講義資料|サポート詐欺と個人情報漏えいのおそれ
漏えい確定ではなくても、
「漏えいのおそれ」は重大インシデントである
本資料は、ある事業会社で発生した サポート詐欺に起因する二次被害と、個人情報漏えいのおそれを題材に、 発生時の正しい対応、報告判断、調査、再発防止の流れを講義用に整理したものです。
1. この講義の目的
サポート詐欺は、金銭被害だけでなく、遠隔操作による情報閲覧・認証情報窃取・個人情報漏えいのおそれにつながる重大なセキュリティインシデントです。
| 項目 | 内容 |
|---|---|
| 対象者 | 経営層、管理職、情報システム担当、現場職員、委託先担当者 |
| 目的 | サポート詐欺発生時に、何を止め、何を確認し、誰に報告するかを理解する |
| 重点 | 漏えい確定ではない場合でも「漏えいのおそれ」として扱う判断 |
| 到達目標 | 初動対応、証拠保全、個人情報保護委員会報告、本人通知、再発防止策を説明できる |
本講義の重要ポイント:漏えいが確認されていなくても、第三者が端末を遠隔操作し、個人情報にアクセスできる状態があった場合は、「漏えいのおそれ」として慎重に扱う必要があります。
2. 事案概要
本事案は、偽のセキュリティ警告をきっかけに、利用者が第三者へ連絡し、遠隔操作を許可してしまったサポート詐欺型のインシデントです。
偽のセキュリティ警告が表示される
↓
利用者が表示された連絡先へ電話
↓
攻撃者がサポート担当者を装う
↓
遠隔操作ソフトの導入・接続を誘導
↓
端末を第三者が操作可能な状態になる
↓
銀行アプリ・ブラウザ履歴・保存ファイル等を探索された可能性
↓
個人情報漏えい、認証情報窃取、金銭被害の二次リスクが発生
本事案の位置づけ
重大
漏えい確定ではない
調査時点で、個人情報が外部へ送信された確定証拠はない。
注意
漏えいのおそれはある
第三者が遠隔操作できたため、閲覧・コピー・送信の可能性を否定できない。
判断
インシデントとして扱う
法令報告、本人通知、顧客説明、再発防止の要否を検討する必要がある。
絶対に避けるべき対応:「漏れていないと思う」「たぶん大丈夫」で処理を終えること。証跡確認前に安全宣言をしてはいけません。
3. サポート詐欺とは
サポート詐欺とは、パソコンやスマートフォンの画面に偽の警告を表示し、 利用者を不安にさせ、表示された電話番号へ連絡させる詐欺です。 その後、攻撃者はサポート担当者を装い、遠隔操作ソフトの導入や金銭支払いを誘導します。
| 特徴 | 内容 |
|---|---|
| 偽警告 | ウイルス感染、情報漏えい、ロックなどの偽メッセージを表示する |
| 警告音 | 大音量の警告音や音声で利用者を焦らせる |
| 電話誘導 | 画面に表示された偽サポート窓口へ電話させる |
| 遠隔操作 | AnyDesk、TeamViewer、Chrome Remote Desktop等の遠隔操作ソフト導入を誘導することがある |
| 金銭被害 | サポート費用、セキュリティ費用、電子マネー、クレジットカード決済等を要求する |
| 二次被害 | 認証情報窃取、銀行口座探索、個人情報閲覧、ファイル持ち出しのリスクがある |
正しい対応:偽警告画面の番号には電話しない。遠隔操作を許可しない。組織PCの場合は、すぐに管理者・情報システム担当へ連絡する。
4. 個人情報漏えい「確定」と「おそれ」の違い
本事案で最も重要なのは、漏えいが確定していない場合でも、漏えいのおそれがあればインシデントとして扱う点です。
| 区分 | 状態 | 対応判断 |
|---|---|---|
| 漏えい確定 | 個人情報が外部に送信、公開、第三者取得された証拠がある | 報告・本人通知・被害拡大防止を速やかに実施 |
| 漏えいのおそれ | 第三者が個人情報にアクセス可能な状態、閲覧可能な状態、送信可能な状態があった | 確定でなくても、報告対象に該当するか検討する |
| 漏えいなし | 調査により、個人情報へのアクセス・閲覧・送信がないと合理的に説明できる | 証跡を残し、再発防止策を実施 |
報告対象になりやすいケース
要配慮個人情報が含まれる
財産的被害が生じるおそれがある
不正の目的による漏えい等のおそれがある
1,000人を超える個人データが関係する
認証情報や金融情報が閲覧された可能性がある
遠隔操作により第三者が端末内を探索した可能性がある
