犯罪捜査、オリンピック、新型コロナウイルスから見えてくる、世界と日本のサイバーセキュリティ事情：「＠ITセキュリティセミナー2020 新春」基調講演

情報は、「流出する」のではなく、攻撃者に「盗まれている」

ヤフー 執行役員 中谷昇氏

　情報は、流出・漏えいするのではなく、盗まれている――「＠ITセキュリティセミナー2020 新春」の東京会場（※ライブ配信で実施）の基調講演で、ヤフーの執行役員を務める中谷昇氏はそう強調した。

　「国内のニュース報道の多くは、サイバー攻撃で個人情報や機密情報が“流出”または“漏えい”すると表現する。この場合、流出、漏えいさせた事業者側が責を負う。しかし実態は、サイバー犯罪者が情報を“窃取”したのだ。責められるべきはサイバー犯罪者。民事事件ではなく刑事事件だ」（中谷氏）

　中谷氏は、1993年に警察庁へ入庁。神奈川県警察 外事課長、警察庁 情報技術犯罪対策課 課長補佐をへた後、2007年にインターポール 経済ハイテク犯罪課長に就任。2008年にはインターポール 情報システム・技術局長 兼 CISO（最高情報セキュリティ責任者）を務め、2011年に日本へ帰国後、2012年にIGCI（INTERPOL Global Complex for Innovation）初代総局長となった。総局長時代、＠ITセキュリティセミナーに計4回登壇している同氏は、全ての回で“情報は盗まれている”ことの意識改革を促しているという。

　サイバー攻撃は、グローバルな課題だ。世界経済フォーラム、通称ダボス会議が毎年発表する「グローバルリスク報告書」の2020年版において、2020年に増大が予想されるリスクのランキングで8位に「サイバー攻撃：データ・金銭の窃取」が、5位に「サイバー攻撃：オペレーションやインフラの破壊」が挙がった。

　「いずれも2018年版から3年連続でトップ10にランクインしており、サイバー攻撃はリスクであるとして広く理解されている」（中谷氏）

2020年に増大が予想されるグローバルリスクトップ10（中谷氏の講演資料から引用）

進化し悪質化するサイバー銀行強盗

　インターネットが広く普及する中で、犯罪は確実に現実空間からサイバー空間へ移行している。サイバー空間の犯罪は、いまや組織化され、Cybercrime as a Service（サービスとしての犯罪）が成り立っている。「その仕組みは一般的な商取引と変わらず、顧客とサプライヤーが取引する市場を形成し、顧客からのフィードバックを丁寧にくみ取りながらシェアを伸ばして収益を出す、そんなエコシステムを確立している」と中谷氏は説明する。

　その規模は、想像以上だ。2019年9月、ドイツでは連邦警察の対テロ特殊部隊も参加して、ダークネット向けデータセンターの強制捜査を行った。容疑者は13人。約200台のサーバと多額の現金、使用ドメインなどを押収した。データセンターは、NATO（北大西洋条約機構）の軍事施設跡地にあり、世界で2番目に大きいアンダーグラウンドマーケット「Wall Street Market」を含む数多くの悪名高きマーケットやフォーラムをホスティングしていた。同事例から「サイバー犯罪がいかに大規模な運営か」が見えてくる。

　サイバー犯罪による被害も悪化している。例えばオンラインバンキング詐欺は、日本では2012年に64件（被害総額4800万円）^*1、2015年に1495件（30億7300万円）^*2と増え、2018年に322件（4億6100万円）^*3と減少。

　「このまま減ってくれるかと期待したが、2019年11月に被害件数630件、被害額約12億370万円と急増^*4、単月で過去最大の被害件数となった。原因は、フィッシングメール経由で銀行公式ページと見間違えるフィッシングサイトに誘導する、入力ID／パスワードやワンタイムパスワードを本物の銀行サイトに入力して突破するという手口が横行したこと。結果、2019年の被害総額は約25億2100万円となり、前年比5倍以上となった」（中谷氏）

