本書の解説

銀行口座の預金が勝手に減る　世界で起こっているサイバー犯罪の今

「サイバー攻撃」「サイバー犯罪」、あるいは「ハッキング」といったワードをニュースなどで見かけることは、いまや珍しいことではない。

こうした事件はインターネット初期からあったものだが、恐るべきはその性質の変化である。

かつて、「ネットギークによるイタズラ」という性質が強かったサイバー犯罪は、近年着実に組織化とビジネス化が進み、その被害も甚大なものになっている。今年５月に起きた世界規模のサイバー攻撃では、ウクライナ政府や金融機関のネットワークの一部がダウンし、同じ理由からチェルノブイリ原発周辺の放射線自動監視システムを一部手動に切り替えざるを得なかった。
サイバー犯罪はすでに国家の中枢にまで手が届くようになっているのだ。

サイバー犯罪がやりやすい国、日本

こうした事例によって、否が応でも各国のサイバーセキュリティは強固になる。ただ、日本はどうかというと「あまりにも甘い」というのが実際のところ。犯罪者にとっては天国のような場所になっているようだ。

『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実』（幻冬舎刊）の著者でサイバーセキュリティ専門家の足立照嘉氏は、日本を「サイバー犯罪を犯す上で、あまりにも魅力的な市場」とまで言う。

インターネット普及率が高く、しかもアメリカの半分程度の価格でネットを利用できる。そして人も企業も警戒心が薄く、経済的にも豊かで犯罪の「利益」も出やすい、というわけだ。

銀行口座からお金が消え、冷蔵庫から詐欺メールが発信される

たしかに、普通にインターネットを利用し、暮らしているだけでは、自分がサイバー犯罪の被害者になるかもしれないという危機感は持ちにくいかもしれない。

ただ、本書ではそういった人々に犯罪の実例を見せつけることで強烈な警句を放っている。

たとえば、ハッキングによって個人の銀行口座から勝手にお金を抜き取り、海外の口座に不正送金する手口は実際に多々起きているし、ネット接続が可能な「スマート家電」の普及により、家庭の「冷蔵庫」がフィッシングなどの詐欺メールの発信元として、知らぬ間に利用されていたという事例もある。

特別な情報や特別な資産をもたない「普通の人」であっても、ハッカーをはじめとするサイバー犯罪者から見れば利用価値がある。そして、一度利用されたら、金銭的被害を受けるどころか、端末の乗っ取りによって加害者に仕立て上げられてしまう可能性もある。こうしたことは、インターネットを利用する以上は誰もが心に留めておくべきことなのだ。

◇

テロに対してよく聞かれる「島国は比較的安全」という論理は、当然のことながらサイバー犯罪には通用しない。そして、先述のスマート家電をはじめとするIoTへの流れやビットコインなどの仮想通貨の普及は、私たちのビジネスや生活を便利にするのと同じくらい、サイバー犯罪者を利するものだ。

これらに対し、個人や企業はどんな備えをすればいいのか。現在のところ、捜査当局も起きた事件に対する「対症療法」しかできていない以上、答えは簡単ではないが、まずは本書で示されている様々な事例や、ハッカーのやり口を知り、対策を考えてみてはいかがだろう。
（新刊JP編集部）

著者インタビュー

―― 『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実』について。ここ数年でハッキング等によるサイバー犯罪の被害は一気に拡大しています。この流れは今後も続くとみていいのでしょうか。

足立： 私たちの生活や社会は、今後より一層ITへの依存度を高めていきます。このことは私たちへの恩恵をもたらすことと同時に、サイバー犯罪を犯すものにとっても２つの魅力があります。

一つは、私たちにとって無くてはならないものを奪ったり、使えなくしたりすることで駆け引きを行うことができるようになります。これは、2016年頃より急増しているランサムウェア（身代金要求型不正プログラム）犯罪などに代表されるものです。

