どうなるネットの安全 迫る新型犯罪の脅威
ラック 取締役最高技術責任者(CTO) 西本 逸郎
残念ながら2013年もさまざまなインターネット上の安全を脅かすさまざまな事件が発生し、数多くの企業や個人が巻き込まれた。新年を迎えるのに当たり、ネットセキュリティーを守る最前線に立つ弊社の経験から、2014年にどんなサイバー世界での事件が起こりうるのか展望してみたい。
ネットバンキング被害、14年に本格化か
今年、まず注意すべきは金銭の窃取を目的としたネット犯罪だろう。昨年インターネットバンキング(ネットバンキング)で実行された不正送金の被害は過去最大となり、最悪だった11年の被害額の4倍に拡大。約12億円が犯罪者の手に渡った。しかし私は13年は「試験的な犯行」が行われたにすぎず、14年にいよいよ本格化するとみている。
実は日本はネットバンキングの普及率が欧米諸国に比べて低い。総務省が発表した12(平成24)年版情報通信白書にある2010年のデータによると、電子商取引(EC)や電子メールなどのコミュニケーションはほかの国に比べてよく使われている。ところがネットバンキングは明らかに使われていない。だからこそ被害額がまだ欧米より少ないだけだといっていいだろう。
犯罪者から見ると、日本はおいしい市場なのは間違いない。昨年9月、スマホの電池が長持ちするとの迷惑メールで「電池革命」といういんちきなアプリ(応用ソフト)がばらまかれたが、警戒心なく8000人にも及ぶ人がだまされてインストールした事実が明らかになった。金を持っているのに自己防衛意識が低い――。日本人はだましやすいとの情報が世界中のサイバー犯罪を企てる人々に伝わってしまったと考えるのが順当だ。国境や言語、法制度の壁がないサイバー社会と実社会とを巧妙に使い分けて、犯罪者はこれから確実に我々を襲ってくる。
個々の利用者が適切な用心を怠らないことは肝心だ。加えて組織化した犯罪者に対峙するには、捜査機関による犯罪基盤の調査を待ったなしでやらなければならない。犯罪者のネットワークは世界に広がっていると推測される。既に日本のネットワークやコンピューターが海外のサイバー犯罪で使用されていることも多い。にもかかわらず、日本に関係がないという理由で必ずしも国内の捜査機関が動いていない場合が多い。
国境を越えて張り巡らされた犯罪基盤の全容を解明する上で、海外の捜査機関に対して提供できる情報をまず国内で集め整理しておくことが重要になる。情報すら持たない現状では、一歩先をゆく海外の捜査機関と効率的な連携は難しいだろう。
次に、私が恐れているのは不正出金の発覚を遅らせるために、大規模なDDoS(分散型サービス妨害攻撃)が頻発する懸念だ。大量のパソコンを踏み台にしてサービス提供者側をマヒさせる大規模なDDoSを起こせば、そちらにかかりきりにならざるを得ない。実際欧米ではこの手口が既に使われており、犯罪者は送金先から現金を引き出すまでの時間稼ぎができ発覚しにくくできる。
しかしあくどい犯罪者なら、捜査機関が動き出さないようにあえて規模を小さくして、被害者となる個人だけを狙ったDDoSを起こすかもしれない。そんなDDoSを仕掛けられたら「素人」の個人にはお手上げだ。
官公庁や企業を狙った「サイバースパイ」も増えそうだ。2011年秋以降、サイバースパイによる被害が相次いだ官公庁や大企業は対策を進めた。取り組みが功を奏し、スパイを試みるウイルスなどの潜入は以前に比べてかなり短時間で発見できるようになった。ただずる賢い犯罪者は次の一手を編み出しており、攻撃の手を緩めるとは到底思えない。
新手のサイバースパイも大量発生の恐れ
最近増えているのが、短期間でスパイを実施する「指令遂行型」とも言える攻撃手法だ。これまでは、潜入後何年もかけて情報をひそかに吸い出し続けるのがサイバースパイの典型的な手口だった。長期間にわたって"熟成"するように足場を固めることから「基盤構築型」と私は呼んでいる。
