大きく変わる情報セキュリティ犯罪

インターネットの普及とともに、情報セキュリティが大きな問題となっているが、情報セキュリティ犯罪が最近大きく変わってきた。昔の情報セキュリティ犯罪といえば、コンピューター技術に強い一部の人たちが、仲間に自分の実力を示すためにどこかのウェブサイトに侵入してみたり、サイトの改ざんを行ったりしていたものが多かったが、最近では、そのような技術者のプライド的なものではなく、はっきりとした目的をもった犯罪が増えてきている。ひとつは、金銭目的のもの、もう一つは怒りをぶつけるような、いやがらせ的なものである。

後者は、例えばある国の政府のウェブサイトを、その国に敵対心を持つ外国の人たちが改ざんするなどという形で現れる。別なものとしては、ある企業の行動に問題がある場合、例えば環境に配慮しないというような場合に、その企業のウェブサイトが同様の攻撃を受けることがある。これらも大きな問題ではあるが、やはり最近もっとも大きな問題となっているのは、金銭目的の情報セキュリティ犯罪である。

金銭目的の情報セキュリティ犯罪には、企業を狙ったものと、個人を狙ったものの両方がある。企業を狙ったものとしては、以前からある、機密情報の不法入手があるが、最近はそればかりではない。インターネットを使ったビジネス比率が高い企業、例えばEコマースでの売上が多い企業は、自社のEコマース・サイトが何時間もダウンして使えなくなると、売上に大きく響く。そこを狙い、その企業のEコマース・サイトをダウンさせるぞ、という脅しをかけて、お金を脅し取る、いわゆる強要がいくつも発生しはじめている。

実際に、このような強要がどれくらい起こっているかは、情報セキュリティ犯罪の常として、明確な数字が表に出てこないが、かなりの数が起こっている模様である。それが表に出てこない大きな理由は、企業がその脅しに応じてしまい、お金を払ってしまっているという実態があるようだ。まもなく株主総会のシーズンだが、以前はよく暴力団が株主総会を荒らすと脅して、企業からお金をとっていたと聞く。これと同じようなものである。

企業がこれらの脅しに対してお金を支払ってしまう理由は、その脅しの金額が破格ではなく、それに応じてしまったほうが安くつきそうなレベルに設定されているからとも言われている。具体的なセキュリティ攻撃の種類としては、そのウェブサイトが使えなくなってしまうDDoS(Distributed Denial of Service)攻撃が多い。まずDDoS攻撃をごく短い時間かけ、その脅しが本物であることを企業に認識させた上でお金を請求する、という方法が取られているようだ。

このような、企業を狙った情報セキュリティ犯罪は、個人が行うのではなく、組織犯罪が関わっている場合が多い、というのが米国で最近よく言われている。場合によっては、東ヨーロッパからとか、国際的な組織犯罪になっているようだ。

これに対抗するには、十分なDDoSアタック対策を講じておき、かつ、このような脅しがきても、それに応じず、警察と一緒になって対抗するということである。ただ、これにはそのための資金と高い当事者意識を必要としており、現状では、十分な状況とは言えない。

個人を狙った金銭目的の情報セキュリティ犯罪としては、いわゆるID盗難(Identity Theft)が今、最大の問題となっている。ID盗難は、インターネット経由などでなくても、日本で起こったような、銀行カードの盗難、偽造、あるいは、企業が持っている個人情報の盗難という形を取る場合もあるが、インターネット等のネットワーク経由のものも大きな問題である。

特に今問題なのが、フィシング(Phishing)と言われるもので、すでに日本でも登場して話題になっているので、知っている人も多いと思うが、あたかも信頼できる銀行等からのメールのようなふりをした偽メールで、これまたあたかも本物の銀行等のサイトかのような偽サイトにリンクし、ユーザーの口座番号、パスワード、クレジットカード番号等を入力させて盗むというものである。このような偽サイトが、わかっているだけで2,600以上あると言われている。

最近はその変化形として、ネットワークの中にあるDNSサーバー(ウェブサイト名を入れると、その物理的な場所につなげてくれるサーバー)を改ざんして偽サイトにリンクしてしまうもの(Pharming)、スパイウェアをまずユーザーのパソコンに入れ、キーロッガーというユーザーがキーボードから何を入力したかを盗んでしまうツールを使って、パスワードやクレジットカード情報を盗むもの(Spear Phishing)、Googleなどのサーチエンジンの結果の中に信頼できる本物のサイトそっくりなものを入れておき、偽サイトにリンクするもの(Google Phishing)、無線LAN(Wi-Fi)ネットワークのホットスポット(空港や店などで無線LANが使えるところ)で、パスワード等を盗聴されてしまうもの(Wi-Phishing)など、Eメールを使わない手口もいろいろと出てきているので、要注意である。銀行ばかりでなく、昨年末のインドネシア、スマトラ沖大地震の際には、いくつもの義援金募金にせサイトが立ち上がったというから、人の善意を悪用した、性質の悪いものである。

このような金銭目的の情報セキュリティ犯罪が増えてきている原因はいろいろあるが、ひとつには、情報セキュリティ犯罪用のツールが整ってきて、それほど技術的な専門家でなくても、犯罪を犯すことが出来るようになった、という点があげられる。つまり、技術力ではなく、明らかな「目的」が存在する場合、情報セキュリティ犯罪が起こるようになってきたのである。

また、情報セキュリティ犯罪の損害金額が大きくなっている(したがって、犯罪者に多額のお金が入る)点も、大きな原因と言える。実際、Phishing関連だけでも、昨年の損害が約12億ドル(約1300億円)もあるという報告も出ている。その結果、組織犯罪グループ等がこれに目をつけ、情報セキュリティ犯罪ビジネス(?)に参入してきたわけだ。

個人のクレジットカード情報などを盗んだ場合、それを売買する取引所的なウェブサイトがいくつもあるというから驚きである。もちろんこれらのサイトは警察が見つけ次第クローズされるわけだが、インターネット上での引越しなど、いとも簡単にできてしまうので、犯罪グループと警察とのいたちごっこが続く。この手のサイトで有名になり、昨年10月に首謀者が逮捕されたShadowCrewは、4,000以上のギャングに利用されていたと言われている。

これらの新しい犯罪に対して、守る側も手を拱いているわけではない。Phishing対策のためのAnti-Phishing Working Groupも結成されているし、企業側もいろいろな対抗策を講じ、万一Phishingサイトなどが発見された場合には、即座にクローズできるように、FBIやISP(プロバイダー)との協力関係を構築している。それでも、Phishingサイトが国外にあるなど、簡単に対応できない場合も多く、やはり個人個人、企業企業がきちっとした情報セキュリティ対策を講じ、常に情報セキュリティ犯罪にひっかからないよう、注意することが大切である。

  黒田 豊

(2005年6月)

ご感想をお待ちしています。送り先はここ

戻る