犯罪捜査、オリンピック、新型コロナウイルスから見えてくる、世界と日本のサイバーセキュリティ事情：「＠ITセキュリティセミナー2020 新春」基調講演

新型コロナウイルスの影響によるライブ配信での実施となった「＠ITセキュリティセミナー2020 新春」の基調講演に、元インターポールで現ヤフー 執行役員の中谷昇氏が登壇。世界と日本のサイバーセキュリティ事情について講演した。

[谷崎朋子，＠IT]

情報は、「流出する」のではなく、攻撃者に「盗まれている」

ヤフー 執行役員 中谷昇氏

　情報は、流出・漏えいするのではなく、盗まれている――「＠ITセキュリティセミナー2020 新春」の東京会場（※ライブ配信で実施）の基調講演で、ヤフーの執行役員を務める中谷昇氏はそう強調した。

　「国内のニュース報道の多くは、サイバー攻撃で個人情報や機密情報が“流出”または“漏えい”すると表現する。この場合、流出、漏えいさせた事業者側が責を負う。しかし実態は、サイバー犯罪者が情報を“窃取”したのだ。責められるべきはサイバー犯罪者。民事事件ではなく刑事事件だ」（中谷氏）

　中谷氏は、1993年に警察庁へ入庁。神奈川県警察 外事課長、警察庁 情報技術犯罪対策課 課長補佐をへた後、2007年にインターポール 経済ハイテク犯罪課長に就任。2008年にはインターポール 情報システム・技術局長 兼 CISO（最高情報セキュリティ責任者）を務め、2011年に日本へ帰国後、2012年にIGCI（INTERPOL Global Complex for Innovation）初代総局長となった。総局長時代、＠ITセキュリティセミナーに計4回登壇している同氏は、全ての回で“情報は盗まれている”ことの意識改革を促しているという。

　サイバー攻撃は、グローバルな課題だ。世界経済フォーラム、通称ダボス会議が毎年発表する「グローバルリスク報告書」の2020年版において、2020年に増大が予想されるリスクのランキングで8位に「サイバー攻撃：データ・金銭の窃取」が、5位に「サイバー攻撃：オペレーションやインフラの破壊」が挙がった。

　「いずれも2018年版から3年連続でトップ10にランクインしており、サイバー攻撃はリスクであるとして広く理解されている」（中谷氏）

2020年に増大が予想されるグローバルリスクトップ10（中谷氏の講演資料から引用）

進化し悪質化するサイバー銀行強盗

　インターネットが広く普及する中で、犯罪は確実に現実空間からサイバー空間へ移行している。サイバー空間の犯罪は、いまや組織化され、Cybercrime as a Service（サービスとしての犯罪）が成り立っている。「その仕組みは一般的な商取引と変わらず、顧客とサプライヤーが取引する市場を形成し、顧客からのフィードバックを丁寧にくみ取りながらシェアを伸ばして収益を出す、そんなエコシステムを確立している」と中谷氏は説明する。

　その規模は、想像以上だ。2019年9月、ドイツでは連邦警察の対テロ特殊部隊も参加して、ダークネット向けデータセンターの強制捜査を行った。容疑者は13人。約200台のサーバと多額の現金、使用ドメインなどを押収した。データセンターは、NATO（北大西洋条約機構）の軍事施設跡地にあり、世界で2番目に大きいアンダーグラウンドマーケット「Wall Street Market」を含む数多くの悪名高きマーケットやフォーラムをホスティングしていた。同事例から「サイバー犯罪がいかに大規模な運営か」が見えてくる。

　サイバー犯罪による被害も悪化している。例えばオンラインバンキング詐欺は、日本では2012年に64件（被害総額4800万円）^*1、2015年に1495件（30億7300万円）^*2と増え、2018年に322件（4億6100万円）^*3と減少。

*1：平成25年中のインターネットバンキングに係る不正送金事犯の発生状況等について
*2：平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について
*3：平成30年におけるサイバー空間をめぐる脅威の情勢等について

　「このまま減ってくれるかと期待したが、2019年11月に被害件数630件、被害額約12億370万円と急増^*4、単月で過去最大の被害件数となった。原因は、フィッシングメール経由で銀行公式ページと見間違えるフィッシングサイトに誘導する、入力ID／パスワードやワンタイムパスワードを本物の銀行サイトに入力して突破するという手口が横行したこと。結果、2019年の被害総額は約25億2100万円となり、前年比5倍以上となった」（中谷氏）

