2014 年 01 月 21 日
第 1 回 :サイバー空間ではどのような犯罪が起きているのか?
対談者ご紹介
西本逸郎(にしもと いつろう)様
株式会社ラック 取締役 CTO 兼 サイバー・グリッド・ジャパン GM
通信系ソフトウエアやミドルウエアの開発に従事。その後、ドイツのシーメンスニックスドルフ社と提携し、オープンPOS(Windows POS)を世界に先駆け開発・実践投入。堅ろうなシステムをいかに作って維持していくかをテーマに不正アクセス対策という観点でまい進中。情報セキュリティ対策をテーマに官庁、国土交通大学校、大学、その他公益法人、企業、各種ITイベント、セミナー、などでの講演、新聞・雑誌などへの寄稿等多数。
株式会社ラック 取締役 CTO 兼 サイバー・グリッド・ジャパン GM/一般社団法人 日本スマートフォンセキュリティ協会 理事 事務局長/特定非営利活動法人 日本ネットワークセキュリティ協会 理事/データベースセキュリティコンソーシアム 理事 事務局長/セキュリティ・キャンプ実施協議会 事務局長
著書・監修書:日本経済新聞社「いますぐはじめる サイバー護身術 なりすまし、不正アクセス...どう防ぐ?」(日経e新書)、税務経理協会「ビジネスパーソンのためのセキュリティ対策」(単行本)監修、中経出版「国・企業・メディアが決して語らないサイバー戦争の真実」(単行本)
日本のサイバー犯罪は序章に過ぎない
眞柄:エグゼクティブ インタビューの第 1 回は、日本の情報セキュリティーの権威で、株式会社ラック 取締役 CTO 兼 サイバー・グリッド・ジャパン GM としてご活躍されている西本逸郎さんをお迎えしました。西本さん、よろしくお願いいたします。
最初に伺いたいのは、これまでも西本さんがさまざまなメディアで発信されている情報についてです。いま、ネットワーク上ではどのような犯罪が起きていて、それに企業として、あるいは国としてはどう対処すべきでしょうか。
先日の日本経済新聞で、西本さんがオンラインバンキングを使った犯罪による被害状況について書かれているのを拝見しました※1。こうしたできごとは、これまでもキャッシュカードを落としたり、盗まれたりということを通じて、利用者もその危険性について、ある程度の理解はしていたとは思います。
しかし、コンピューターネットワークがこれほどまでに発達してきますと、ちょっとしたことから大きな犯罪に巻きこまれ、その被害金額も桁違いに大きくなります。
また、国境をまたぐ大規模な犯罪に発展して、これまでよりもさらに深刻な状況に陥っているのではないかと思いました。まず、いまのオンラインバンキングに関わる犯罪の状況はどうなっているのでしょうか。
西本:欧米でサイバー犯罪といえば、オンラインバンキングを舞台にした不正出金、不正送金が主なものです。特に、ロシアをはじめとする東ヨーロッパではそれがとても大きな問題となっていました。
しかし、これまで日本ではこうした犯罪の被害はほとんどみられませんでした。ところが、一昨年くらいから被害が急激に増加しています。
この背景にはいわゆる"オレオレ詐欺"に関与していた"出し子"と呼ばれる、金銭を振り込ませたあとで口座から引き出してそれを現金化するグループの関与があるのではないかと思われます。つまり、ネットワーク上で送金を実行したあとで、現金化する際に、こうしたグループがある種のプラットホームとして様々なサイバー犯罪集団に利用されるようになったということです。
これまでは国内でサイバー犯罪を企てるよりも、オレオレ詐欺の方が簡単に儲かりましたし、海外の犯罪者にとっても、わざわざ日本を相手にしなくても、儲かる国は他にいくつもありました。しかし、実は日本は儲かる国だということが犯罪者に知れ渡り、いま、一気にせきを切ったような状況になっているのだと思います。
先日、警察庁が日本でのオンラインバンキングの年間被害総額が過去最大の 7 億円を超えたと発表しました※2。しかし、この額は欧米の被害総額と比べると、わずか 10 分の 1 から 100 分の 1 にすぎません。つまり、日本でのサイバー犯罪はまだ始まりにすぎないのです。
例えば、昨年の 12 月と今年 2 月に、欧米の銀行強盗団が日本から不正出金をしたという事件が発生しました。これは中東のオマーンにある銀行口座の偽造カードを使い、9 人の犯罪者がわずか 7 時間のうちに、都内 220 か所の銀行やコンビニの現金自動預払機(ATM)から約 9 億円の引き出しに成功したという事件でした。