また、あらゆるモノやコトがIT化されていくことで、ハッキングのテクニックを応用して不正な操作を行える対象が増えていきます。例えば、セキュリティ対策が厳重になってきた金融機関を敢えて狙わなくても、これまで金融機関を狙っていたのと同じハッキングツールを用いて重要インフラ（電気や水道など）を狙っていけば良いのです。

もし重要インフラのセキュリティ対策が厳重になってくれば、その時は次のターゲットを探せば良いのです。

―― ハッキングについては、本の中にもありましたが、国家ぐるみで行っているケースもあります。諜報機関によるハッキングというのはおおよそどの国でも行われているものなのでしょうか。

足立： 内部告発などの形や、政治的な意図での理由で外部に公表されたりした場合を除いて、国家が「ハッキングを行なっています」と大体的に公表している国は今のところはありませんので、実態を把握することは難しいでしょう。

しかし、諜報活動に携わるものの身体的なリスクを軽減し、効率的な諜報活動を行う上で、ハッキングは有効な手段の一つであるということは断言できます。実際、産業領域においても製造業などでは産業スパイを従業員の中に紛れ込ませる手口ではなく、ハッキングを用いて行うことが増えています。

そのため、ハッキングを諜報活動において用いない理由を考えるほうが、難しいことでしょう。

―― 現在各国で進められているという、「サイバー空間への地政学的アプローチの研究」とは、具体的にどういったものなのでしょうか。

足立： 本来、「地政学」とは地理学が培ってきた環境論の１つで、「環境決定論」という見方と政治学が結びついたものです。そして、現代社会において環境の一つとしてサイバー空間における戦いも考慮しなくては、説明のつかない状況が生まれています。

例えば、ある国が大陸間弾道ミサイルの開発を行っているとしましょう。それそのものは脅威ですが、自国が射程圏内に入らなければ、その脅威は極めて小さいものであると捉えることができます。
しかし、サイバー空間における戦いでは異なってきます。

目と鼻の先の誰かを攻撃することも、地球の裏側の誰かを攻撃することも、手間もコストもリスクも大きくは違わないからです。つまり、これまで大きな脅威としてみなしていなかった存在さえも、大きな脅威となり得るということで、地政学上の関係性も大きく変わってきます。

この件について地理学の研究者に尋ねてみたところ、イスラエル、ロシア、中国、アメリカ合衆国等がこの領域での研究において先行しているとのことでした。

―― 本書に書かれているように、PCや端末の遠隔操作が可能となると、それを利用した犯罪の取り締まりは非常に困難になるように思います。サイバー犯罪への警察の捜査能力というのは現状どの程度のものなのでしょうか。

足立： 以前と比べて優秀な方が多く集まられていると思います。しかし、現行制度上の課題や、国境を越えてのサイバー犯罪の場合には国際間の連携が必要となることなど、まだまだ多くの課題が山積する中で捜査活動を行わなくてはならないという難しい状況があります。

サイバー犯罪自体が複雑かつ巧妙化しており、尚且つプライバシーの問題など諸事情からも全ての国が積極的に捜査への協力を行うということは難しいため、今後一層の困難をきわめるでしょう。

―― 近年ではパソコンなど端末のセキュリティや個人情報の管理などへの意識は高まっているように感じますが、本の中では「日本はサイバー犯罪を行いやすい環境にある」とされていますね。

足立： 日本では、「誰かが守ってくれている」という感覚が非常に強いと思います。
その理由については、「島国根性だから」とかいくつかの理由が考えられますが、日本独自の商慣習も影響していると考えています。

例えば、北米の企業においては、ITの利用者であるユーザー企業が自らIT機器の選定から導入作業や運用までを行うことが多く見られます。しかし、日本では大手のITベンダーに要望だけ伝えて丸投げすることが多いです。

