高度化するサイバー犯罪:対抗の鍵は教育と国際連携

2015年5月15日

株式会社カスペルスキーのパートナーカンファレンス【春】が、今年も東京にて開催されました。今年もモスクワ本社から来日した当社CEOのユージン・カスペルスキーが、法人パートナー企業の方々を前に、サイバー脅威の最新動向について講演を行いました。

ユージン_パートナーカンファレンス東京

サイバー犯罪

犯罪者は人の居るところ、経済活動のあるところに集まってきます。モバイルデバイスの普及に伴い、オンラインショッピングやオンラインバンキングがスマートフォンなどから利用されるようになってきました。これを受けて、数こそWindowsコンピューターに劣りますが、Androidデバイスに対する攻撃が急増しています。次なるターゲットはスマートTVだろう、とユージンは指摘しました。スマートTVはスマートフォンと同様に、OSが搭載されていてネットワーク接続します。また、スマートTVでの決済サービス導入を具体的に検討する国もあり、まさにスマートフォンが歩んだ道をたどると考えられます。スマートウォッチ、スマートカー、「スマート」と名の付くものにはいずれ脅威が及ぶだろう、とユージンは指摘しました。Internet of Thingsならぬ「Internet of Threats」の時代です。

密輸や窃盗のような従来型の犯罪にソフトウェアエンジニアが荷担するケースは、昨年の基調講演でも触れられていました。それから1年。昔ながらの犯罪を働く人々とITスキルを持った人々の間の協力関係はさらに強化され、複雑さを増しているとユージンは指摘します。サイバー犯罪の手口は洗練され、犯罪の産業化が進み、まさに「Crime as a Service」(サービスとしての犯罪)がグローバル展開されています。

諜報活動

国家が背後にあると思われる大規模な諜報活動(APTと呼ばれる攻撃であることが多い)が、近年次々と明らかになっています。2014年は特に、そうした活動が数多く明らかにされた年でした。また、これまでは活動に関わる人々が操る言語としては英語、中国語、ロシア語などが知られていましたが、スペイン語(中南米ではなくスペインのスペイン語)アラビア語の話者が関わる形跡が見られるAPTが観測されており、APT活動の広がりを感じさせます。また、ユージンが懸念するのは、APTで使われる高度なツールや技術を「見て、学んでいる」犯罪予備群の存在です。つまり、サイバー犯罪が将来的に高度化していく恐れがあるということにほかなりません。

破壊活動

もうひとつ、ユージンがここ数年繰り返し警鐘を鳴らし続けているのは「重要インフラに対する攻撃」です。「いつ、どこで、誰が仕掛けるのか、予想することはできないが、いつか必ずやってくる」。最近の例として挙げたのは、ドイツの中規模製鋼所がサイバー攻撃を受け、物理的被害を受けた事例でした。攻撃の仕掛け手が本当に狙うのは、ドイツという国でもこの製鋼所でもなかったのではないか、とユージンは推測しています。これはたまたま脆弱性をもつシステムに対して仕掛けられた予行演習であり、真の標的を襲うために準備が進められているのではないか。これがユージンの懸念に満ちた推測です。

教育と国際連携、法執行機関の関与

世界を巡る脅威の動向に対抗するため私たちに必要なこととして挙げられた項目は、教育、国際連携。昨年と大きくは変わりません。しかし、その内容には変化が見られます。

まずは教育について。昨年秋のパネルディスカッションで、内閣官房情報セキュリティセンターの谷脇氏とユージンが口を揃えたのは、「ITセキュリティの人材が足りない」ということでした。今回の講演でも、教育の重要性が強調されました。しかし、エキスパートを育てることだけが教育の目的ではありません。一般の人々もサイバーセキュリティについて知識を身につけることが肝要です。特に標的型攻撃では、組織に属する個人が狙われ、そこを突破口にして組織ネットワークに侵入が及びます。Carbanakでは、数名の銀行員がメールの添付ファイルを開いたことが侵入の一歩となりました。ソーシャルエンジニアリングとはどんな手口か?サイバー犯罪に使われる基本的なテクニックとは?個人が備えをすることで、サイバー犯罪のハードルは上がります。攻撃者にはコスト意識があります。利益とリスクを天秤にかけ、リスクが利益を上回るならば、攻撃者にとってうま味はないのです。

国際連携に関しては、各国のサイバー犯罪対策部門が横連携を始めています。先日、インターポールが新たなサイバー犯罪部門をシンガポールに開設しました。Kaspersky Labからも優秀なアナリストをシンガポールに派遣し、その活動の支援にあたっています。官民の協力体制、国際間の協力体制が求められる中、これは良きニュースと言うことができるでしょう。