計算すると1人当たり 25 か所の ATM をそれぞれ一気に駆け回り、1 億円ずつ手に入れることができたのです。こうしたことも、犯罪者の間に"日本はもうかる"ということが知れ渡たるきっかけとなった可能性もあります。
さらに、いままで日本はさまざまな分野の関係者がいろいろと努力を重ねて、消費者をなんとか保護しようとしてきましたが、インターネット時代にはもはや守りきれないということも背景にあると思います。
眞柄:日本ではこの数年でスマートフォンが身近なものになりましたし、インターネットの接続料金も安価で、一気に普及を遂げました。そのなかで、なにか大きな穴があったのでしょうか。
セキュリティの問題を考えるときには、しばしば「法・技術・モラルの三位一体が必要だ」と語られますが、それらのどこかに穴があるのでしょうか。
西本:もちろん犯罪者にとってモラルなんて関係ありませんし、法も突破してしまいます。技術については、これまではサービス提供者側が対処すべき課題と思われていましたが、スマートフォンというオープンな端末利用の環境が広まったことで、サービス提供者側だけでなく、利用者側でも対処のための技術が必要になってきます。
そもそも、日本はある意味でとても慎重な国です。その慎重さゆえに、インターネットへの取り組みも遅れがちなところもあります。
例えば、電子政府、B2B 取引、ビッグデータの利用など、IT 立国を標ぼうしている他の国と比べると遅れを感じます。これまでは慎重ゆえに制度を作るとか、被害が出ないようにと対策を講じてきたのですが、今後は時間をかけ過ぎた割に効果が思ったほどでないことも出てくるように感じます。むしろ、利便性も危険性も早期にいろいろなことを体験して学ぶ必要があると思います。
銀行の事件でいいますと、2013 年 8 月に警視庁の調べで、日本国内の 1 万 5000 台程度のパソコンがオンラインバンキングの ID を抜き取る目的のウイルスに感染していたと発表されていますが、おそらく感染者の多くはそのことを知らないのではないでしょうか。それどころか、ほとんどの人はオンラインバンキングを使ってもいないと思います。
しかし、オンラインバンキングの潜在顧客はたくさんいます。では、不正にアカウントを奪うウイルスにどうやって感染するかといいますと、悪意のある人がホームページを改ざんし、なにも知らない利用者がそれを閲覧することで感染してしまうというところは確かだと思います。しかし、その全体像はよくわからないのが実情なのです。
例えば、不正送金が行われたある事案を調査したら、確かにパソコンにパスワードを抜き取るウイルスが仕込まれていたという事実は確認できても、では誰が、どう埋め込んで、それはその犯罪行為全体の構造のなかで、どのように機能しているかについてはほとんど解明できないのです。
組織的犯罪とソーシャルエンジニアリングに対する対応
眞柄:多様な要素が大規模に組み合わされて犯罪のための仕組みが構成されている場合、どのような悪事を働こうとしているかという全体像は想像もつきませんね。
西本:実社会でも同じですが、組織犯への対抗策は、単独犯への対抗策とはまったく異なるアプローチが必要です。まず、組織のプロファイリングをして、どういう技術を持っているのかを調べていかないといけません。犯罪の実行にあたって、どのような政治的、思想的背景があろうが、単に金銭を盗むことが目的で、裏では何らかの組織が動いている事例が多いと感じます。ですから、表面的な事件だけを追っているだけでは対抗できないのです。
民間でできること、国レベルでやることなど、いろいろと課題はありますが、特に国をまたいで行われる犯罪だと解決はより困難になっていきます。
しかし、ネットワークが危険なら、情報通信技術は使わなければいいという選択肢は事実上なくなっています。そのため、セキュリティリスクの原因がなんであろうが、国の対策がどうであろうが、個人でも対処をしていけるだけの知恵を身につけるしかありません。
眞柄:企業についていえば、社員一人ひとり、組織単位などで取り組むべき対策はいろいろとあるとは思いますが、最も対策が必要なリスクとはどういったものでしょうか。