5. 発生時の正しい初動対応
初動の目的は、犯人を追いかけることではありません。まずは「止める」「隔離する」「証拠を残す」「判断材料を集める」ことです。
1
ネットワークから隔離する
LANケーブルを抜く、Wi-Fiを切る。電源断は証跡が失われる場合があるため、状況に応じて判断する。
2
遠隔操作を停止する
AnyDesk、TeamViewer、Chrome Remote Desktop等の遠隔操作ソフトを停止し、接続履歴を保全する。
3
利用者ヒアリングを行う
いつ、何を見て、どこに電話し、何を入力し、何を操作されたかを時系列で確認する。
4
証跡を保全する
画面写真、ブラウザ履歴、通話履歴、遠隔操作ソフト履歴、イベントログ、コマンド履歴を保存する。
5
影響範囲を確認する
端末内の個人情報、共有フォルダ、クラウドストレージ、メール、ブラウザ保存パスワード、業務システム接続を確認する。
6
パスワード・認証情報を変更する
メール、業務システム、クラウド、銀行、管理者アカウント、保存済みブラウザ認証情報を優先して変更する。
7
報告判断を行う
個人情報保護委員会への速報、本人通知、関係先連絡、警察相談、委託元報告の要否を判断する。
6. 初動でやってはいけないこと
証跡確認前に「漏えいなし」と断定する
遠隔操作ソフトを証拠確認前に削除する
利用者を責めて報告しづらくする
端末をそのまま業務利用に戻す
関係者へ口頭だけで共有する
報告期限を意識せず調査完了まで放置する
特に危険なのは「証拠を消してから調査する」ことです。遠隔操作ソフト、ブラウザ履歴、イベントログ、通信履歴は重要な判断材料です。
7. 調査で確認すべき項目
| 確認対象 | 確認内容 | 目的 |
|---|---|---|
| 利用者ヒアリング | 電話番号、通話時間、入力内容、支払い有無、操作された内容 | 攻撃者の行動把握 |
| 遠隔操作ソフト | 導入有無、接続履歴、接続ID、ファイル転送履歴 | 第三者操作の有無確認 |
| ブラウザ | 履歴、ダウンロード、保存パスワード、自動入力、Cookie | 認証情報窃取リスク確認 |
| Windowsイベントログ | ログオン履歴、プロセス起動、アプリ導入、エラー履歴 | 操作時系列の確認 |
| PowerShell / コマンド履歴 | 実行コマンド、外部接続、探索行為 | 攻撃行為の有無確認 |
| ファイルアクセス | 個人情報ファイル、顧客データ、CSV、Excel、PDFへのアクセス | 漏えい対象の特定 |
| メール | 送信履歴、転送設定、不審なログイン、添付ファイル | 外部送信・乗っ取り確認 |
| クラウドストレージ | Google Drive、OneDrive、Dropbox等の同期・共有履歴 | 外部共有確認 |
| 金融・決済 | 銀行サイト、クレジットカード、電子マネー、ギフトカード | 二次的金銭被害の確認 |
8. 報告・通知の判断
個人情報が漏えいした事実が確定していなくても、個人の権利利益を害するおそれがある場合は、報告・本人通知の要否を検討します。
個人情報保護委員会への報告
| 区分 | 期限の目安 | 内容 |
|---|---|---|
| 速報 | 発覚日から概ね3〜5日以内 | 判明している範囲で、事案概要、発生日、対象情報、原因、対応状況を報告 |
| 確報 | 原則30日以内 | 原因、影響範囲、再発防止策、本人通知状況などを整理して報告 |
| 不正目的のおそれがある場合 | 原則60日以内 | 不正目的による漏えい等のおそれがある場合は、確報期限が60日以内となる場合がある |
本人通知の考え方
| 通知項目 | 内容 |
|---|---|
| 事案概要 | 何が起きたのか。サポート詐欺による遠隔操作があったこと。 |
| 対象情報 | 氏名、住所、電話番号、メール、取引情報など、影響可能性のある情報。 |
| 二次被害防止 | 不審な連絡、詐欺電話、なりすましメール、金融被害への注意喚起。 |
| 対応状況 | 端末隔離、調査、パスワード変更、再発防止策の実施状況。 |
| 問い合わせ先 | 専用窓口、担当部署、受付時間、連絡方法。 |
「漏えい確定ではない」ことと「通知しなくてよい」ことは同じではありません。対象者の不利益を防ぐために、通知が必要な場合があります。
9. 時系列対応モデル
発覚直後:0〜1時間
