インターポール:未来型サイバー犯罪対策のあり方(3)

2015年7月29日

シンガポールに居を置くインターポールのIGCIは、サイバー犯罪対策に携わる部署です。2015年に開設したばかりのオフィスを、Kaspersky Labが訪問しました。連載の最終回です。

その1:Cyber Fusion Center
その2:Research and Innovation Department

Digital Forensics Laboratory

Digital Forensics Laboratoryが担当するのはデジタル証拠の収集です。このラボには、ハードディスク、携帯電話などのデバイスを解析するための機器がふんだんにあります。モバイルデバイスを解析するための専用装置はファラデーケージで遮蔽され、容疑者がリモート消去機能を使って証拠を隠滅するのを防止します。

このラボは、いわゆる「ストライクバック作戦」(Operation Strikeback)で大いに活躍しました。2014年の春、5か国の警察機関が、世界各地の数十名に対する「セクストーション」(性的脅迫)に関わったとして58人の容疑者を逮捕しました。犯人らは、被害者から盗んだヌード画像を公開しないことと引き換えに500~1万5,000米ドルの支払いを要求しました。ストライクバック作戦ではDigital Forensics Laboratoryの専門職員が協力し、250件のデジタル証拠が押収、解析されました。

成功事例:5か国の警察機関が連携した「ストライクバック作戦」で活躍したDigital Forensics Lab

これまでのところ、Digital Forensics Labが貢献した事例として一般に広く知られているのは、ストライクバック作戦です。しかし、同ラボはそれほど知られていなくても、とても重要な仕事に関わっています。たとえば、世界中の警察官のためのトレーニング施設や、マルウェアリサーチ施設としての役割もあります。

半年以上前から、このラボには本格的なマルウェアリサーチ用ワークステーションが設置されています。これは、サイバー犯罪捜査の過程で見つかった悪質ソフトウェアを解析するための特別なワークステーションで、Kaspersky Labが提供し、ヴィタリー・カムリュク自身が設置、設定しました。1つのワークスペースに2台のワークステーションが設置されており、1台はマルウェア解析専用ソフトウェアをインストールした「通常の」ワークステーション、もう1台は特別なワークステーションです。後者は、ラボのネットワークには接続されておらず、マルウェアを実行して実環境でその動作を観察する、という目的だけに使われます。マルウェアにごく自然なふるまいをしてもらう方法はこれしかない、とカムリュクは説明しています。サンドボックス方式では仮想マシンで環境をエミュレートするため、マルウェアが仮想環境であることを検知して動作を中止する恐れがあり、必ずしも有効とはいえないのです。

デジタルツール(悪質ある目的で作成、使用されるソフトウェアなど)を利用した犯罪がますます増えています。そのため、IGCIのDigital Forensics Labのような場所にマルウェアリサーチ機能を備えることが重要になっています。

そうこうしているうちに、館内ツアーは終了しました。もちろん、IGCI内の興味深い場所をすべて見せてもらえたわけではありません。館内の移動中にはいくつものドアを見かけ、その先にあるものに興味をそそられましたが、どれもハイテクな生体認証機能を備えたドアロックが取り付けられていました。とはいえ、今回見せてもらった場所だけでも、シンガポールがサイバー犯罪捜査のベストプラクティスという点で、そしてそれ以外の点でも、他の国々のはるか先を行っていることがわかります。IGCIとは、世界規模で犯罪に立ち向かうための、効率的かつ最新式の手段そのものです。そして未来型都市と呼ばれることの多いシンガポールは、世界のサイバー空間の安全確保に乗り出す拠点として、まさに理想的な場所です。