LINEのアカウントが乗っ取られて被害者続出。
毎日新聞によると、この被害者は病院の男性職員と女性看護師で、同僚の医者から依頼されてコンビニで電子マネ買って送ったらしい。まあ看護士と職員ならセンセイの依頼は拒めなかったんだろう的な推測ができるわけですが、数千円くらいなら被害届なんて出さない人のほうが多いでしょ。
で、LINEも素早く対応した。
PC版LINEのセキュリティ強化のため「認証番号」の入力が必要になりました
やってみた。1回ログアウトすると、次回のログイン時にスマホにパスコードが表示される。
これをPCのLINEのログイン画面に入れないとログインできなくなる。今回の乗っ取りと詐欺は、他のサービスから大量に流出したIDとパスの組み合わせが中国の犯罪グループに売られ、それでログインしてきているわけで、一昨年にイモトのWi-Fiから大量にクレジットカードが流出したときも、リリース後に日本のカード会社はすぐにロックをかけたが、カード番号は中国の犯罪グループに売られ、東欧などで広く使われたらしい。
LINEの対応は事件発覚から10日くらいなので頑張ったと言えなくも無いが、前からやっとおけ、というのもあるので誉めませんよ。
で、問題は、今後こうしたことが広く行われる可能性があるということ。
LINEの乗っ取りだって手を変えてくるかもしれない。Twitterはすでに乗っ取りは常習化しているから、ダイレクトメッセージで同様のことをしてくれるもしれないし、Facebookでアカウントを乗っ取っても同様のことができる。2段階認証していればだいぶんリスクは下がるが、してない人のほうが多いんでは?
また昨年多発したGmailの乗っ取りも同様。Gmailだから対応が早いが、二流のプロバイダが同じ対応はしないでしょ。そんなとき心配なのが
自分のアカウントが乗っ取られて被害者が出たら
損害賠償の責任は自分にあるのか
ということです。乗っ取られること自体が自分の落ち度です。それによって他人が金銭的な被害を受けたら、または乗っ取ったアカウントを使ってデマや誹謗中傷をされたら、その賠償責任は管理者であるアカウントの持ち主にあるのだろうか・・・
専門の弁護士さんたちに聞いてみた
これはもう弁護士に確認するしか無いな。しかもIT系に詳しい人で無いとわかんないな。と思ったとき、「そうだ、この人達に聞けばいいんだ」と思い出した。
実はいま、IT系でやっていきたいという弁護士さんお二人のコンサルを開始したばかりなのです。サイト制作のコンセプトや内容を詰めたり、ソーシャルの運用を厳しく指導開始しています。本当はサイトがオープンしてからブログで書いた貰ったほうがいいのだが、今回はフライングというか、ティーザーのプロモーションを兼ねよう。それがいい、と勝手に決めました。
とりあえずIT系のスタートアップを中心にやっていこうというお二人はこちら。Facebookのフィードも公開させたので、ぜひフォローしてください。これからばしばし発信させます。Facebook以外のソーシャルはほとんどはじめたばかりなのでスカスカです。笑 これから虎の穴が待ち受けています。
柿沼太一弁護士
●Facebook https://www.facebook.com/taichi.kakinuma
●Twitter https://twitter.com/tka0120
●Google+
杉浦健二弁護士
●Facebook https://www.facebook.com/sugiurakenji/
●Twitter https://twitter.com/kenjisugiura01
●Google+
Q アカウントの乗っ取りについての法律的な見解はどんなの?
