English

お問い合わせ

BLOG

エグゼクティブ対談

2014 年 01 月 21 日

第 1 回 :サイバー空間ではどのような犯罪が起きているのか?

対談者ご紹介

西本逸郎(にしもと いつろう)様
株式会社ラック 取締役 CTO 兼 サイバー・グリッド・ジャパン GM

通信系ソフトウエアやミドルウエアの開発に従事。その後、ドイツのシーメンスニックスドルフ社と提携し、オープンPOS(Windows POS)を世界に先駆け開発・実践投入。堅ろうなシステムをいかに作って維持していくかをテーマに不正アクセス対策という観点でまい進中。情報セキュリティ対策をテーマに官庁、国土交通大学校、大学、その他公益法人、企業、各種ITイベント、セミナー、などでの講演、新聞・雑誌などへの寄稿等多数。

株式会社ラック 取締役 CTO 兼 サイバー・グリッド・ジャパン GM/一般社団法人 日本スマートフォンセキュリティ協会 理事 事務局長/特定非営利活動法人 日本ネットワークセキュリティ協会 理事/データベースセキュリティコンソーシアム 理事 事務局長/セキュリティ・キャンプ実施協議会 事務局長

著書・監修書:日本経済新聞社「いますぐはじめる サイバー護身術 なりすまし、不正アクセス...どう防ぐ?」(日経e新書)、税務経理協会「ビジネスパーソンのためのセキュリティ対策」(単行本)監修、中経出版「国・企業・メディアが決して語らないサイバー戦争の真実」(単行本)

「接近・連続・展開」エグゼクティブ インタビューの第1 回目にご登場いただいた西本氏は、情報セキュリティの世界では大変有名な方で、2014 年に設立されたサイバー・グリッド・ジャパンのGM を始め所属する団体なども優に10を超える。新聞・雑誌・テレビなどでもご活躍されていらっしゃるだけに、お話の内容は非常に分かりやすく誰にでも理解できる。しかし、穏やかな口調で語られる内容は、まるでSF かスパイ映画に出てくるようなサイバー犯罪がすでに我々の身近な環境で現実に起きているというショッキングなものだった。

日本のサイバー犯罪は序章に過ぎない

眞柄:エグゼクティブ インタビューの第 1 回は、日本の情報セキュリティーの権威で、株式会社ラック 取締役 CTO 兼 サイバー・グリッド・ジャパン GM としてご活躍されている西本逸郎さんをお迎えしました。西本さん、よろしくお願いいたします。

最初に伺いたいのは、これまでも西本さんがさまざまなメディアで発信されている情報についてです。いま、ネットワーク上ではどのような犯罪が起きていて、それに企業として、あるいは国としてはどう対処すべきでしょうか。

先日の日本経済新聞で、西本さんがオンラインバンキングを使った犯罪による被害状況について書かれているのを拝見しました※1。こうしたできごとは、これまでもキャッシュカードを落としたり、盗まれたりということを通じて、利用者もその危険性について、ある程度の理解はしていたとは思います。

しかし、コンピューターネットワークがこれほどまでに発達してきますと、ちょっとしたことから大きな犯罪に巻きこまれ、その被害金額も桁違いに大きくなります。

また、国境をまたぐ大規模な犯罪に発展して、これまでよりもさらに深刻な状況に陥っているのではないかと思いました。まず、いまのオンラインバンキングに関わる犯罪の状況はどうなっているのでしょうか。

西本:欧米でサイバー犯罪といえば、オンラインバンキングを舞台にした不正出金、不正送金が主なものです。特に、ロシアをはじめとする東ヨーロッパではそれがとても大きな問題となっていました。

しかし、これまで日本ではこうした犯罪の被害はほとんどみられませんでした。ところが、一昨年くらいから被害が急激に増加しています。

この背景にはいわゆる"オレオレ詐欺"に関与していた"出し子"と呼ばれる、金銭を振り込ませたあとで口座から引き出してそれを現金化するグループの関与があるのではないかと思われます。つまり、ネットワーク上で送金を実行したあとで、現金化する際に、こうしたグループがある種のプラットホームとして様々なサイバー犯罪集団に利用されるようになったということです。

これまでは国内でサイバー犯罪を企てるよりも、オレオレ詐欺の方が簡単に儲かりましたし、海外の犯罪者にとっても、わざわざ日本を相手にしなくても、儲かる国は他にいくつもありました。しかし、実は日本は儲かる国だということが犯罪者に知れ渡り、いま、一気にせきを切ったような状況になっているのだと思います。

先日、警察庁が日本でのオンラインバンキングの年間被害総額が過去最大の 7 億円を超えたと発表しました※2。しかし、この額は欧米の被害総額と比べると、わずか 10 分の 1 から 100 分の 1 にすぎません。つまり、日本でのサイバー犯罪はまだ始まりにすぎないのです。

例えば、昨年の 12 月と今年 2 月に、欧米の銀行強盗団が日本から不正出金をしたという事件が発生しました。これは中東のオマーンにある銀行口座の偽造カードを使い、9 人の犯罪者がわずか 7 時間のうちに、都内 220 か所の銀行やコンビニの現金自動預払機(ATM)から約 9 億円の引き出しに成功したという事件でした。