*4：ネット不正送金、5割超はワンタイムパス破り：日本経済新聞

　だが、個人の銀行口座では大金が期待できない。そこでサイバー銀行強盗は銀行自体に注目した。中でも、200以上の国および地域の1万1000以上の銀行や証券会社などが参加する国際銀行間通信協会（SWIFT：Society for the Worldwide Interbank Financial Telecommunication）の金融メッセージングシステムを悪用した一連の不正送金事件は「まさにイノベーションともいえる」と中谷氏。

　被害総額約8100万ドル（約90億円）のバングラデシュ中央銀行の場合、攻撃者は同銀行にマルウェア感染などで侵入し、ドル決済取引のあるニューヨーク連邦準備銀行とのやりとりを数カ月間にわたって調査。その後、35回に分けてニューヨーク連邦準備銀行に送金指示。ドイツ銀行やフィリピン中央商業銀行などを介して送金を繰り返し、最終的にはマニラのカジノなどで浄化した。

　仮想通貨取引所も、ターゲットになった。国内では2018年9月に約67億円相当の仮想通貨が流出したZaif、2018年1月に約580億円相当が流出したコインチェックなどが記憶に新しい。

　もう一つのトレンドは、ランサムウェアだ。WannaCryやPetya／NotPetyaは世界中に被害を及ぼした。「NotPetyaで2億ドル超の損害を出した海運大手Merskの当時CEOは、オペレーションが2週間止まり、端末は約5万台、サーバは約5000台を入れ替えなければならなかったと教わった」と中谷氏は明かす。

　特にオンラインバンキング情報を窃取するマルウェア「Emotet」がランサムウェアを感染させるプラットフォームとして利用されるようになったことが背景にある」と中谷氏は述べる。国内でも被害が発生しており、直近では新型コロナウイルスを題材とした攻撃メールも確認されているという。

Emotetの感染被害増加（中谷氏の講演資料から引用）

IoTを、Internet of Threatではなく、Internet of Trustに

　IoT（Internet of Things）機器も犯罪者にとって利用価値の高いテクノロジーだ。「IoTは処理能力が小さく、十分なセキュリティ機能を実装できず、脆弱（ぜいじゃく）になりがち。ライフサイクルも長く、侵害されても気付かないまま時間が過ぎていく可能性が高い」（中谷氏）

　IoT機器の不正利用の方法には、「ウイルス感染でbot化して標的にDDoS攻撃を仕掛ける」「監視カメラの情報を傍受してプライバシーを侵害する」「通信内容を改ざんして運用妨害する」などが挙がる。特に、オリンピック開催を控える日本において懸念となるのがIoTのbot化だ。

　「2012年ロンドンオリンピックでは毎秒約100Gbit、2016年リオオリンピックでは毎秒約500GbitのDDoS攻撃が発生している。同年にはDNSサービス事業者Dynに対して、マルウェアのMiraiに乗っ取られたネットワークカメラやデジタルビデオレコーダーなどから、毎秒約1.1TbitのDDoS攻撃があった。（東京オリンピックの頃に）どのような規模に成長するかは計り知れず、備えが大切だ」（中谷氏）

　オリンピックでは、DDoS攻撃以外にもあらゆるサイバー攻撃が想定される。ロンドンオリンピックでは、公式サイトが受けたサイバー攻撃は2億2100万回。開会式前日は、電力システムを狙ったサイバー攻撃の可能性があるとの情報を受けて、マニュアル操作に切り替える騒ぎもあったという。リオオリンピックでは、期間中にセキュリティ脅威を約4000万回観測。2018年平昌オリンピックでは開会式直前にシステム障害が発生して、プレスセンターのネットテレビが一時視聴不能に陥るなどの問題が発生した。

　「大規模な国際イベントは､ハッカーにとっても祭典。IoTをInternet of Threat（脅威のインターネット）ではなく、Internet of Trust（信頼のインターネット）に変えるための対策を講じていかなければならない」（中谷氏）