A
アカウントの乗っ取りというのは何もWEB特有の話では無く、要するに「名義人では無い人が名義人であるかのように装って何らかの取引行為や不正行為を行うこと」の一形態です。
たとえばクレジットカードの不正利用とか、いたずら目的で誰かを装ってピザ30枚頼むとか、山中教授であると偽って「ノーベル賞キターーーー! ヽ(‘ ∇‘ )ノ」とツイートするとかも全て同類ですね。
1 問題の整理
この場合の関係をちょっと整理しましょう。
さきほど言ったように、(3)がどのような行為かは様々なパターンがあると思います。
たとえば、なりすまして名誉毀損発言をする、なりすまして被害者から物やサービスを購入する、なりすまして被害者からお金をだまし取る等々。
そのような行為をされた場合
(1)なりすまされた本人は犯人に何らかの損害賠償請求ができるか
(2)被害者は、なりすまされた本人に何らかの請求ができるか
(3)被害者は、犯人に何らかの請求ができるか
という3つの問題が生じます。
(1)と(3)はなりすました犯人が悪いに決まっているので、何らかの被害(金銭的、精神的)が本人や被害者に生じれば、当然なりすました犯人に対して損害賠償請求できます。法律的にあまり難しいことはありません(なりすました人を突き止める方がよっぽど難しい)。
今回の問題は(2)。
面白いところです。
2 検討
ここは(3)のパターンを分類する必要があります。
☆経済的行為では無い場合
たとえばなりすまして特定の相手方をネット上で罵倒する、企業の信頼を損ねるような書き込みをする、等々です。この場合のなりすましは、IDやパスワードで本人認証を経ずに単に「私は●●です」と名乗って名誉毀損行為をすることがほとんどです。この場合は、なりすまされた本人にIDやパスワードの管理責任という問題自体が無く、責任が無いのは自明です。したがって被害者は、なりすまされた本人に何も文句を言えない、ということになります。
☆被害者との間になりすましに関する規約(合意)がある場合
たとえば,なりすました犯人が楽天のようなECサイトで商品を購入しまくってその商品を転売するようなパターンです(Amazonは登録住所以外に送ろうとするとカード情報の再入力が必要ですのでやりにくい)。この場合、なりすまされた本人と被害者(EC事業者)との間には利用規約(合意)があり、その中になりすましに関する条項(アカウント管理条項)があることがほとんどです。
たとえば次のような条項です。
【楽天会員規約(2006年11月24日改定版)】
第5条(ユーザIDおよびパスワードの管理)
ユーザIDおよびパスワードは、他人に知られることがないよう定期的に変更する等、会員本人が責任をもって管理してください。入力されたユーザIDおよびパスワードが登録されたものと一致することを所定の方法により確認した場合、会員による利用があったものとみなし、それらが盗用、不正使用その他の事情により会員以外の者が利用している場合であっても、それにより生じた損害について当グループは一切責任を負いません。
このようなアカウント管理条項は通常は有効ですから、その規定に従うということになります。なりすまされた人はアカウント管理に関する責任を問われ、被害者(EC事業者)との間で有効に契約が成立し、「代金払ってください」ということになります(もちろんアカウントが事業者から流出したなど,事業者側に不正利用の責任がある場合は別です)。
自分のミスで乗っ取られると代金支払い義務も!!
パスワードを書いた紙無くしたとかね・・(-_-)
このパターンでは実際には、「なりすまされた人と事業者(被害者)」ではなく「なりすまされた人とクレジット会社」の問題になることがほとんどです。カード会社に明細確認のタイミングで不正使用を訴えると請求されることはありません。明細を見ていないで報告が遅れるとおしまいですので必ずチェックです。
三井住友VISAカード&三井住友マスターカード会員規約(個人会員用)では「カードの貸与と取扱い」として「カード及びカード情報の使用・保管・管理に際して、会員が前3項(注:カードの管理責任)に違反し、その違反に起因してカード及びカード情報が不正に利用された場合、本会員は、そのカード利用代金についてすべて支払いの責を負うものとします」と、先ほどのEC事業者におけるアカウント管理条項と同じような規定を設けています。したがってこの条項を適用する限り、なりすまされた人はクレジットカード会社に対して支払をする責任があるということになりますが、サーバに侵入されてカード情報を抜かれたりしても会員に責任があるわけでは無いので、追求はされないということです。だまし取られた事業者がその分を負担します。事業者は怪しい買い物が無いか、いつも気を張る必要があります。
☆なりすましに関する規約(合意)が無い場合
たとえばなりすました犯人が、友人にメールやメッセージを送り、借金名目でお金をだまし取る、商品購入や送付をお願いするなどです。今回のLINEアカウント乗っ取りはこのパターンですね。
Q それではLINE上の「なりすましメッセージ」に実際に引っかかって被害に遭った場合、被害者はなりすまされた人に責任追及ができるのでしょうか。
