セミナーレポート

湯沢で考える身近になったサイバー犯罪

情報セキュリティWS in 越後湯沢2014を取材

2014/11/6

 2014年10月10日~10月11日に「情報セキュリティワークショップ(WS) in 越後湯沢2014」が行われた。今年の越後湯沢WSのテーマは「情けは人の為ならず、セキュリティは己の為ならず」。サイバーセキュリティに対する関心の高さもあり、今年は8月末をまたずに参加者の募集が終了。330人と過去最高レベルの参加者が集まった。

早々と参加者の募集が締め切られるだけ
あり、多くの参加者が会場を埋めた
早々と参加者の募集が締め切られるだけあり、多くの参加者が会場を埋めた

増えるネットワーク犯罪


 警察庁生活安全局情報技術犯罪対策課の木村公也氏は、サイバー対策の現状について講演した。世界のインターネット利用者数を見ると7年間で約15億人にも増えており、国内のインターネット利用者も、2013年末には1億人を突破している。


 こうしたなかサイバー犯罪の検挙は2014年上半期で3697件という状況。犯罪の実行にネットワークを利用した犯罪(ネットワーク利用犯罪)は2013年よりも増えている。


 サイバー犯罪のなかには、中継サーバ業者が他人の識別符号を盗んで、インターネットに接続するといったものや、不正にアクセスし、買い物に使うポイントを電子マネーに交換するといったものがある。さらには出会い系サイト業者が女性会員の投稿したわいせつ画像をアップするものも多いとのことだ。


 木村公也氏はこれらのなかで特にネットバンキングの不正送金犯が頻発している点に着目。2013年には32金融機関で1315件の被害があり、被害総額は14億600万円にものぼったという。警察庁も様々な対策を打っているものの、2014年の上半期にはその被害額を上回る18億5200万円という被害が出た。特徴としては、ほとんど都市銀行で起きていたものが、地銀・信用金庫、信用組合にまで及んでいるとのことだ。


 一方、検挙した犯人も133人中83人(62.4%)が中国人だという。このほかネットによる商品の不正配送も多く、何も知らない中国人留学生が受け子として利用されてしまうケースが後を絶たない。そこで警察庁では中国人留学生に対して、啓蒙と安全を促すために中国語マンガを制作し、注意喚起を行った。その結果、不正配送の数を減らすことに一定の成果を収めたという。

警察庁生活安全局 木村公也氏   防衛省運用企画局情報通信・研究課
木村和仙氏
警察庁生活安全局 木村公也氏   防衛省運用企画局情報通信・研究課
木村和仙氏

防衛省の取り組み


 こうした警察の取り組みに対し、防衛省も対策の手を強めている。防衛省運用企画局情報通信・研究課 サイバー攻撃対処・情報保証企画室長の木村和仙氏は、防衛省、自衛隊のサイバー攻撃対処について説明した。


 木村和仙氏は各国でおきたサイバー空間における脅威を紹介。2013年3月には韓国の複数の放送局や金融機関などの情報システムに攻撃が行われるなど、被害が相次いでいる。日本でも2011年9月、防衛関連企業に対して不正なアクセスが行われ、2012年6月には裁判所や行政機関期間、大学病院などのWEBサイトが攻撃されている。木村和仙氏は、USBメモリによる流出や政府機関の情報流出の恐れなどが、もはや日常茶飯事になっていると説明した。


 こうしたなか、防衛省・自衛隊では安全なサイバー空間の構築のため、2012年9月に「防衛省・自衛隊のサイバー空間の安定的効果的な利用に向けて」という具体的な文書を作成した。ここでサイバー空間の意義やリスク、取り組むべき施策を改めて定義。防衛省・自衛隊の体制強化や、国全体のセキュリティレベル向上を目指している。


 さらに防衛省・自衛隊はサイバー攻撃対処のための総合的施策として、ファイアーウォールなどによる安全性向上、ネットワーク監視システムなど防護システムの整備や規則の整備、人材育成など6本の柱を掲げている。


 2013年2月には副大臣を長とするサイバー政策検討委員会を設置。さらに2014年3月には、防衛省・自衛隊で利用するネットワークの監視やインシデント発生時に対処する「サイバー防衛隊」の強化を行うなど、より対策を強めている。


企業が注目する「バグハンター」


 サイバー犯罪はWEBの脆弱性をつくものが多く、企業の被害も多い。そのため、自社のWEBサイトや製品のバグ発見者に報奨金を出す企業が増えている。シンポジウムでは、こうした状況とバグ発見者についてサイボウズ・ラボの竹迫良範氏とフリーランスの東内裕二氏が対談形式で講演した。