国際捜査協力がセキュリティ対策の上で非常に重要な役割に

　こうしたサイバー犯罪者の攻撃を防ぐには、「サイバー脅威の情報収集を基本として、予防・発見・軽減および回復・遮断・捜査のサイクルを回すことだ」と中谷氏は断言する。特に国内では、脆弱性の特定と予防がISMS（情報セキュリティマネジメントシステム）のカテゴリーであることも手伝い、「グローバルで見ても日本企業はかなりまじめに実施しているが、EDR（Endpoint Detection and Response）やSOC（Security Operation Center）を活用した発見、CIRT（Cyber Incident Response Team）による軽減および回復、遮断などはまだまだ改善の余地がある」と中谷氏は指摘する。

サイバー犯罪捜査の実態（中谷氏の講演資料から引用）

　特に最近の攻撃は高度化しており、発見しづらいのが現状。2020年1月に話題となった三菱電機のサイバー攻撃事件については、「2019年6月の検知以前から侵害があった」との報道もある。世界に目を向けると、侵害から発見までの中央値は、アジア・太平洋地域は262日、南北アメリカ大陸は46日、ヨーロッパ・中東およびアフリカは61日と言われている（ファイア・アイ調査）。

　「国家による標的型攻撃がある中で、発見はもはや無理ではないかという論調もあるが、工夫すれば早期に検知することも可能」と中谷氏。そのためにも、ISMSから一歩進み、米国国立標準技術研究所（NIST）が発行する「サイバーセキュリティフレームワーク」をベースにセキュリティ対策の考え方を整理し、脅威の軽減や回復の段階までステップアップしてほしいと助言する。なお防衛産業では、同フレームワークの採用が進んでおり、「防衛省でも2020年度から標準化されるはず。今後同省と取引する場合は、同フレームワークに沿った対策を実践していることが条件になる」と述べる。

　そして、中谷氏は「インシデントレスポンスでサイバー犯罪の証拠が収集できたら、ぜひ捜査機関まで情報提供してほしい」と会場に呼び掛ける。「現在サイバー犯罪者が逮捕されず、有利に活動できているのは、情報の非対称性があるから。犯罪の証拠は、警察よりも被害に遭った民間企業やインフラ事業者などの方が多く保持している。証拠がなければ、サイバー犯罪の捜査は進まず、犯罪者は捕まえられない。自社のセキュリティ対策を強化しながら、並行して警察へ情報を提供することも考えてもらいたい」（中谷氏）

　サイバー犯罪を取り締まるための関連法令はさまざまあるが、適用が難しいのが現状で、国際捜査協力についても、EUの欧州司法裁判所のような機関がないため、各国での犯罪捜査となり、調整も難しいという。

　そうした現状を変えるべく、2016年には「Recommendations for Public-Private Partnership against Cybercrime」（サイバー犯罪に対抗するための官民連携に関する勧告）が、2017年には「Guidance on Public-Private Information Sharing against Cybercrime」（サイバー犯罪に関する官民の情報共有における指針）が世界経済フォーラムのダボス会議で発表された。「特に情報共有は対策の上で非常に重要な役割を果たし、これで一歩前進できるのではないか」（中谷氏）

新型コロナウイルス対策で考えるサイバー犯罪対策

　最後に、中谷氏は新型コロナウイルスの流行に対するグローバルな取り組みに触れながら、サイバー脅威対策の在り方や課題を指摘した。

　「新型コロナウイルスなど新型ウイルスが流行すると、製薬会社や研究機関が治療薬やワクチン、検査ツールなどの開発を行い、WHO（世界保健機関）が緊急委員会を招集し、情報共有や現状の監視などを実施する。では、マルウェアなどはどうか。マルウェアの調査や分析、セキュリティパッチの提供については、セキュリティベンダーが中心に実施し、各国CERTが自国への情報展開を進める。問題は、WHOのような機関が存在しないことだ。インターポールや国連、世界経済フォーラム、ITU（国際電気通信連合）などは協力関係にあるものの、中心的存在となる機関はない」

　実は同氏がIGCI総局長時代に、インターポールがそうした役割を果たすべきではないかとの議論があったという。しかし、国家安全保障に結び付くテーマだけに「刑事司法の協力だけでは難しい」と言われたことを明かす。

　「まずは、各国や組織で自分たちができることをきちんと実施すること。その上で、越境するサイバー犯罪問題を根本的に解決するためにも、WHOのような組織の下で協力、連携していくこと。ドイツのダークネット向けデータセンターの規模をいま一度思い出し、グローバルでサイバー犯罪に立ち向かっていくことを意識したい」（中谷氏）

グローバルパンデミック（中谷氏の講演資料から引用）