短期間で10倍増も 専門家が指摘するサイバー犯罪の驚愕の投資対効果

写真拡大

今年に入って、世界的規模のサイバーテロによって、国家や企業に甚大な被害が出るという事例が続いているが、ネット全盛の今、一市民として生きる私たちにとってもこうした犯罪は対岸の火事ではない。

もはや、サイバー空間を利用した犯罪は、個人の銀行口座から預金を盗みとるまでに進化している。もう、いつ自分が標的になるかわからない世の中になっているのだ。

今、サイバー空間で何が起こっているのか。そして、こんな時代だからこそ必要とされるリテラシーはどのようなものか。『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実』(幻冬舎刊)の著者で、サイバーセキュリティ専門家の足立照嘉さんにお話を聞いた。その後編をお届けする。

――本書は、サイバー犯罪の現状や私たちが被りうる被害リスクを実例を交えて解説し、サイバーセキュリティへの意識を啓発する内容です。驚いたのが、システムやソフトウェアのセキュリティホールが、ものによってはかなり高額で取引されているという事実です。どんなソフトやシステムにも弱点は必ずあるものなのでしょうか。

足立:もし仮に、現時点で弱点の無いシステムだったとしても、未来永劫無いままであり続けるということは断言できません。そもそも完璧というものはインターネット世界に存在しえないと思います。

つまり、全くの他人が作ったもの同士が、相互に連携することでインターネットは一つの世界をつくりだし、そこから新しい価値を生み出しています。お互いが相互に連携するためには、一つに完結したものではなく、どこかに相互にやり取りを行うための「ノリシロ」が必要となります。そして、この「ノリシロ」に弱点が介在することが多いです。

実例で言いますと、重要インフラなどでは従来は専用に開発された装置やソフトウェアで制御されることが多かったです。そのため、もしその重要インフラを狙ったハッキングなどを行おうと思うと、相当入念な準備が必要でした。

しかし、現代においては相互接続性を高めたり、開発や運用のコスト削減を行うために、システムのオープン化が積極的に進められており、家庭のパソコンで用いられているものと同じOSで構築されていたり、それらと連携できるように作られています。そして、このことが同時に弱点を取り込むことに繋がる場合もあります。

――ハッキングのスキルと防御のスキルは表裏一体です。となるとサイバー犯罪を行う人とセキュリティ側の人も表裏一体なわけで、危うさを感じます。国家や社会として犯罪者が減り、セキュリティ側が優勢になるようにどのような取り組みが必要になってくるとお考えですか。

足立:経済的動機による相手であれば、サイバー犯罪は割に合わない商売だと思わせることです。そして、現代のサイバー犯罪は知的好奇心を満たすための愉快犯的な犯行ではなく、経済的動機によるものが圧倒的に多いです。

かつて、サイバー犯罪が行われる時間帯の多くは週末や平日であれば深夜の時間帯に集中していました。そのような時間帯のほうが通信料金も安かったということもありますが、彼らの多くは、昼間は仕事を持っており、あくまでも趣味の範疇で知的好奇心を満たすために犯行に及ぶことが多かったです。

しかし、現代はハッキングが成功し易い時間を狙うなど、生活の中心がサイバー犯罪となっている職業としてのサイバー犯罪者が増えています。

職業ということは、場合によっては投資家もおり、サイバー犯罪者をまとめるマネジメントもおり、ハッカーの存在があります。そして、このような環境において増収増益が求められることは当然の帰結です。経済活動として行われている以上、何らおかしいことではありません。

そして、サイバー犯罪が斜陽産業となれば、サイバー犯罪も激減するものと思われます。そのためにも、一人一人がセキュリティに対する意識を持ち、対策がなされていくということが必要となります。

――結果としてではありますが、投資家側が犯罪者を煽ってしまっている状況について、お考えをお聞かせ願いたいです。

足立:誤解を招かないよう補足しますと、ここでいう「投資家」は一般の投資家のことではありません。犯罪者と同一もしくは類似する立場にあり、犯罪行為に資金提供を行う者のことを指しています。

ご質問についてお答えしますと、これは率直に申し上げて「投資対効果の高い」案件だからです。米国のセキュリティ企業Trustwave社による調査では、ランサムウェアを用いたサイバー犯罪による投資対効果は1,425%であると言われています。

例えば、都心に投資用ワンルームマンションを購入できるのと同等の4,000万円を投資したとしましょう。ランサムウェアを用いた犯罪で得られる収益は5億7000万円にもなります。

もちろん、性質の異なるものですので単純に比較することはできませんが、家賃収入でこれだけの金額を得るためには、数百年を要することでしょう。

――企業のセキュリティ意識の低さも問題にされていました。今後IoTへの流れが加速していく中で、セキュリティの水準が今のままだとどんな事態が起こりうるのでしょうか。

足立:これまでのデータ改ざんやデータ窃盗など、情報の操作を中心に行われてきたサイバー犯罪が、より一層現実世界に直接的なダメージを与えることができるようになります。IoTは、サイバー空間と現実空間をシームレスに繋ぐ存在となりますので、ハッキングに対してもIoTは同様の価値を与えます。

イノベーションは私たちの生活や社会をより良いものとしてくれますが、同時に悪いことをする人にとってもイノベーションであるということを忘れてはいけません。

――サイバー犯罪がこれだけ跋扈する背景には、一般人でも警察当局よりも高いスキルや専門的な知識を持ちうるという、インターネットの「いい点」とされるオープン性があります。となると、サイバー犯罪は「ネットの在り方」ともつながってくるわけで、「犯罪が横行してもネットをオープンにしておくべきなのか」という議論も成立すると思われますが、足立さんはこの点についてどうお考えですか?

足立:一つ補足しておきますと、サイバー犯罪を犯すものたちが、必ずしも高いスキルや専門的な知識を持っていなくても、サイバー犯罪行為に加担できているという現状があります。

その顕著な事例として、中高生などの若年層によるサイバー犯罪行為が目立ってきていることがあげられます。何故かと言うと、ネットに溢れる情報を寄せ集めるだけでも、それっぽいことはできてしまうからです。

さて、ご質問についてお答えしますと、これは非常に難しい問題です。先人たちは「火」や「刃物」などを発見したり発明したりすることで、便利で住み良い現代社会を築き上げてきました。しかし、これらも使い方を間違えてしまうと火傷したり怪我をしたりしてしまいます。そして、サイバー犯罪同様に他人の財産を奪うことも可能でしょう。

実際、現代のインターネットの利用形態の95%は、インターネットの前身となるARPANETが設計された時点で想定されていた使い方と異なっていると言われています。

それは当然のことでしょう。およそ50年も前に、一人一台のスマホを持ち歩き、動画をその場で編集して、世界中に一瞬で公開できてしまう世界を想像できた人が何人いたのでしょうか。

これだけ利便性を享受し、社会に入り込んでいるインターネットを、敢えて使いづらくしてしまうということは考え難いと思います。また、敢えて使いづらくしたところで利便性が失われることはあっても、その制約の中でより創造的なサイバー犯罪行為が行われていくことは間違いありません。既に、私たちの生活や社会がインターネットに大きく依存しているからです。

(新刊JP編集部)

【関連記事】

企業はいつになったら社員を「長時間労働」「時間外労働」から解放してくれるのか?
8年後には123万人の仕事が消滅? 人工知能時代を生き抜き方