証券口座への不正アクセスは「STB経由で発生していない」日本ケーブルテレビ連盟が声明

急増するインターネット取引サービスへの不正アクセスや、不正取引による被害を巡り、日本経済新聞が「証券口座への不正アクセスで、(家庭用の)STBが踏み台として使われた」と報道したことを受け、ケーブルテレビ事業者の業界団体である日本ケーブルテレビ連盟は10月24日に声明を公表。「加盟事業者・メーカーに確認した結果、報道にあるような不正アクセス事象は現時点で確認されていない」としている。

日本ケーブルテレビ連盟の公式サイトより

連盟の声明文

金融庁の注意喚起によれば、実在する証券会社のWebサイトを装った偽サイト(フィッシングサイト)で窃取されたログインIDやパスワードなどの顧客情報を使った、インターネット取引サービスへの不正アクセス・不正取引(第三者による取引)の被害が急増。各社ではこうした事態を重く見て、パスワード不要のログイン「パスキー認証」(FIDO2)を新たに導入するなど、さまざまな対策を進めている。

こうした不正アクセスや不正取引の“踏み台”として悪用される可能性がある存在として、捜査機関が注目しているのが「STB」(セットトップボックス)。実際、兵庫県警察サイバー情報発信室の「サイバー防犯通信」(令和7年41号)では、「家庭用ネット機器が犯罪の踏み台に」と題し、サイバー犯罪集団に悪用されないよう、セキュリティ基準の低い製品や、セキュリティ対策が不十分な製品を使わないよう注意を呼びかけている。

兵庫県警察サイバー情報発信室「サイバー防犯通信」(令和7年41号)では、家庭用ネット機器が犯罪の踏み台にされる一例として、STBを紹介している

STBの定義として、上記の注意喚起では「放送やインターネット経由のデータを受信し、テレビで視聴するための外付け機器全般のこと」としている。STBは一般に、ケーブルテレビ放送をはじめ、地デジ放送や衛星放送、VOD(ビデオ・オン・デマンド)サービスを含むIP放送といった、“放送信号を受信してテレビに出力する機器”のことを指す(これとは別に、法人向けサイネージ機器のことをSTBと呼称することもある)。

ちなみに昨今普及している、HDMIに直結するタイプのデバイスも近しい存在ではあるものの、基本的に放送受信機能を持たない“メディアストリーミングプレーヤー”であり、STBとは製品の性格が異なる(とはいえ常時ネット接続が前提の機器であり、こちらも脆弱性を突いた不正アクセスの踏み台にされるおそれがないとはいえない)。

ケーブルテレビ事業者が提供しているSTBの一例(写真はパナソニック製の「TZ-LS300F」)

昨今のSTBはインターネットに接続すると、契約しているケーブルテレビ事業者から自動でソフトウェア更新がかかる仕組みを採用している機器が多い。日本ケーブルテレビ連盟の声明でも、「ケーブルテレビ各社が提供するSTBは、製造メーカーによるセキュリティ対策のもとで運用されており、定期的なソフトウェア更新や脆弱性確認を通じ、安全性の確保に努めている」としている。

前出の日経新聞の報道では、STBが外部からの不正アクセスに利用された可能性があるとされたが、J:COMなど多くのケーブルテレビ事業者が「そうした事実は確認されていない」と告知。連盟も調査を進め、「ケーブルテレビ各社が提供するSTBについて、報道されたような内容に該当する事案は、現時点で確認されていない」と、改めて事実関係をアナウンスしたかたちだ。

連盟はさらに、「加盟事業者およびメーカーと連携し、今回の報道内容に関連する技術的事実関係を改めて確認した結果、問題となる不正通信や被害は発生していないことを確認した」と説明。「今後も引き続き関係機関およびメーカーと連携し、STBの安全性確保と情報セキュリティ対策を徹底する。また、正確な情報の共有と周知に努め、ケーブルテレビ事業に対する信頼維持を図る」と声明文を結んでいる。

STBやメディアストリーミングプレーヤーだけでなく、いわゆる“スマートテレビ”もインターネットに常時接続して使うことが当たり前になっている。IPA(情報処理推進機構)では2025年からこうしたIoT機器を対象とし、国の方針に基づいて構築された「セキュリティラベリング制度」(JC-STAR)を運営しており、適合ラベルを取得した製品リストを公開している。

JC-STARでは、インターネットプロトコル(IP)を使用したデータの送受信機能を持つ多彩な機器を対象としており、このうちスマート家電は自己適合宣言に基づく適合ラベル「★2(レベル2)」の付与対象とされている。今後、製品本体やパッケージなどで「JC-STAR」のロゴを見かける機会が増えそうだ。