 サイボウズ・ラボの竹迫氏は「企業がアプリケーションを開発するときに、脆弱性診断や信頼性テストを外部の専門業者に依頼することもあるものの、社内での検証だけではなかなかゼロにすることができない」と説明。バグがでないようスタッフの教育を行うものの、完全に0にはならず、企業の悩みのタネになっているという。そこで解決のアプローチとして、GoogleやMozilla、Yahoo!などのように、外部から脆弱性のバグを発見して報告をする人を募り、報奨金を支払う企業が増えているとした。


 フリーランスの東内裕二氏はこうしたWEBの脆弱性をみつけて、報奨金をもらう人(バグハンター)について講演した。東内氏は自身もバグハンターの経験がある。インターネット関連の雑誌の編集者をしたときにWEBの脆弱性を仕事として探したことがきっかけだという。


 WEBの脆弱性については、コマンドインジェクション(WEBサーバに連動するOSのコマンドに不正な文字列を紛れ込ませ、サーバを乗っ取って攻撃する手法)や、SQLインジェクション(SQLサーバ内のデータを不正に抜き、または消去する手法)、権限外アクセスなどがあるという。


 東内氏は脆弱性を見つけた場合、IPAの窓口から報告するのが一番楽だと説明。企業によっては専用の窓口を設置しているところもあるとのことだ。また東内氏は「日本のWEBアプリやWEBサイトに関する脆弱性報告はほとんど利益につながらない」と発言。さらに報奨金の額は10000ドル以上から下は1ドル程度と幅広く、仕事にするにはあまりにもリスクが高いと指摘した。


 東内氏は、まだ賞金を払う企業は少なくライバルも多いとし、「脆弱性かを認めたり、賞金を払うか決めたりするのはあくまで企業。よほどの高いスキルがないと苦しい」とし、バグハンターは週末の気楽な小遣い稼ぎにすることが望ましいと述べている。

フリーランス 東内裕二氏   ハイパーネットワーク社会研究所
七條麻衣子氏
フリーランス 東内裕二氏   ハイパーネットワーク社会研究所
七條麻衣子氏 

地域の人が安心してネットを使うために


 サイバー犯罪における対策が必要なのは企業だけではい。地域の人々それぞれがしっかりと対策を立てていくことが重要だ。ハイパーネットワーク社会研究所主任研究員の七條麻衣子氏は「地域におけるネットトラブル」について講演した。同研究所は大分県にあり、一般の人向けにネットトラブルの相談などを行っている内閣府管轄の公益財団法人だ。


 七條氏はまず、大分県内の全県立高校1年生のほぼ100%がスマートフォンを使っている事実を紹介。地元の学生がSNSを積極的に利用している様子を会場に伝えた。一方でトラブルも多く、ネット上に交際履歴を掲載し、誹謗中傷されるトラブルや、安易なクリックや「無料」という言葉を利用したワンクリック詐欺(請求)による被害が後を絶たないという。また、オンラインゲームの課金トラブル、SNS上のいやがらせ投稿なども頻発。深刻なものになると、別れた交際相手の性的な写真をばらまかれる「リベンジポルノ」まであるという。


 こうした状況を改善するために、七條氏は「情報モラルの確立」を目指すことを提言。地域の住民に対し、インターネットの仕組みや情報の取り扱いなど、基礎的な内容が学べる講習会を設ける必要性を訴えた。さらに子供たちにもインターネットやスマートフォンを使ううえで守らなければならないことをしっかり教えるべきだと主張。企業も提供する製品やサービスをユーザに使用してもらうだけではなく、地域の講習会を積極的に行うべきだとした。


 サイバー犯罪は身近になってきており、もはや政府・警察レベルだけではなく、個人がしっかりと対策していかなければならなくなっている。世間的な関心も高まっているのは、参加者が満席となったシンポジウムの状況をみてもわかる。1人1人が真剣にサイバーセキュリティについて考えるためにも、越後湯沢WSのようなシンポジウムの発展をこれからも願いたい。

(山下雄太郎)

【セミナーデータ】

イベント名
:情報セキュリティワークショップ in 越後湯沢2014
主催   
:NPO新潟情報セキュリティ協会 ほか
開催日  
:2014年10月10日~11日
開催場所 
:湯沢町公民館(新潟県南魚沼郡湯沢町)

【関連カテゴリ】

情報セキュリティ