サイバーセキュリティグローバルな視点から見えてくること：KeyConductors

インターポールのサイバー犯罪対策拠点の初代総局長を務める中谷 昇氏に、「サイバー攻撃の実態」はどう見えるのか聞いた。「日本はユニーク」という意味は？

[宮田健，ITmedia]

　2016年10月26日、千葉、幕張メッセで開催された「第6回情報セキュリティEXPO秋」で、世界のサイバー脅威の現状把握と、これからの防御の姿を考える講演が行われた。いま現在国境を越えて行われているサイバー犯罪行為を「協力」の名のもとに撲滅を試みる、インターポールの取り組みを紹介しよう。

インターポールが考える「サイバー攻撃に対して、いま世界ができること」

中谷 昇氏

　Interpol Global Complex for Innovation 総局長の中谷 昇氏による講演「サイバーセキュリティ　〜グローバルな視点から見えてくること〜」のレポートをお送りしよう。「インターポール」という名前は浸透していながら、その実態はなかなか知られていない。中谷氏とインターポールが、サイバー世界の脅威にどう対応しているのかを明らかにするセッションだ。

　中谷氏はインターポールのビジョンを「Connecting police for a safer worldだ」と述べる。インターポールとは、190か国の警察組織を連携し、統合犯罪被疑者データベースをはじめ、盗難自動車、紛失旅券、指紋情報、拳銃情報などの情報をもち、各国で行われる捜査の協力やサポートを行う組織だ。

インターポールのWebサイトに掲げられたビジョン「Connecting police for a safer world」

　中谷氏はその機能を「各国メンバー組織にIDとパスワードを配って、つながってもらう「プロバイダー」のようなもの」と表現する。実際、クラウドサービスやSaaSのような動きをしているという。「インターポールは組織犯罪、テロ、サイバー攻撃などの捜査協力を行う。自らは捜査しない」。

　中谷氏はそのインターポールにおいて、サイバー犯罪拠点として2015年にシンガポールに設置された「Interpol Global Complex for Innovation」（IGCI）の初代総局長として就任した。中谷氏のその視点で「サイバー攻撃の実態」はどう見えるのだろうか。

「ユニーク」な日本の報道

　中谷氏はまず、日本のサイバー犯罪における「報道」に斬り込む。日本では多くの「情報漏えい事件」が報道されているのはご存じのことだろう。例えば2016年6月に発生した、JTBグループのi.JTBで発生した不正アクセスによる情報漏えい事件では、多くの報道において「情報漏えいを起こした」という表現をしていたと中谷氏は述べる。「これだけを見ると、JTBが情報を「漏らしてしまった」と、JTBが悪く見える」。

　しかし、同じ事件を英語で書かれた新聞を見てみよう。「例えば英字新聞では「JTB hacked」や「Data breach」という表現で、『ハッキング被害に遭った』というもの。ヘッドラインのイメージがかなり異なることが分かるだろう。果たして、どちらが正しいのだろうか？」と中谷氏は指摘する。「日本年金機構で発生した事件の報道も同様だった。本来、日本年金機構やJTBは「被害者」のはず。サイバーセキュリティのレスポンシビリティは、経営の話だ。英語の方がはっきりと本質にせまっており、日本語はミスリーディングではないか。この点、日本語の新聞や報道はユニークだと思っている」。

　ただし、中谷氏はインシデントを起こした企業が何も悪いとは言っていない。例えば2015年10月、イギリスの携帯電話会社「TalkTalk」がハッキングされ、15万件ほどのデータが盗まれた事案を中谷氏は紹介する。この事件では犯人が逮捕されており、2016年10月にイギリスのICO（The Information Commissioner's. Office：総務省）が40万ポンドを制裁金としてTalkTalkに課した。「ICOはTalkTalkが「Poor Security」であり、「No Excuse」だとはっきり言っている。こういう基本的なことをやらなければ、企業の進退に関わるということを述べているのだ」。

