コラム
2021/11/04
デジタル時代の新たな脅威──サイバー犯罪とは?
●まずは「敵」を知るところから。
「サイバーセキュリティ」と一言で言っても、多くの経営者にとって具体的にそれをイメージするのは難しいものかもしれません。しかしながら近年は、経営上の脅威に備えるために欠かせないものとの認識が浸透しつつあります。昨今の各メディアでの関連報道からもそれは明らかでしょう。
そもそも企業はどんな脅威と対峙しているのか。皆さんはイメージできますか? 「サイバー犯罪とは何か」「それを実行している犯罪者はどんな人物なのか」を理解することが極めて大切です。『孫子』には「敵を知り己を知れば百戦危うからず」という有名な一節があります。まずは、相手を知るところから始めましょう。
●サイバー犯罪は巨大な「ビジネス」と化している。
世界のサイバー犯罪の被害額は、年間170兆円とも言われています。2019年のGDP(国内総生産)に置き換えれば、10位の韓国に次ぐ規模です。そのおよそ半数が、盗んだ機密情報・知財の売買、個人情報の不正使用、恐喝によるものです。一度の被害額が数十億円を超えることも珍しくありません。これらの犯罪は、すべてオンライン上で行われています。
身代金目的の誘拐や銀行強盗など、リスクが高いわりにリターンの少なかった従来型のレガシー犯罪は減っています。それに代わり、高度な技術でハイリターンを狙うサイバー犯罪が台頭。しかも、ハッカーが自身の知識を誇示する愉快犯の時代は終わり、巨大な経済規模の「ビジネス」へと成長しています。企業はこのような状況を直視し、全力で脅威と対峙しなければならない時代に突入しているのです。
犯罪には必ず意図(動機)があります。それを解明しない限り、次の有効な対策を打てず、得体の知れない恐怖に絶えず脅かされることになります。一方、犯罪動機の解明は法執行機関の領域であり、民間側としてどこまで関わればいいのか、その判断は容易ではありません。ここでは、最低限理解しておきたいポイントを説明します。
【サイバー犯罪の分類】
サイバー犯罪は、マルウェアなど使用されるツールの技術的特性によって分類されますが、ここでは犯罪の目的別に整理します。
1 金銭目的
金銭目的のサイバー犯罪は最もポピュラーです。空き巣と同様、入りやすい・盗みやすい相手を狙って幅広く攻撃を仕掛けてきます。経済制裁を受けて外貨獲得の手段を封じられた国家が実行していると思われるケースもあります。
2 スパイ目的
「情報・知財」を盗むと、多額の収益が見込めます。機密性が高ければ高いほど大きな対価に結びつくのが特徴です。国家のセキュリティに関わる情報を狙う犯罪は「ネーションバック」「ステートスポンサード」と呼ばれます。徹底的に教育された極めて高度なテクニックを駆使して攻撃します。一方で、インサイダーによる情報の持ち出しにも留意すべきです。一般にインサイダーは正規のアクセス権を使います。そのため見抜きにくいのが厄介な部分です。
3 破壊・妨害目的
破壊・妨害目的の犯罪は、主にテロリズムの一環として行われます。国家がバックについていることも否定できません。本格的な攻撃の前の「偵察活動」と位置づけ、そうした行為の影響を見極めている場合もあります。主なターゲットになっているのは、行政機関や重要インフラ企業です。
4 主義・主張目的
特定の企業や国家、行政機関などのアクションに強い反意を示すために行われる犯罪です。Webサイトの改竄によるメッセージ発信や、DDoS攻撃による業務妨害を伴った脅迫行為がこれにあたります。
5 復讐
所属する組織や会社に強い不満があって実行されるケースもあります。例えば、機密情報を持ち出して競合他社に売る、スキャンダル情報を一般に暴露して評判を下げるといった犯罪です。
6 性的動機・著作権侵害
金銭目的と並んで多いのが性的動機です。法律で所持が禁止されている映像や画像のデータをサイバー空間でやり取りする行為が挙げられます。オンライン上の不正売買は著作権侵害の一つであり、そこにはソフトウェアの「海賊版」も含まれます。
【サイバー犯罪者】
サイバー犯罪者──。この言葉からどういったイメージが浮かんできますか? セキュリティベンダーのマーケティング情報によく見られる「フードを被った若い男性」でしょうか。しかしながら、そのイメージは必ずしも実態とは一致していません。
昨今のサイバー犯罪は、高度に分業化されたいわゆるCaaS (Crime As A Service) というモデルを採用しています。これは、サイバー犯罪が行われる各ステージにおいて、その領域に特化した専門事業者たちが犯罪行為をサービスとして請け負うモデルです。犯罪の手口をパッケージ化して、アフィリエイト・モデルとして末端組織に実行させるケースも増えています。こうしたモデルを確立することで、「元締め」「親玉」といった最上位層は、自分たちが手を動かすことなく目的を遂行できるのです。さながら特殊詐欺集団の構造に近しいものがあります。被害を受けた場合の調査において、真の目的を見出すことも非常に困難です。
他方、国家が背後にあるようなサイバー犯罪者たちは、数人規模の比較的少数のグループで入念に計画を立て、必要なスキルを獲得し、訓練を行ったのちに実行します。犯行の痕跡がほとんど残らず、被害そのものに長期間気づくことができないケースが少なくありません。標的型攻撃と呼ばれるこれらのネーションバック犯罪に関しては、米国の非営利法人であるMITRE社がフレームワークとして体系化している「PRE-ATT&CKフレームワーク」(注)に詳しく解説されています。
(注)MITRE ATT&CK
https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
サイバー犯罪、サイバー犯罪者の特性を理解すれば、自分たちの組織のビジネスリスクを明確にしやすくなります。狙われる理由、狙われやすいポイントを押さえ、企業防衛力の強化に役立てていただければ幸いです。