連載
» 2009年11月02日 10時00分 公開

セキュリティ、そろそろ本音で語らないか(11):犯罪者の「否認」に対応するには (1/3)

決して人ごとではないサイバー犯罪。犯罪者に対しても“性善説”で考えていいのでしょうか? プロの犯行に対抗するために、私たちができることを考えます(編集部)

[三輪信雄(S&Jコンサルティング株式会社),@IT]

今回はあえて、あおります。

 普段、「対策しないとこんなことになりますよ」とあおるような“ホラー営業”は、情報セキュリティ業界を衰退させる、といっている私ですが、今回はあえて、ホラー話をしてみたいと思います。

 私はこれまでに、多くの情報漏えい事故の緊急対応や事後対応にかかわってきました。その多くはインターネットからのWebサーバ攻撃であり、ほとんどの事故で犯人は分からずじまいでした。

 一方で、故意の内部犯行、内部関係者による「うっかり事故」にもかかわることが増えてきました。

 内部関係者による犯罪や事故の場合、犯人の特定がほぼできた段階で本人に事情聴取すると、「私がやりました」と自ら罪を認めてくれていました。これは、私が昔からいっていたように「IT犯罪を犯す者は、たまたま気が弱いから自供しやすい」というだけのことで、「知恵」がついてくれば、あるいは、本気の犯罪者であれば「証拠隠滅」と「否認」は当然予想されるべきことです。

 たまたまなのでしょうが、これまで日本ではそのような本気の犯罪者が大きな問題を起こすことはほとんどありませんでした。しかしながら、最近になって犯人と思われる人物に事情聴取しても「私はやってません」ときっぱり「否認」するようなケースが現れてきました。

不況と犯罪

 日本でのフォレンジック分野は、欧米に比べて法的に非常に遅れをとっているようです。それは法廷で電子記憶媒体などに関する争いが起きていないからかもしれません。私は法律の専門家ではないので正確な理解をしていないかもしれませんが、世の中で問題が起きてからでないと、それに対応する法律はできてこないのではないでしょうか。

 しかしながら、内部関係者が行う犯罪は今後ますます増加するのではないかと考えています。経済不況の中、コスト削減の嵐が吹き荒れ、給与やボーナスがカットされるのは日常茶飯事の状況です。さらに個人向けのキャッシングなどが規制されて、これまでなんとか回していた借金返済が行き詰まるケースも多く発生しているものと思われます。このような不況にもかかわらず、過去のバブルの記憶が消えずに支出が抑えられない人も少なからずいるでしょう。実際、過去に報道のあった内部犯行による情報漏えいのケースのほとんどで「借金」「金銭目的」であることが読み取れます。

 私が事後対応にかかわった過去の事案でも、派手な遊びがやめられずに借金を重ねた社員が、顧客情報を持ち出してに転売していました。このケースでも、最初は本人が否認をしていましたので、被害の範囲の特定が困難な状況でしたが、最終的には本人が認めたために調査は進みました。

 この場合でもあくまでも本人が否定していて、しかも、十分なログが残されていなかった場合には、どうなっていたか分かりません。

裏社会と簡単につながるインターネット

 名簿業者はやみの中の存在のようにいわれます。確かに個人情報保護法の施行前には普通に営業していた名簿屋の多くは、施行後に店を閉めてしまいました。そしてこのような案件には暴力団がかかわるようになりました。そのため、一般人が個人情報を会社から盗み出しても、それを売ることは困難になりました。

 しかし、いまでは簡単にインターネットで個人情報を買い取る業者を見つけることができます。その業者たちはFAQなどを設けて、「個人情報を売買すること自体は違法ではありません」とうたっています。私は専門家ではないので、このあたりの法的な解釈は控えさせていただきますが、少なくとも検索サイトから簡単に業者を見つけ出してアクセスできてしまうことは事実です。

 実際に私もいくつかの業者に連絡をしてみて、買い取り価格の交渉まで進むことができました。そのようなホームページには、買い取り価格まで示されています。そのような業者が示している買取価格は、社内の顧客情報を持ち出してみようか、と思わせるのに十分高額な金額が示されています。ちょっと数百件くらいなら、と魔が差す内部関係者がいても不思議ではありません。

 借金というものは人間を追い詰めます。報道では「10万円のために情報漏えいなどしても割が合わない」といわれることがありますが、借金におぼれている本人にとっては十分な金額ですし、データのコピーとなると罪悪感も薄いのです。実際、デジタルデータの窃盗そのものは罪に問うことは難しく、関連の法律で何とか絡め取っているのが現状なのです。

 例えば、個人情報を持ち出して非常に重い処罰が下されたり、それが大きく報道されれば、「見せしめ」にもなるのでしょうが、それも現在の状況ではなかなか難しいでしょう。

 つまり、内部から情報を持ち出してお金に換えようとするモチベーションは高まっている上に、そのリスクも高まってきているといえるのです。

Index

犯罪者の「否認」に対応するには

Page1
今回はあえて、あおります。
不況と犯罪
裏社会と簡単につながるインターネット

Page2
デジタル社会での「プロによる犯行」の恐怖
ログねつ造の可能性を考える

Page3
クラウド時代にどうやって「否認問題」を扱うべきか


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。