サイバー金融犯罪の特異点(シンギュラリティ)はすぐそこに――国立情報学研究所 安藤類央氏:@ITセキュリティセミナー2018.2
@ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、特別講演「サイバー金融犯罪の特異点(シンギュラリティ)〜闇ウェブの攻撃者の心理に何が起きているのか〜」の内容をお伝えする。
人工知能が人類に計り知れない変化をもたらすという仮説「技術的特異点」(シンギュラリティ)は、サイバー攻撃の世界にも到来しつつある。2018年2月7日、都内で開催された「@ITセキュリティセミナー」の講演「サイバー金融犯罪の特異点(シンギュラリティ)〜闇ウェブの攻撃者の心理に何が起きているのか〜」で、国立情報学研究所の安藤類央氏は特にサイバー金融犯罪の特異点について、事例を交えながら解説した。
「テクノロジーの進化は社会や経済に大きな恩恵をもたらしたが、金銭目当ての犯罪者もその恩恵をたっぷり享受している。彼らは攻撃を自動化し、国境を越えてグローバルに標的を探索。窃取したカード情報や社会保障番号、銀行口座番号、さらには偽造通貨や武器などはディープウェブで売買しながら大金を稼いでいる。ディープウェブには、アメリカ国家安全保障局(NSA)やGoogleが保持するストレージサイズよりも広大な領域があり、膨大な情報量があるとの指摘があることからも、市場の巨大さは想像に難くない」
サイバー犯罪者は、『ルールズ・オブ・プレイ(上) ゲームデザインの基礎』(※)のプレイヤーの類型を適用すると、次の4つを行動方針を取ることになるという。
- アチーバー:操作のルール(現実世界でいうと、金融取引のプロトコルなど)は守るが、暗黙のルールには違反する
- エクスプローラー:こっそりと操作のルールを違反する
- キラー:ルールに精通しているが、協調性がない
- ソーシャライザー:ルール自体が気に入らない、興味がない
※ソフトバンククリエイティブ刊、ケイティ・サレン著、エリック・ジマーマン著、山本貴光 翻訳
「中でも金融犯罪と最も相性がいいのが、『アチーバー』だ。既存の国家が作り上げた経済圏や支配を嫌い、最終的には『サイファーパンク』として過激化し、国家不要論を唱え始める。仮想通貨といった新たな枠組みに積極的で、シンギュラリティの火種になる存在」
では、サイバー金融犯罪のシンギュラリティは、いつ起こるのか。「そのきっかけを作ったのは米国」と安藤氏は言う。米国ではテロ資金追跡プログラム「TFTP(Terrorist Finance Tracking Program)」や金融取引組合「SWIFT(Society for Worldwide Interbank Financial Telecommunication)」の活動などで国際間の送金が厳しくチェックされており、犯罪組織は従来の銀行送金を利用しづらくなっている。
その結果、犯罪組織は仮想通貨やダークウェブに移行。資金洗浄のやり方も巧妙化しており、「もしも闇のシンギュラリティが起こるとしたら、マネーミュールからではないか」と安藤氏は予測する。
「マネーミュール」とは、不正賃金の送金を代行し、資金洗浄に加担する人やその手法を指す。マネーミュールの中には、犯罪と知らずに加担してしまう人もいる。原因は、人間がスマートフォンやPCの画面に表示されるものを信じる傾向にあることだ。
安藤氏はマンガ『金と銀』(双葉社 刊、福本伸行 著)で、監禁されたある人物がテレビ以外のコミュニケーションを完全に断たれた結果、テレビに映るものが全てになり、テレビの前から離れなくなったエピソードを紹介。
「スマートフォンではオンラインシッピングから送金まで何でもできるが、画面に表示されたものを信頼しているから利用できる。それが日常的に行われ、スマートフォンから見える世界が全てになったとき、騙されても気付かない未来が待っているかもしれない」
それを実証する事件が2008年に起きている。ワシントン州シアトルでBank of Americaの現金輸送車が襲撃された事件では、犯人は数日前にローカル情報交換サイト「Craigslist」を使って道路工事の作業員を募集。集合場所をBank of Americaの近くの交差点に指定し、襲撃後に大量の作業員の格好をした集団の中に紛れ込んで逃げたという。
安藤氏は最後に「今後、クライムソーシングはますます増える。それがサイバー金融犯罪のシンギュラリティになる可能性は高い」と述べて講演を締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- AIで複雑化するサイバー攻撃、対抗できるのもまたAIか、それとも人か
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。複雑化するサイバー攻撃の現状、AI(人工知能)/機械学習、自動化、データ、人や組織体制に関するセッションを中心にレポートする。 - 「セキュア開発」はなぜ浸透しないのか?――DevSecOpsを妨げる“4つの敵”
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポート第2弾(東京Bトラック編)をお届けする。 - ソーシャルエンジニアリングは予算獲得にも応用できる?
本稿では、@ITが2016年6月23日に東京・青山ダイヤモンドホールで開催した「@ITセキュリティセミナー」レポートの第3弾をお届けする。