私の読みでは、まだ対策が後手に回っている中小企業で従来の基盤構築型のスパイ活動を仕掛け、そこを足場に官公庁や大企業に向けて指令遂行型の攻撃で一気に情報を吸い出す犯罪が急増するはずである。まるで空母(基盤)から艦載機(指令遂行型)が飛び出し襲い掛かる、そんなイメージだ。
新しい手口のサイバースパイを防ぐには、縦割りを排除して情報を共有できる体制を整えることだ。侵入された責任を誰が負うのかを問い詰める前に、官公庁や企業が壁を越えてともに手を取り合っていま起こっているスパイ事件について協力して調査することが肝心だ。
恐ろしいのは国家的な陰謀で高度なサイバースパイが企てられる危険性が高まってきたことである。さらに主義主張が目的の攻撃者も、DDoSで業務を妨害したりウェブサイトを書き換えてメッセージを載せたりするだけでは満足しないはず。外交文書を暴露した「ウィキリークス」事件が明らかにしたように、窃取した情報を暴露すれば世界は大混乱に陥り、被害を受けた国は巨大なダメージを負う。
企業や国家の話を中心にしてきたが、一般消費者に忍び寄る新手の脅威もある。それがストーカーによるネット犯罪だ。自作の遠隔操作プログラムを目的の人物のパソコンやスマホに送り込む犯行が増加してくるのではないかと危惧している。
海外では既に「クリープウェア」とも呼ばれるストーキング目的のウイルスが多数発見されている。いつの間にかにスマホなどに忍び寄り、持ち主の一挙手一投足を外部から観察できるようにしてしまう不正なプログラムだ。遠隔操作ウイルスの一種で、カメラをオンにして勝手にスマホやパソコンの周囲を盗み見したりマイクで盗聴したり。被害に遭えば、全地球測位システム(GPS)で自宅の位置を知られどんなホームページを閲覧しているかも把握されてしまう。
困ったことにこうした自作プログラムは発見するのが難しい。昨年、4都府県警が男性4人を誤認逮捕したことで話題を呼んだ「パソコン遠隔操作事件」がそれを如実に物語っている。遠隔操作されていたことを捜査機関が知るまで、相当な時間がかかってしまった。
遠隔操作プログラムを作ることは実はそんなに難しいことではない。OS(基本ソフト)や一般の市販ソフトの多くにも遠隔操作の機能が組み込まれ、困ったことに悪意を持って操作するものかどうかウイルス対策ソフトなどでは判断が付きにくい。犯人が自作した遠隔操作ウイルスは技術的な観点では「ウイルス」とはいえず、事件発生当時この不正プログラムをウイルスと判定できた対策ソフトは皆無だった。
ITにたけたストーカー急増、社会問題に
つまりストーカーが新しい自作のプログラムを誰かのスマホなどに忍ばせることに成功した場合、まず発覚は難しい。狙われるのは個人。企業など組織は手助けしてくれないので自分の身は自分で守るしかない。自分のスマホやパソコンをむやみに他人に触らせない、電子掲示板や電子メールで紹介された知らない人が配るアプリは慎重にインストールを行うなど基本的な対策を確実にやるしかない。場合によっては前述したように、サイバースパイや遠隔操作事件など、凶悪な犯罪の足場に使われる可能性があることも心に留めておいてほしい。
企業を狙うにせよ個人を狙うにせよ、ネット上のセキュリティーが脅かされる根本的な原因はスマホやパソコンを使う一人ひとりの利用者にある。用心する自覚が足りないから安全でなくなる。ぜひ2014年は「自分が情報の運転手」という意識をもってほしい。運転手の腕が未熟ならIT機器の真の実力は引き出せないばかりか事故も起こりかねない。
様々な業界で商品やサービスをテクノロジーの力で「スマート化」する動きが相次ぐ。それをスマートに使いこなさなければならないのは利用者自身だ。14年を境に、国民のセキュリティー意識が世界一高い「スマートな日本」になり、2020年の東京オリンピックでは世界に自慢できる国。そんな日本になることを切に願っている。