　だが、個人の銀行口座では大金が期待できない。そこでサイバー銀行強盗は銀行自体に注目した。中でも、200以上の国および地域の1万1000以上の銀行や証券会社などが参加する国際銀行間通信協会（SWIFT：Society for the Worldwide Interbank Financial Telecommunication）の金融メッセージングシステムを悪用した一連の不正送金事件は「まさにイノベーションともいえる」と中谷氏。

　被害総額約8100万ドル（約90億円）のバングラデシュ中央銀行の場合、攻撃者は同銀行にマルウェア感染などで侵入し、ドル決済取引のあるニューヨーク連邦準備銀行とのやりとりを数カ月間にわたって調査。その後、35回に分けてニューヨーク連邦準備銀行に送金指示。ドイツ銀行やフィリピン中央商業銀行などを介して送金を繰り返し、最終的にはマニラのカジノなどで浄化した。

　仮想通貨取引所も、ターゲットになった。国内では2018年9月に約67億円相当の仮想通貨が流出したZaif、2018年1月に約580億円相当が流出したコインチェックなどが記憶に新しい。

　もう一つのトレンドは、ランサムウェアだ。WannaCryやPetya／NotPetyaは世界中に被害を及ぼした。「NotPetyaで2億ドル超の損害を出した海運大手Merskの当時CEOは、オペレーションが2週間止まり、端末は約5万台、サーバは約5000台を入れ替えなければならなかったと教わった」と中谷氏は明かす。

　特にオンラインバンキング情報を窃取するマルウェア「Emotet」がランサムウェアを感染させるプラットフォームとして利用されるようになったことが背景にある」と中谷氏は述べる。国内でも被害が発生しており、直近では新型コロナウイルスを題材とした攻撃メールも確認されているという。

Emotetの感染被害増加（中谷氏の講演資料から引用）

IoTを、Internet of Threatではなく、Internet of Trustに

　IoT（Internet of Things）機器も犯罪者にとって利用価値の高いテクノロジーだ。「IoTは処理能力が小さく、十分なセキュリティ機能を実装できず、脆弱（ぜいじゃく）になりがち。ライフサイクルも長く、侵害されても気付かないまま時間が過ぎていく可能性が高い」（中谷氏）

　IoT機器の不正利用の方法には、「ウイルス感染でbot化して標的にDDoS攻撃を仕掛ける」「監視カメラの情報を傍受してプライバシーを侵害する」「通信内容を改ざんして運用妨害する」などが挙がる。特に、オリンピック開催を控える日本において懸念となるのがIoTのbot化だ。

　「2012年ロンドンオリンピックでは毎秒約100Gbit、2016年リオオリンピックでは毎秒約500GbitのDDoS攻撃が発生している。同年にはDNSサービス事業者Dynに対して、マルウェアのMiraiに乗っ取られたネットワークカメラやデジタルビデオレコーダーなどから、毎秒約1.1TbitのDDoS攻撃があった。（東京オリンピックの頃に）どのような規模に成長するかは計り知れず、備えが大切だ」（中谷氏）

　オリンピックでは、DDoS攻撃以外にもあらゆるサイバー攻撃が想定される。ロンドンオリンピックでは、公式サイトが受けたサイバー攻撃は2億2100万回。開会式前日は、電力システムを狙ったサイバー攻撃の可能性があるとの情報を受けて、マニュアル操作に切り替える騒ぎもあったという。リオオリンピックでは、期間中にセキュリティ脅威を約4000万回観測。2018年平昌オリンピックでは開会式直前にシステム障害が発生して、プレスセンターのネットテレビが一時視聴不能に陥るなどの問題が発生した。

　「大規模な国際イベントは､ハッカーにとっても祭典。IoTをInternet of Threat（脅威のインターネット）ではなく、Internet of Trust（信頼のインターネット）に変えるための対策を講じていかなければならない」（中谷氏）

国際捜査協力がセキュリティ対策の上で非常に重要な役割に

Copyright © ITmedia, Inc. All Rights Reserved.