そのため、およそ10年前にセルフサービス型でユーザーが自由に設定などの操作を行えるB2B向けのクラウドサービスなどが普及してきた時も、北米ほどのペースでは普及しませんでした。

ITは自分以外の誰かが管理してくれるものだし、セキュリティについても誰かが何かやってくれているのだろうという感覚をお持ちの方は、案外少なくないのではないでしょうか。
そして、このことが意識の向上、ひいては対策を行うことを遅らせてしまう要因の一つとなってしまっています。

―― サイバー・セキュリティへの意識が低い人に多い考えは、「自分のPCには引き出されて困るような情報は入っていない」というものです。こういう人であってもインターネットに接続する以上リスクはあると思いますが、具体的にどんな被害が考えうるでしょうか。

足立： まずあげられるのは「踏み台」として利用されてしまうということです。その人自身に価値が無かったとしても、その人を利用する価値はあるのです。

具体的には、踏み台とされることで加害者に仕立て上げられることもありますし、セキュリティ対策の高いターゲットに侵入するために利用されることもあります。実際、米国のスーパーマーケットや中東の軍事施設など高いセキュリティレベルが確保されている施設で不正侵入が成功した事例がありますが、これらはセキュリティ対策を怠った取引先業者をまずは狙い、彼らを利用して本来のターゲットへの不正侵入を成功させています。

―― 本書は、サイバー犯罪の現状や私たちが被りうる被害リスクを実例を交えて解説し、サイバーセキュリティへの意識を啓発する内容です。驚いたのが、システムやソフトウェアのセキュリティホールが、ものによってはかなり高額で取引されているという事実です。どんなソフトやシステムにも弱点は必ずあるものなのでしょうか。

足立： もし仮に、現時点で弱点の無いシステムだったとしても、未来永劫無いままであり続けるということは断言できません。
そもそも完璧というものはインターネット世界に存在しえないと思います。

つまり、全くの他人が作ったもの同士が、相互に連携することでインターネットは一つの世界をつくりだし、そこから新しい価値を生み出しています。お互いが相互に連携するためには、一つに完結したものではなく、どこかに相互にやり取りを行うための「ノリシロ」が必要となります。そして、この「ノリシロ」に弱点が介在することが多いです。

実例で言いますと、重要インフラなどでは従来は専用に開発された装置やソフトウェアで制御されることが多かったです。そのため、もしその重要インフラを狙ったハッキングなどを行おうと思うと、相当入念な準備が必要でした。

しかし、現代においては相互接続性を高めたり、開発や運用のコスト削減を行うために、システムのオープン化が積極的に進められており、家庭のパソコンで用いられているものと同じOSで構築されていたり、それらと連携できるように作られています。 そして、このことが同時に弱点を取り込むことに繋がる場合もあります。

―― ハッキングのスキルと防御のスキルは表裏一体です。となるとサイバー犯罪を行う人とセキュリティ側の人も表裏一体なわけで、危うさを感じます。国家や社会として犯罪者が減り、セキュリティ側が優勢になるようにどのような取り組みが必要になってくるとお考えですか。

足立： 経済的動機による相手であれば、サイバー犯罪は割に合わない商売だと思わせることです。そして、現代のサイバー犯罪は知的好奇心を満たすための愉快犯的な犯行ではなく、経済的動機によるものが圧倒的に多いです。

かつて、サイバー犯罪が行われる時間帯の多くは週末や平日であれば深夜の時間帯に集中していました。そのような時間帯のほうが通信料金も安かったということもありますが、彼らの多くは、昼間は仕事を持っており、あくまでも趣味の範疇で知的好奇心を満たすために犯行に及ぶことが多かったです。

しかし、現代はハッキングが成功し易い時間を狙うなど、生活の中心がサイバー犯罪となっている職業としてのサイバー犯罪者が増えています。

職業ということは、場合によっては投資家もおり、サイバー犯罪者をまとめるマネジメントもおり、ハッカーの存在があります。そして、このような環境において増収増益が求められることは当然の帰結です。経済活動として行われている以上、何らおかしいことではありません。