端末をネットワークから隔離。遠隔操作を停止。現場から情報システム担当・責任者へ連絡。
初日:1〜6時間
利用者ヒアリング、画面写真、通話履歴、ブラウザ履歴、遠隔操作ソフト履歴、イベントログを保全。
初日:6〜24時間
端末調査、認証情報変更、金融被害確認、関係先報告、警察相談の要否判断。
2〜3日目
個人情報の影響範囲を整理。漏えい等報告の対象に該当するか判断。速報の準備。
3〜5日以内
必要に応じて個人情報保護委員会へ速報。本人通知の要否を判断。
30日以内または60日以内
原因、影響範囲、再発防止策、本人通知状況を整理し、確報を提出。
10. 未然に防ぐためのプロセス
サポート詐欺は、技術対策だけでは防ぎきれません。人・端末・権限・教育・報告ルートをセットで整備します。
組織として整備すべきルール
偽警告画面の番号に電話しない
外部の遠隔操作を勝手に許可しない
警告画面が出たら情報システム担当へ即連絡
業務PCに勝手にソフトを入れない
ブラウザに業務パスワードを保存しない
管理者権限を一般利用者に渡さない
個人情報ファイルを端末ローカルに置きっぱなしにしない
事故時の連絡先をPC付近・社内ポータルに掲示する
技術的対策
| 対策 | 内容 |
|---|---|
| EDR / ウイルス対策 | 不審な遠隔操作、マルウェア、外部通信を検知する |
| 管理者権限制御 | 一般利用者が勝手にソフトを導入できないようにする |
| アプリ制御 | 未許可の遠隔操作ソフトを起動・インストールできないよう制限する |
| DNS / Webフィルタ | 詐欺サイト、マルウェア配布サイト、不審ドメインをブロックする |
| ログ収集 | イベントログ、通信ログ、EDRログ、認証ログを保管する |
| 多要素認証 | メール、クラウド、業務システムにMFAを導入する |
| ブラウザ設定 | 保存パスワード、自動入力、危険サイト警告、拡張機能を管理する |
| バックアップ | ランサムウェアや破壊行為に備え、世代管理付きバックアップを保持する |
11. 現場職員向けの行動ルール
現場で最も重要なのは、焦って自分で解決しようとしないことです。
| 場面 | 正しい対応 | 禁止事項 |
|---|---|---|
| 警告画面が出た | 画面を写真に撮り、管理者へ連絡 | 表示された電話番号に電話しない |
| 警告音が鳴る | 落ち着いてネットワークを切り、管理者へ連絡 | 画面の指示に従って操作しない |
| 電話してしまった | すぐに通話を終了し、経緯を報告 | 個人情報、ID、パスワードを伝えない |
| 遠隔操作された | ネットワーク隔離、管理者へ即時報告 | 証拠確認前にソフトや履歴を削除しない |
| 支払いを求められた | 支払わず、警察・管理者へ相談 | 電子マネー、カード、振込を行わない |
12. 経営層・管理者が持つべき視点
信用
漏えい有無だけで判断しない
「漏れていない」ではなく、「漏えいのおそれに対して合理的に調査した」と説明できることが重要です。
説明責任
証跡と記録を残す
いつ、誰が、何を判断し、どの対策を実施したかを文書化します。
再発防止
個人のミスで終わらせない
教育不足、権限管理、端末制御、報告ルートの不備を組織課題として改善します。
経営判断のポイント:サポート詐欺は「利用者が騙された問題」ではなく、「組織として被害を止める仕組みがあったか」が問われます。
13. 再発防止策テンプレート
| 分類 | 再発防止策 | 実施頻度 |
|---|---|---|
| 教育 | サポート詐欺の画面例、対応手順、報告先を周知する | 年2回以上 |
| 訓練 | 偽警告画面が出た想定で、報告訓練を行う | 年1回以上 |
| 端末管理 | 管理者権限を制限し、未許可ソフト導入を禁止する | 常時 |
| ログ管理 | 端末ログ、認証ログ、通信ログを一定期間保管する | 常時 |
| 個人情報管理 | 個人情報ファイルをローカル保存せず、アクセス権を制御する | 常時 |
| 権限管理 | 退職者、異動者、委託先アカウントを定期棚卸しする | 月次または四半期 |
| 報告体制 | インシデント連絡先、休日連絡、一次対応者を明確にする | 常時 |
| 委託先管理 | 委託先との役割分担、報告期限、証跡提出範囲を明確にする | 契約時・年次 |
14. 事故報告書に残すべき内容
