サイバー犯罪の温床に? あまりにも甘い日本人のセキュリティ意識

サイバー犯罪の温床に? あまりにも甘い日本人のセキュリティ意識

『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実』(幻冬舎刊)

今年に入って、世界的規模のサイバーテロによって、国家や企業に甚大な被害が出るという事例が続いているが、ネット全盛の今、一市民として生きる私たちにとってもこうした犯罪は対岸の火事ではない。

もはや、サイバー空間を利用した犯罪は、個人の銀行口座から預金を盗みとるまでに進化している。もう、いつ自分が標的になるかわからない世の中になっているのだ。

今、サイバー空間で何が起こっているのか。そして、こんな時代だからこそ必要とされるリテラシーはどのようなものか。『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実』(幻冬舎刊)の著者で、サイバーセキュリティ専門家の足立照嘉さんにお話を聞いた。

――『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実』について。ここ数年でハッキング等によるサイバー犯罪の被害は一気に拡大しています。この流れは今後も続くとみていいのでしょうか。

足立:私たちの生活や社会は、今後より一層ITへの依存度を高めていきます。このことは私たちへの恩恵をもたらすことと同時に、サイバー犯罪を犯すものにとっても2つの魅力があります。

一つは、私たちにとって無くてはならないものを奪ったり、使えなくしたりすることで駆け引きを行うことができるようになります。これは、2016年頃より急増しているランサムウェア(身代金要求型不正プログラム)犯罪などに代表されるものです。

また、あらゆるモノやコトがIT化されていくことで、ハッキングのテクニックを応用して不正な操作を行える対象が増えていきます。例えば、セキュリティ対策が厳重になってきた金融機関を敢えて狙わなくても、これまで金融機関を狙っていたのと同じハッキングツールを用いて重要インフラ(電気や水道など)を狙っていけば良いのです。

もし重要インフラのセキュリティ対策が厳重になってくれば、その時は次のターゲットを探せば良いのです。

――ハッキングについては、本の中にもありましたが、国家ぐるみで行っているケースもあります。諜報機関によるハッキングというのはおおよそどの国でも行われているものなのでしょうか。

足立:内部告発などの形や、政治的な意図での理由で外部に公表されたりした場合を除いて、国家が「ハッキングを行なっています」と大体的に公表している国は今のところはありませんので、実態を把握することは難しいでしょう。

しかし、諜報活動に携わるものの身体的なリスクを軽減し、効率的な諜報活動を行う上で、ハッキングは有効な手段の一つであるということは断言できます。実際、産業領域においても製造業などでは産業スパイを従業員の中に紛れ込ませる手口ではなく、ハッキングを用いて行うことが増えています。

そのため、ハッキングを諜報活動において用いない理由を考えるほうが、難しいことでしょう。

――現在各国で進められているという、「サイバー空間への地政学的アプローチの研究」とは、具体的にどういったものなのでしょうか。

足立:本来、「地政学」とは地理学が培ってきた環境論の1つで、「環境決定論」という見方と政治学が結びついたものです。そして、現代社会において環境の一つとしてサイバー空間における戦いも考慮しなくては、説明のつかない状況が生まれています。

例えば、ある国が大陸間弾道ミサイルの開発を行っているとしましょう。それそのものは脅威ですが、自国が射程圏内に入らなければ、その脅威は極めて小さいものであると捉えることができます。
しかし、サイバー空間における戦いでは異なってきます。

目と鼻の先の誰かを攻撃することも、地球の裏側の誰かを攻撃することも、手間もコストもリスクも大きくは違わないからです。つまり、これまで大きな脅威としてみなしていなかった存在さえも、大きな脅威となり得るということで、地政学上の関係性も大きく変わってきます。

この件について地理学の研究者に尋ねてみたところ、イスラエル、ロシア、中国、アメリカ合衆国等がこの領域での研究において先行しているとのことでした。

――本書に書かれているように、PCや端末の遠隔操作が可能となると、それを利用した犯罪の取り締まりは非常に困難になるように思います。サイバー犯罪への警察の捜査能力というのは現状どの程度のものなのでしょうか。

足立:以前と比べて優秀な方が多く集まられていると思います。しかし、現行制度上の課題や、国境を越えてのサイバー犯罪の場合には国際間の連携が必要となることなど、まだまだ多くの課題が山積する中で捜査活動を行わなくてはならないという難しい状況があります。

サイバー犯罪自体が複雑かつ巧妙化しており、尚且つプライバシーの問題など諸事情からも全ての国が積極的に捜査への協力を行うということは難しいため、今後一層の困難をきわめるでしょう。

――近年ではパソコンなど端末のセキュリティや個人情報の管理などへの意識は高まっているように感じますが、本の中では「日本はサイバー犯罪を行いやすい環境にある」とされていますね。

足立:日本では、「誰かが守ってくれている」という感覚が非常に強いと思います。
その理由については、「島国根性だから」とかいくつかの理由が考えられますが、日本独自の商慣習も影響していると考えています。

例えば、北米の企業においては、ITの利用者であるユーザー企業が自らIT機器の選定から導入作業や運用までを行うことが多く見られます。しかし、日本では大手のITベンダーに要望だけ伝えて丸投げすることが多いです。

そのため、およそ10年前にセルフサービス型でユーザーが自由に設定などの操作を行えるB2B向けのクラウドサービスなどが普及してきた時も、北米ほどのペースでは普及しませんでした。

ITは自分以外の誰かが管理してくれるものだし、セキュリティについても誰かが何かやってくれているのだろうという感覚をお持ちの方は、案外少なくないのではないでしょうか。
そして、このことが意識の向上、ひいては対策を行うことを遅らせてしまう要因の一つとなってしまっています。 

――サイバー・セキュリティへの意識が低い人に多い考えは、「自分のPCには引き出されて困るような情報は入っていない」というものです。こういう人であってもインターネットに接続する以上リスクはあると思いますが、具体的にどんな被害が考えうるでしょうか。

足立:まずあげられるのは「踏み台」として利用されてしまうということです。その人自身に価値が無かったとしても、その人を利用する価値はあるのです。

具体的には、踏み台とされることで加害者に仕立て上げられることもありますし、セキュリティ対策の高いターゲットに侵入するために利用されることもあります。実際、米国のスーパーマーケットや中東の軍事施設など高いセキュリティレベルが確保されている施設で不正侵入が成功した事例がありますが、これらはセキュリティ対策を怠った取引先業者をまずは狙い、彼らを利用して本来のターゲットへの不正侵入を成功させています。
(後編に続く)

関連記事(外部サイト)