そして、サイバー犯罪が斜陽産業となれば、サイバー犯罪も激減するものと思われます。
そのためにも、一人一人がセキュリティに対する意識を持ち、対策がなされていくということが必要となります。

―― 結果としてではありますが、投資家側が犯罪者を煽ってしまっている状況について、お考えをお聞かせ願いたいです。

足立： 誤解を招かないよう補足しますと、ここでいう「投資家」は一般の投資家のことではありません。犯罪者と同一もしくは類似する立場にあり、犯罪行為に資金提供を行う者のことを指しています。

ご質問についてお答えしますと、これは率直に申し上げて「投資対効果の高い」案件だからです。米国のセキュリティ企業Trustwave社による調査では、ランサムウェアを用いたサイバー犯罪による投資対効果は1,425%であると言われています。

例えば、都心に投資用ワンルームマンションを購入できるのと同等の4,000万円を投資したとしましょう。ランサムウェアを用いた犯罪で得られる収益は5億7000万円にもなります。

もちろん、性質の異なるものですので単純に比較することはできませんが、家賃収入でこれだけの金額を得るためには、数百年を要することでしょう。

―― 企業のセキュリティ意識の低さも問題にされていました。今後IoTへの流れが加速していく中で、セキュリティの水準が今のままだとどんな事態が起こりうるのでしょうか。

足立： これまでのデータ改ざんやデータ窃盗など、情報の操作を中心に行われてきたサイバー犯罪が、より一層現実世界に直接的なダメージを与えることができるようになります。
IoTは、サイバー空間と現実空間をシームレスに繋ぐ存在となりますので、ハッキングに対してもIoTは同様の価値を与えます。

イノベーションは私たちの生活や社会をより良いものとしてくれますが、同時に悪いことをする人にとってもイノベーションであるということを忘れてはいけません。

―― サイバー犯罪がこれだけ跋扈する背景には、一般人でも警察当局よりも高いスキルや専門的な知識を持ちうるという、インターネットの「いい点」とされるオープン性があります。となると、サイバー犯罪は「ネットの在り方」ともつながってくるわけで、「犯罪が横行してもネットをオープンにしておくべきなのか」という議論も成立すると思われますが、足立さんはこの点についてどうお考えですか？

足立： 一つ補足しておきますと、サイバー犯罪を犯すものたちが、必ずしも高いスキルや専門的な知識を持っていなくても、サイバー犯罪行為に加担できているという現状があります。

その顕著な事例として、中高生などの若年層によるサイバー犯罪行為が目立ってきていることがあげられます。何故かと言うと、ネットに溢れる情報を寄せ集めるだけでも、それっぽいことはできてしまうからです。

さて、ご質問についてお答えしますと、これは非常に難しい問題です。
先人たちは「火」や「刃物」などを発見したり発明したりすることで、便利で住み良い現代社会を築き上げてきました。しかし、これらも使い方を間違えてしまうと火傷したり怪我をしたりしてしまいます。そして、サイバー犯罪同様に他人の財産を奪うことも可能でしょう。

実際、現代のインターネットの利用形態の95%は、インターネットの前身となるARPANETが設計された時点で想定されていた使い方と異なっていると言われています。

それは当然のことでしょう。およそ50年も前に、一人一台のスマホを持ち歩き、動画をその場で編集して、世界中に一瞬で公開できてしまう世界を想像できた人が何人いたのでしょうか。

これだけ利便性を享受し、社会に入り込んでいるインターネットを、敢えて使いづらくしてしまうということは考え難いと思います。また、敢えて使いづらくしたところで利便性が失われることはあっても、その制約の中でより創造的なサイバー犯罪行為が行われていくことは間違いありません。既に、私たちの生活や社会がインターネットに大きく依存しているからです。

（新刊JP編集部）