西本:まず、パソコンのぜい弱性、そしてもう一つは人間がだまされることです。もちろん、アカウントの使い回しも問題です。
企業に対してのテクニックとして、標的型メールという手法があります。本物のメールを装って、誰しもが開封してしまう内容のメールを送りつけるのです。よくあるのは政府機関になりすますのもそうですが、実はそうしたものは意外とひっかからなくて、むしろ、ちょっとしたセミナーの案内だとか、人材採用に関する問い合わせとか、取締役への取材依頼などを装うことの方が有効なのです。しかも、システムのぜい弱性などを狙わずに、単なる実行可能ファイルをメールに添付してきて、受信者はそれを何気なくそのまま開けてしまうことも多いのです。
もちろん、パソコンのぜい弱性に対する対処も必要ですが、なにしろ使っている人の認識が甘いのです。特に、人は守られていると気が緩んでしまうものなのです。
眞柄:サイバートラストでは電子証明書を発行し、それによって端末やサイトを認証するソリューションを提供しています。こういったものを使ってネットワークを構成し、アクセスするサーバーや端末ごとの認証により信頼性を上げることができます。こういった対策はいかがでしょうか。
西本:正直にいって、日本での電子証明書の利用率は少ないと思います。その理由は電子証明書を取得したり、利用したりすることが利用者にとっては面倒なことだからなのです。また、相手から電子証明書がついているメールを受け取ったとしても、それがどういう意味なのかということを多くの人は理解できないと思います。
つまり、利用者が思考停止状態に陥っているのです。こうした基本的な技術といいますか、生活の知恵はとても大切なのに、それを知らないため、いともかんたんにだまされてしまうことになるのです。
眞柄:有効な対策があっても多くの人が、知らない、理解できていない、ということですね。しかし、巧妙化しているソーシャルエンジニアリングについては、多忙な日常業務のなかで意識をすることは難しいですね。
西本:ソーシャルエンジニアリングのポイントは、オレオレ詐欺を例に考えれば想像がつくと思いますが、一度、本人が信じてしまうと、いくら周りが止めても止めることができなくなってしまうところです。ですから、なにを信じるかということをいま一度、整理する必要があります。それでも、人間はちょっとパニックになると冷静な判断もできなくなってしまう生き物なのです。
眞柄:ところで、インターネットではフリーウエアのクラッキングツールが出回っています。従来、クラッキングは高い技術力の人がやっていたのでしょうが、最近ではこうしたソフトウエアをかんたんに入手できることから、多くの人が試せるようにもなっています。
当社サイバートラストでも、電子証明書の役割をわかりやすく説明するうえで、こうした ID やパスワードをクラッキングするツールの影響や実態をお客さまにご覧いただいています。こうしたツールについてはどのようにお考えになりますか。
西本:クラッキングツールには二つあります。一つは正確にいうとクラッキングツールではなく、概念実証(Proof of Concept:POC)と呼ばれるもので、そこにぜい弱性があるということを証明するものです。これはプログラムソースコードをはじめ、すべての情報が公開されることもあります。しかし、この技術を応用すれば、別の攻撃行動ができてしまうという面もあります。
もう一つはいわゆる攻撃目的で開発された攻撃ツールです。ゼロデイ攻撃を取り込んだ、これまで誰も知らない攻撃ツールは高値がつきます。いってみれば新兵器です。新兵器ですので、既存の防衛システムは機能しないわけです。
前者はシステムを守る人と攻撃をしかける悪意のある人が同じスタートラインに立てるもので、もし、これがないとすると、悪意のある人だけが一歩先に進んでしまう事態を招くでしょう。ですから、ここまではわかっているということを具体的に示すことで、攻撃をしかけようとしている悪意のある人と同じ土俵で守る側も戦うことが出来ます。
眞柄:余談にはなりますが、東日本大震災のあと、盛んに事業継続計画(Business continuity planning:BCP)が重要だといわれてきましたが、いかにも日本的なアプローチだと思います。本来はプランニングではなく、マネジメントという考えに立つべきだと思います。危機は震災に限らず、いろいろとありますから、それらをマネージしていく必要があるのに、プランをして終わっています。