計算すると1人当たり 25 か所の ATM をそれぞれ一気に駆け回り、1 億円ずつ手に入れることができたのです。こうしたことも、犯罪者の間に"日本はもうかる"ということが知れ渡たるきっかけとなった可能性もあります。

さらに、いままで日本はさまざまな分野の関係者がいろいろと努力を重ねて、消費者をなんとか保護しようとしてきましたが、インターネット時代にはもはや守りきれないということも背景にあると思います。

眞柄:日本ではこの数年でスマートフォンが身近なものになりましたし、インターネットの接続料金も安価で、一気に普及を遂げました。そのなかで、なにか大きな穴があったのでしょうか。

セキュリティの問題を考えるときには、しばしば「法・技術・モラルの三位一体が必要だ」と語られますが、それらのどこかに穴があるのでしょうか。

西本:もちろん犯罪者にとってモラルなんて関係ありませんし、法も突破してしまいます。技術については、これまではサービス提供者側が対処すべき課題と思われていましたが、スマートフォンというオープンな端末利用の環境が広まったことで、サービス提供者側だけでなく、利用者側でも対処のための技術が必要になってきます。

そもそも、日本はある意味でとても慎重な国です。その慎重さゆえに、インターネットへの取り組みも遅れがちなところもあります。

例えば、電子政府、B2B 取引、ビッグデータの利用など、IT 立国を標ぼうしている他の国と比べると遅れを感じます。これまでは慎重ゆえに制度を作るとか、被害が出ないようにと対策を講じてきたのですが、今後は時間をかけ過ぎた割に効果が思ったほどでないことも出てくるように感じます。むしろ、利便性も危険性も早期にいろいろなことを体験して学ぶ必要があると思います。

銀行の事件でいいますと、2013 年 8 月に警視庁の調べで、日本国内の 1 万 5000 台程度のパソコンがオンラインバンキングの ID を抜き取る目的のウイルスに感染していたと発表されていますが、おそらく感染者の多くはそのことを知らないのではないでしょうか。それどころか、ほとんどの人はオンラインバンキングを使ってもいないと思います。

しかし、オンラインバンキングの潜在顧客はたくさんいます。では、不正にアカウントを奪うウイルスにどうやって感染するかといいますと、悪意のある人がホームページを改ざんし、なにも知らない利用者がそれを閲覧することで感染してしまうというところは確かだと思います。しかし、その全体像はよくわからないのが実情なのです。

例えば、不正送金が行われたある事案を調査したら、確かにパソコンにパスワードを抜き取るウイルスが仕込まれていたという事実は確認できても、では誰が、どう埋め込んで、それはその犯罪行為全体の構造のなかで、どのように機能しているかについてはほとんど解明できないのです。

組織的犯罪とソーシャルエンジニアリングに対する対応

眞柄:多様な要素が大規模に組み合わされて犯罪のための仕組みが構成されている場合、どのような悪事を働こうとしているかという全体像は想像もつきませんね。

西本:実社会でも同じですが、組織犯への対抗策は、単独犯への対抗策とはまったく異なるアプローチが必要です。まず、組織のプロファイリングをして、どういう技術を持っているのかを調べていかないといけません。犯罪の実行にあたって、どのような政治的、思想的背景があろうが、単に金銭を盗むことが目的で、裏では何らかの組織が動いている事例が多いと感じます。ですから、表面的な事件だけを追っているだけでは対抗できないのです。

民間でできること、国レベルでやることなど、いろいろと課題はありますが、特に国をまたいで行われる犯罪だと解決はより困難になっていきます。

しかし、ネットワークが危険なら、情報通信技術は使わなければいいという選択肢は事実上なくなっています。そのため、セキュリティリスクの原因がなんであろうが、国の対策がどうであろうが、個人でも対処をしていけるだけの知恵を身につけるしかありません。

眞柄:企業についていえば、社員一人ひとり、組織単位などで取り組むべき対策はいろいろとあるとは思いますが、最も対策が必要なリスクとはどういったものでしょうか。

西本:まず、パソコンのぜい弱性、そしてもう一つは人間がだまされることです。もちろん、アカウントの使い回しも問題です。

企業に対してのテクニックとして、標的型メールという手法があります。本物のメールを装って、誰しもが開封してしまう内容のメールを送りつけるのです。よくあるのは政府機関になりすますのもそうですが、実はそうしたものは意外とひっかからなくて、むしろ、ちょっとしたセミナーの案内だとか、人材採用に関する問い合わせとか、取締役への取材依頼などを装うことの方が有効なのです。しかも、システムのぜい弱性などを狙わずに、単なる実行可能ファイルをメールに添付してきて、受信者はそれを何気なくそのまま開けてしまうことも多いのです。

もちろん、パソコンのぜい弱性に対する対処も必要ですが、なにしろ使っている人の認識が甘いのです。特に、人は守ら