　中谷氏は、これまで経営陣が注目していた「予防」だけでは守れないと述べる。「プリベンション（予防）だけでなく、ディテクション（検知）、ミチゲーション（保全）が重要。被害に遭った企業、遭っていない企業ではなく、今後は『気が付いている企業、気が付いていない企業』で区別されるようになるだろう。それはサイバー世界がIoT化するにつれ、流れは加速するはずだ」。

変わる「銀行強盗」の姿……犯罪者は学ぶ

中谷 昇氏

　中谷氏は「銀行強盗」を例に、サイバー世界での犯罪の姿を解説する。銀行強盗といえば、20年ほど前は覆面と拳銃で行員を脅して行うようなものだった。しかしこの犯罪行為は大幅に減っている。その代わり、犯罪者は多額の現金を持つ口座をターゲットに、サイバー攻撃としての「銀行強盗」を行っているという。「バングラデシュ中央銀行で、ドル口座の動きを静かに観測し、その取引の内容をまねることで約81億円もの額をフィリピンのカジノに送金する事件があった。現金紙幣であると移送するのは無理な額も、インターネットならば一瞬で送金ができてしまう。これは事実上のサイバー銀行強盗だ」。

　これはバングラデシュ中央銀行内のPCがマルウェアに感染していたための事件で、不正な送金が行われてしまったというものだ。

　もう1つ、犯罪者が学びつつある事例は、日本でも大きな話題になっている「ランサムウェア」だ。アメリカ、カリフォルニアの病院では院内の中心的なシステムがランサムウェアに感染し停止してしまったため、身代金を払ったことで話題になった。

　ランサムウェアの被害は世界で拡大し続けている。この背景には、犯罪者が作る「オンラインのブラックマーケット」の存在が大きいという。「オンラインブラックマーケットは1つや2つではなく、たくさん存在している。例えばドラッグやクレジットカード番号、ID、パスワード、銃なども取引されており、売る人がもうけられるだけでなく、買う人も『次の犯罪』で使うことでもうけられるようなエコシステムが出来上がっている。これは非常に大きな問題だ」と中谷氏は述べる。

インターポールの「チャレンジ」

　そのような問題が山積される状況の中、インターポールは果敢に挑戦を続ける。そのポイントは「官民連携」だ。「警察法執行機関にも限られた情報しかない。犯罪者は攻撃を簡単に行えるが、防御は難しい。でもそれを言い訳にすることはできない。警察は『安全、安心』を提供しなければいけない。リアルな店舗も、ネットの上でも、国民が安全に暮らせることが警察の責務。それを、インターポールがサポートする」。

　そのために、インターポールは情報を「民間」から借り、サイバー犯罪へと対処する。民間セキュリティ会社と情報を連携し、分析した結果を各国の警察へ提供する組織を作った。それが、2015年4月に開設され、中谷氏が初代局長を務めるIGCIという組織だ。この組織では、日本からもトレンドマイクロやNEC、LAC、サイバーディフェンス研究所、カスペルスキーなどの企業が協力をしており、マイクロソフトなどと協業しボットネットを停止に追い込むなど、数々の実績を上げている。

知ることから「共有すること」へ

　中谷氏は激化するサイバー攻撃へ対応するために、「Need to knowから「Need to Share」」とまとめる。これは、サイバー攻撃の対処のためには、ライバル企業同士も手を組み、同業種内での攻撃情報の共有を進めるべし、という意味だ。

　「例えば銀行への攻撃。これは他の銀行でも同じことが行えるかもしれない。攻撃者は私たちが情報共有をしていない前提で攻撃してくる。同業種の中で攻撃手法の情報を共有しなければ、攻撃者の思うつぼになる」と中谷氏は述べる。実際、ヨーロッパの自動車産業などでは、トップ3と呼ばれるような企業はシステムへの攻撃状況に関して、NDAを結びつつサイバー攻撃情報を共有しているという。さらに、官民協力という形での情報共有も重要だ。

　中谷氏はこれらの行動が、犯罪者に対しての大きなメッセージになると考えている。「いま、犯罪者はローリスク、ハイリターンでもうけている。これを「ハイリスク」にするためには、私たちが情報共有をしなければならない。今後はこの情報共有が重要になる」……世界が安全、安心になるその日まで、インターポールの挑戦は続くのだ。