西本:本来の BCP は計画に書いていない想定外のことが起きたときにどうするのかということです。想定外のことが起きるということを考えることが重要で、それが経営ということだと思います。
眞柄:企業にとっての危機はいろいろな想定ができます。事故は起こることを想定して、平時から対応力をつけておくことが必要だということですね。
西本:危機的な事象が起きたら、一般的にはそれに対して「どう対応するか」ということを考えると思います。しかし、実はそれは正しくはありません。「なにが起こるか」ということを瞬間的に想像する必要があります。
多くの経営者はそうしたことを瞬間的に想像しているはずです。ですから、行動に優先度がつけられるわけです。「なにが起こるか」という想像力が欠如していますと、いくら計画を作っても絵に描いた餅になってしまいます。
眞柄:危機管理に対しての想像力を持つことはなかなか難しいかもしれませんね。
西本:いや、それほど難しいことではなく、通常の業務でも普通にやっていることです。経営者は決まった日に現金が口座に振り込まれなければつぎになにが起こるかはすぐにわかります。しかし、そうした経営者の多くの方々も話題が情報技術になりますと、不思議なことにまったく理解できなくなってしまうのです。
そして、どう対処するかといいますと、"丸投げ"をしてしまうのです。日本のビジネススタイルに"丸投げ"という文化があると思いますが、それと同じことをやってしまいます。
例えば、アメリカでの新規事業のように、事業設計をして、それぞれの役割を決めて実行するということをせずに、社員に「これは君に任せるから、うまくやっておいてくれたまえ」といって、責任と権限をセットで"丸投げ"するわけです。
情報システムについては、情報システム部門に"丸投げ"です。 標的型攻撃に対して、去年の当社の実績だと 27 件対応しましたが、そのうち 18 件がシステムに侵入されて 1 年以上経過してから発覚しています。そして、3 件がさらにその 1 年前です。平均すると発覚までの期間は 1 年半を超えているでしょう。
つまり、自分たちのデータを第三者に操作されても気づかない組織なのだということです。では、どうやってデータを操作しているかといいますと、ネットワークから侵入した犯罪者がシステム管理者になりすましているのです。いってみれば、システム管理者はなにをしても気づかれない組織だということでもあります。
これ以外にもありとあらゆる"丸投げ"があります。最近は少しずつ改善していますが、部下に電話で指示を出して、自分のパソコンにアクセスさせてファイルを取り出させたりするのもそうです。上司はどう思っているかわかりませんが、部下は上司のメールや書類を見たいものなのです。
眞柄:"丸投げ"された方も、"丸投げ"されているとも思っていないかもしれませんね。
西本:実際に、情報システム部門による犯罪もあります。情報システム部門に所属している役職者が名簿を持ちだして、業者に売却する事件も報道されました。情報システム部門は日夜システムを支えているわりに、社内ではあまり評価されない部門なので、なにかのきっかけでモラルの低下を起こしてしまいますと、一気に犯罪に流れてしまう危険性をはらんでいるのです。
眞柄:サイバートラストでは、電子証明書を使って端末を管理するというビジネスが成長しています。現在は、金融業界や証券業界のお客さまでのご採用が始まっています。こうした、電子認証の技術により客観性を持って端末の管理をしていく技術については、今後のセキュリティ強化に役立っていくでしょうか。
西本:当然、役に立つと思います。端末を認証し、あとは使っている人のレベルやユースケースで認可のレベルを変えるという識別・認証・認可は重要な概念です。
欧米流のシステムをそのまま採用しようとしますと、組織作りから欧米流に変えていかなければなりませんが、識別・認証・認可の考え方を日本の組織スタイルにどう取り入れていくかはとても重要なことだと思います。
そして、そういう考え方を情報システム部門だけではなく、ユーザー部門がきちんと認識をしないとだめです。守るべき情報のオーナーは誰かというならば、それは間違いなくユーザー部門です。そのデータやプロセスに責任のある人たちがまず考えなければなりません。