A. 大きく分けて、「なりすまし」が発生した原因、なりすまされた本人が「なりすまし」に気づくことが出来たかどうかによって結論が変わってくるでしょう。また。被害に遭ったことについて被害者側に過失がないかも問題になります。
1 なりすましが発生した原因
以前のLINEの仕様では「パスワードを変更する際に現在のパスワードの入力を要求されない」というものだったので、スマホを誰かに短時間触られただけで勝手に「メールアドレスを見られ、パスワードを上書きされる」という危険性がありました。
現在は「現在のパスワードの入力必要」に仕様が変更されたため,スマホを誰かに触らせただけでアカウントを乗っ取られる危険性は無くなったということになります。加えてパスコードを設定するとさらに強固です。
しかし「メールアドレス」と「パスワード」「パスコード」をメモしていた紙を紛失したとか、それらの情報を誤って誰かにメールしたなどのように、なりすましが発生したのがなりすまされた本人の責任である場合、当然のことながら,本人の責任追及がされやすいということになります。
一方、LINEや他の提携事業者から「メールアドレス」と「パスワード」が流出した場合など、なりすまされた本人の責任によらずしてなりすましが発生した場合には、本人が責任追及をされる可能性は低くなります。
2 なりすまされた本人が「なりすまし」に気づくことが出来たかどうか、そしてそれを放置したかどうか
なりすましには、「スマートフォンアプリからの不正ログイン」と「パソコンからの不正ログイン」の2つがあります。スマートフォン版LINEは、複数端末からの同時ログインができないため、犯人が勝手に別の端末上のスマートフォン版LINEからログインした場合、利用中の端末は強制ログアウトになり、エラーが表示されます。したがって頻繁にLINEを使っている人はすぐに乗っ取られたことに気づくと思われます
一方、PC版LINEでログインされた場合、スマートフォン版LINEの強制ログアウトは発生しません。したがってこの場合,乗っ取られた瞬間に気づくことは難しいと思われます。もちろん、なりすました犯人が詐欺メッセージを一斉送信すると、友人から「どうなっているの?」というメッセージや連絡が殺到するでしょうから通常は、本人は被害にすぐに気づくはずです。「なりすまし」が発生したことを知ってからすぐに対処をすれば被害拡大は防げますし、なりすまされた人の責任も問われないと思われます。
逆に、なりすまされたことに気づきながらそれを放置したというような場合には、責任が発生する可能性が高いです。
難しいのは,LINEを使っている人も、その友人もLINEに詳しくなく、頻繁に利用していない場合(たとえば,孫との連絡に便利だからLINEを使い始めた新しい物好きのおばあちゃんが、同年代の友人とLINEでつながった場合など)です。このような場合はなりすましが発生し、詐欺メールが送られても被害者は何のことかわからず、なりすまされた本人に確認もせずに指示されるがままにWEBマネーを買ってしまうかもしれません(そもそも、そのような方はWEBマネーを購入するのが難しいのではないか www という問題はさておいて)。
しかも,本人は頻繁にLINEにログインしませんし、使う場合にも孫との連絡にしか利用しないので,なりすましに気づくのが非常に遅れることがありえます。そのような場合、なりすまされた本人の責任を問いうるのかということですが、これは難しいと思います。こういうパターンで責任追及しようとすると「LINEを使っている以上、なりすましの危険性があるので頻繁にLINEにアクセスしてアカウントの不正利用を確認する義務」というのが観念できなければなりませんが、そのような義務があるとは断言できないからです。
3 被害に遭ったことについて被害者側に過失がないか
また,被害に遭ったことについて被害者側に過失がないかも問題になります。具体的には,詐欺メールが送られた後に本人にLINE以外の方法(メールや電話等)で事実確認をしたかということです。これを全くせずに犯人に指示されるがままに被害に遭った場合、被害者側の過失はそれなりにあるということになると思われます。その場合は本人に責任追及するのが難しい、あるいは責任追及できるにしても全額は無理ということになります。
あとは詐欺メールの内容によっても被害者の過失の大ききは違うでしょうね。巧妙なメールがある一方で,明らかに不自然なメールもあるようです。
まとめ
以上のように、「他の提携サービスからアカウント情報が流出して」 「被害にすぐに気づいて対処した場合」には,なりすまされた本人が責任追求される可能性はかなり低くなるということ。
その逆にすなわち「自分の責任でアカウント情報が流出した場合」や「被害を知っていても放置した場合」(あるいはその両方)には、本人が責任を負わなければならないケースがそれなりに出てくる。
つまり
◎乗っ取りに気づいたらすぐさま対応
◎パスワードの管理は自己責任できちんと
というのが、基本的な個人の運用方針。当たり前といえば当たり前の話でした。使って無いアカウントだから別にいいやと放っておくと、責任を追及される可能性があると言うことですな。