件数の多さを端的に物語っています。

一般に、ランサムウェアの攻撃は、イベントの約16%(138件中23件)を占め、月前半の2倍の割合となりました。しかし、このサイバー犯罪の特徴は、Lapsus$がより多くの有名な被害者をリストに追加したことです。

脆弱性の悪用は、この第1四半期の重要なトレンドであり続け、このタイムラインでも、12.3%(138件中17件)が脆弱性が悪用されたために発生しています(「Spring4Shell」(CVE-2022-22963およびCVE-2022-22965)の脆弱性のおかげで世界中のシステム管理者は眠りを妨げられており、同様にフィンテック企業への攻撃も執拗に続き、これまでに観測された最高額は Ronin Network からの624万ドル(約8億円)となっています)。

日本関連は1件でした。




出典:16-31 March 2022 Cyber Attacks Timeline

準委任契約に基づく報酬請求と善管注意義務違反~準委任で約束した工数を使ったからと言っても仕事内容がクソだと善管注意義務違反になります。~

開発は途中で終わった場合でも、準委任契約に基づく報酬請求はできるが、適切な計画立案・実行ができていなかったとして善管注意義務違反が認められた事例。

事案の概要

イベント企画会社Yは、自社の企画するイベントを管理するためのシステム(本件システム)の開発をXに依頼することとした。

平成28年3月にXは開発に着手したが、その時点では契約書が取り交わされておらず、4月になって、X・Y間で以下の内容(抜粋)の契約書が取り交わされた(本件契約)。

1条2項

本件契約は,Xが(中略)業務に従事する技術者の労働をYに対し提供することを主な目的とし,民法上の準委任契約として締結されるものとする。したがってXは,善良なる管理者の注意義務をもって(中略)業務を実施する義務を負うものとし,原則として成果物の完成についての義務を負うものではないものとする。

3条3項

前各項にかかわらず,Yは,Xの本件サービスの業務遂行義務が果たされていないと判断した場合はその時点でXに改善通達を行い,尚も改善されない場合はその通達以降のサービス料の支払義務を負わない。

X・Y間では、3月の開発業務として約367万円、4月の開発業務として約466万円、5月の開発業務として約933万円の発注書が取り交わされた(代金は支払われていない)。

Yは、5月25日に、開発の遅延等を理由に、本件システムの開発中止を通知した。

Xは、本件契約に基づく報酬請求として、合計で約1766万円を請求し、Yは、反訴として、債務不履行に基づく損害賠償約7000万円(その大部分は逸失利益である。)を請求した。

ここで取り上げる争点

(1)本件契約の性質

(2)債務不履行の有無

裁判所の判断

争点(1)本件契約の性質

Yは、本件契約は請負契約であって、Xは本件システムを完成させる責任を果たしていないから債務は履行されていないと主張していた。

この点について、裁判所は、契約書の文言を中心に次のように準委任契約であるとした。

本件契約は,本件システムの開発を目的としたものであるが,本件契約書1条には,本件契約が民法上の準委任契約として締結されるものであり,Xは,原則として成果物の完成についての義務を負うものではない旨の定めがあり,本件契約書2条には,システムの構築及びプログラム業務並びにこれに付随する業務をXに委託するとの定めがある。そして,Xが開発に着手した時点で本件システムの仕様が明確でなかったことから,Xは,Yに対し,請負契約ではなく準委任契約の形式で契約を締結することを再三要求し,その結果,契約書に準委任契約とする旨が明記され,これに当事者双方が署名押印するに至っている。これらの事情によれば,Yにおいても,準委任契約の形式で本件契約を締結するというXの要求を最終的に承諾したとみるのが自然である。
そうすると,本件契約は,Xが本件システムの完成義務を負わず,準委任契約としての性質を有するものとして締結されたものと認められ,これに反するYの主張は採用することができない。

そして、Xは、契約期間に約束された人員を確保して開発に従事させたことから、本件契約上の事務を履行したと認定し、本訴請求をすべて認容した。

争点(2)債務不履行の有無

まず、Xの義務を次のように認定した。

Xは,コンピューターシステムのプログラミング等を事業とする株式会社であり,開発業務を担当することが可能な企業として本件システムの開発に参画しているところ,開発の着手から間もない時期に開発に必要となる作業項目及び作業期間を示したスケジュール表を作成し,その中で内部設計に分類される「データベース設計」等の3項目を自ら担当することを明らかにしている。Xは,その後も,本件システムの開発に必要となる作業項目や作業期間を明らかにしたタスク一覧やスケジュール表といった文書を作成し,これをYに示している。これらの事情によれば,Xは,本件契約上,本件システムの開発に向けて必要となる作業項目及び作業期間を明らかにした工程表を策定すべき立場にあり,また,④詳細設計においても,相当程度関与することが予定されていたものと認められる。

このようなXの立場や役割に照らせば,Xは,Y又はZから指示を受けた業務を実施する義務にとどまらず,本件契約上の善管注意義務として,本件システムの開発において必要となる作業の内容並びにその作業に必要となる期間及び人員を把握し,適切な工程を示す義務を負っており,相手方から示された仕様の内容が十分でなく,適切な工程を示すことが困難である場合には,仕様を確定する期限を定めるなどの具体的方策を講ずる義務を負っていたと解すべきである。

これらのXの義務履行状況について、おおよそ次のように認定した。

  • Xは3月時点で稼働までのスケジュール表を提示したが、仕様確定期限などが示されておらず、仕様が確定していないにもかかわらず、実装と検証を同時に行う内容になっていた
  • 3月31日までに行うとされていた103項目のうち、期限までに終えたのは35項目だった
  • 4月に再計画されたスケジュールも、検証に充てる期間は十分でなく、再計画後のスケジュールも守られていなかった
  • 5月に大量に人員が増強されたが、稼働には至らなかった

としたうえで、

以上によれば,Xが,本件システムの開発において必要となる作業の内容並びにその作業に必要となる期間及び人員を把握し,適切な工程を示したとは認められないから,本件契約における善管注意義務に違反したというべきである。

と義務違反を認定した。ついでに、再委託禁止条項に反して無断で再委託をしていたことについても債務不履行が認定されている。

善管注意義務違反によってYに生じた損害として、Zに対して追加の開発費として支払った費用等の約392万円のうち、仕様確定が遅れたことも遅延の原因であるとして、6割の約235万円を相当因果関係ある損害と認めた(「過失相殺」という用語は判決文で使われていない。)。逸失利益については認めていない。

以上より、本訴請求の全額を認容する一方、反訴請求の一部を認めた。


出典:準委任契約に基づく報酬請求と善管注意義務違反 東京地判令2.9.24(平28ワ28934)