第11回 犯罪者の「否認」に対応するには
三輪 信雄
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
2009/11/2
決して人ごとではないサイバー犯罪。犯罪者に対しても“性善説”で考えていいのでしょうか? プロの犯行に対抗するために、私たちができることを考えます(編集部)
今回はあえて、あおります。
普段、「対策しないとこんなことになりますよ」とあおるような“ホラー営業”は、情報セキュリティ業界を衰退させる、といっている私ですが、今回はあえて、ホラー話をしてみたいと思います。
私はこれまでに、多くの情報漏えい事故の緊急対応や事後対応にかかわってきました。その多くはインターネットからのWebサーバ攻撃であり、ほとんどの事故で犯人は分からずじまいでした。
一方で、故意の内部犯行、内部関係者による「うっかり事故」にもかかわることが増えてきました。
内部関係者による犯罪や事故の場合、犯人の特定がほぼできた段階で本人に事情聴取すると、「私がやりました」と自ら罪を認めてくれていました。これは、私が昔からいっていたように「IT犯罪を犯す者は、たまたま気が弱いから自供しやすい」というだけのことで、「知恵」がついてくれば、あるいは、本気の犯罪者であれば「証拠隠滅」と「否認」は当然予想されるべきことです。
たまたまなのでしょうが、これまで日本ではそのような本気の犯罪者が大きな問題を起こすことはほとんどありませんでした。しかしながら、最近になって犯人と思われる人物に事情聴取しても「私はやってません」ときっぱり「否認」するようなケースが現れてきました。
不況と犯罪
日本でのフォレンジック分野は、欧米に比べて法的に非常に遅れをとっているようです。それは法廷で電子記憶媒体などに関する争いが起きていないからかもしれません。私は法律の専門家ではないので正確な理解をしていないかもしれませんが、世の中で問題が起きてからでないと、それに対応する法律はできてこないのではないでしょうか。
しかしながら、内部関係者が行う犯罪は今後ますます増加するのではないかと考えています。経済不況の中、コスト削減の嵐が吹き荒れ、給与やボーナスがカットされるのは日常茶飯事の状況です。さらに個人向けのキャッシングなどが規制されて、これまでなんとか回していた借金返済が行き詰まるケースも多く発生しているものと思われます。このような不況にもかかわらず、過去のバブルの記憶が消えずに支出が抑えられない人も少なからずいるでしょう。実際、過去に報道のあった内部犯行による情報漏えいのケースのほとんどで「借金」「金銭目的」であることが読み取れます。
私が事後対応にかかわった過去の事案でも、派手な遊びがやめられずに借金を重ねた社員が、顧客情報を持ち出してに転売していました。このケースでも、最初は本人が否認をしていましたので、被害の範囲の特定が困難な状況でしたが、最終的には本人が認めたために調査は進みました。
この場合でもあくまでも本人が否定していて、しかも、十分なログが残されていなかった場合には、どうなっていたか分かりません。
裏社会と簡単につながるインターネット
名簿業者はやみの中の存在のようにいわれます。確かに個人情報保護法の施行前には普通に営業していた名簿屋の多くは、施行後に店を閉めてしまいました。そしてこのような案件には暴力団がかかわるようになりました。そのため、一般人が個人情報を会社から盗み出しても、それを売ることは困難になりました。
しかし、いまでは簡単にインターネットで個人情報を買い取る業者を見つけることができます。その業者たちはFAQなどを設けて、「個人情報を売買すること自体は違法ではありません」とうたっています。私は専門家ではないので、このあたりの法的な解釈は控えさせていただきますが、少なくとも検索サイトから簡単に業者を見つけ出してアクセスできてしまうことは事実です。
実際に私もいくつかの業者に連絡をしてみて、買い取り価格の交渉まで進むことができました。そのようなホームページには、買い取り価格まで示されています。そのような業者が示している買取価格は、社内の顧客情報を持ち出してみようか、と思わせるのに十分高額な金額が示されています。ちょっと数百件くらいなら、と魔が差す内部関係者がいても不思議ではありません。
借金というものは人間を追い詰めます。報道では「10万円のために情報漏えいなどしても割が合わない」といわれることがありますが、借金におぼれている本人にとっては十分な金額ですし、データのコピーとなると罪悪感も薄いのです。実際、デジタルデータの窃盗そのものは罪に問うことは難しく、関連の法律で何とか絡め取っているのが現状なのです。
例えば、個人情報を持ち出して非常に重い処罰が下されたり、それが大きく報道されれば、「見せしめ」にもなるのでしょうが、それも現在の状況ではなかなか難しいでしょう。
つまり、内部から情報を持ち出してお金に換えようとするモチベーションは高まっている上に、そのリスクも高まってきているといえるのです。
1/3 |
 |
| Index | |
| 犯罪者の「否認」に対応するには | |
 |
Page1 今回はあえて、あおります。 不況と犯罪 裏社会と簡単につながるインターネット |
| Page2 デジタル社会での「プロによる犯行」の恐怖 ログねつ造の可能性を考える |
|
| Page3 クラウド時代にどうやって「否認問題」を扱うべきか |
|
セキュリティ、そろそろ本音で語らないか バックナンバー
- 第1回 IT界の埋蔵金? 手付かずのセキュリティコストと戦う
- 第2回 情報セキュリティコスト削減、4つのアプローチ
- 第3回 CISO考――ところで、CISOって必要ですか?
- 第4回 “セキュアなWebアプリ”に立ちはだかる課題
- 第5回 中堅企業には中堅企業ならではのセキュリティ対策を
- 第6回 情報セキュリティは情報システムコストを削ってから?
- 第7回 プログラマをやって思うこと
- 第8回 非常時のために「さらば分厚い規定集」といおう
- 第9回 求む、新時代のセキュリティアーキテクチャ
- 第10回 誌上セミナー「拡大を続けるログ砂漠」
- 第11回 犯罪者の「否認」に対応するには
- 第12回 セキュリティシステムをマネジメントせよ
- 第13回 「脆弱性根絶なんてできっこない」と嘆く前に
- 第14回 求む、納得できる仮想プライベートサーバ
- 第15回 納得できる仮想プライベートサーバ探し、その後
- 第16回 クラウドセキュリティにコストをかける覚悟はあるか
- 第17回 転居のお知らせ、「仮想サーバへ引っ越しました」
- 第18回 機密情報の漏えいがあぶり出した転換点
- 第19回 自宅作業時のセキュリティを考える
- 第20回 PSN Hacked――問題の根はどこに?
 |
セキュリティ、そろそろ本音で語らないか 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。