報告書は、責任追及のためではなく、事実確認・再発防止・説明責任のために作成します。
発覚日時
発生場所・対象端末
利用者の操作内容
攻撃者との接触内容
遠隔操作ソフトの有無
個人情報の種類と件数
漏えい確定またはおそれの根拠
初動対応の内容
外部送信・閲覧の有無
警察・委員会・関係先への報告状況
本人通知の要否と実施状況
再発防止策
15. 公開時に伏せるべき情報
公開資料では、教育目的に必要な範囲に限定し、特定企業・個人・端末・取引先が推測できる情報を削除します。
| 伏せる情報 | 公開用の表現 |
|---|---|
| 会社名 | ある事業会社、対象組織、当該組織 |
| 個人名 | 利用者、職員、担当者 |
| 取引先名 | 関係先、委託元、委託先 |
| 具体的な端末名 | 対象端末、業務端末 |
| 具体的なファイル名 | 個人情報を含む業務ファイル |
| 具体的な日時 | 発覚当日、初日、数日以内 |
| 具体的な住所・施設名 | 事業所、拠点、執務エリア |
公開版の原則:事案の教訓は残し、特定につながる固有情報は残さない。
16. 受講者向け確認テスト
Q1. 偽のセキュリティ警告画面が出た場合、最初にしてはいけないことは?
画面に表示された電話番号へ電話することです。まず画面を記録し、管理者・情報システム担当へ連絡します。
Q2. 遠隔操作を許可してしまった場合、漏えい確定でなければ何もしなくてよいか?
いいえ。第三者が端末を操作できた時点で、個人情報を閲覧・コピー・送信できた可能性があるため、漏えいのおそれとして扱います。
Q3. 初動対応で最も重要な4つは?
ネットワーク隔離、遠隔操作停止、証跡保全、影響範囲確認です。
Q4. 個人情報保護委員会への速報の期限目安は?
発覚日から概ね3〜5日以内です。すべての調査が終わっていなくても、判明している範囲で速やかに報告します。
Q5. 再発防止を「利用者の注意不足」で終わらせてはいけない理由は?
サポート詐欺は心理的に焦らせる手口であり、組織として教育、権限制御、アプリ制御、ログ管理、報告体制を整える必要があるためです。
17. 講義の締め
| 鉄則 | 内容 |
|---|---|
| 1. 電話しない | 偽警告画面の番号には絶対に電話しない |
| 2. 許可しない | 第三者に遠隔操作を許可しない |
| 3. 隔離する | 被害端末をネットワークから切り離す |
| 4. 消さない | 証拠確認前に履歴やソフトを削除しない |
| 5. 記録する | 時系列、画面、通話、操作内容、ログを残す |
| 6. 判断する | 漏えい確定でなくても、漏えいのおそれとして報告要否を判断する |
| 7. 再発防止する | 教育、端末制御、権限管理、報告体制を改善する |
個人情報漏えい対応で重要なのは、
漏れたかどうかの断定ではない。
漏えいのおそれに対して、合理的に調査し、説明できることである。
漏れたかどうかの断定ではない。
漏えいのおそれに対して、合理的に調査し、説明できることである。
18. 参考リンク
講義資料の補足として、以下の公的機関資料を確認してください。
| 項目 | リンク |
|---|---|
| 個人情報保護委員会:漏えい等の対応 | https://www.ppc.go.jp/personalinfo/legal/leakAction/ |
| 個人情報保護委員会:漏えい等報告・本人通知の義務化 | https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka |
| IPA:偽セキュリティ警告・サポート詐欺対策 | https://www.ipa.go.jp/security/anshin/measures/fakealert.html |
| IPA:遠隔操作ソフトを悪用される手口への注意 | https://www.ipa.go.jp/security/anshin/attention/2023/mgdayori20230411.html |
| 警察庁:サポート詐欺対策 | https://www.npa.go.jp/bureau/cyber/countermeasures/support-fraud.html |
| 警察庁:サイバー事案に関する相談窓口 | https://www.npa.go.jp/bureau/cyber/soudan.html |