交通安全と情報セキュリティの共通点

12月1日には、Internet Week 2004のプログラムの1つとして「Security Day 〜右手に技術、左手にポリシー、心に愛〜」が開催された。

[高橋睦美，ITmedia]

　今年も11月30日から12月3日にかけて、横浜パシフィコにて「Internet Week 2004」が開催されている。12月1日にはそのプログラムの1つとして、「Security Day 〜右手に技術、左手にポリシー、心に愛〜」が、JNSA、JPCERT/CC、Telecom-ISAC Japanの共催で開催された。

　午後の基調講演には、警察庁の生活安全局情報技術犯罪対策課課長補佐・警察庁技官の吉田和彦氏が登場。かつて交通警察関連の部署に在籍したことがあるという経験を踏まえ、交通安全と情報セキュリティとの共通点に触れながら、セキュリティ意識／文化の必要性を訴えた。

　「昭和30〜40年代にはモータリゼーションの波が押し寄せたが、これは、便利だけれど使い方を誤れば危険な道具が普及するという意味で、インターネットが普及している現在の状況に似通っている」（同氏）。

　「交通戦争」なる言葉まで登場したこの時期、車の保有台数は現在のほうが圧倒的に多いにもかかわらず、交通事故による死者は現在の2倍以上に上っていた。これが現在の8000人台にまで減少してきた背景には、さまざまな安全対策の模索と「交通安全対策基本法」をはじめとする交通安全に関する法律の整備などがあったという。

　吉田氏によれば、交通安全のポイントは「Education（教育）」「Engineering（交通安全施設）」「Enforcement（取り締まり）」からなる「3つのE」だという。インターネットにも同じことが当てはまると同氏。「普及啓発と技術的安全措置、それに取り締まりの3つが大事だ」

　合わせて、これら対策の根本には「安全に対する文化醸成の必要がある」と吉田氏は述べた。「『手を上げて横断歩道を渡りましょう』という標語は、子供からお年寄りまで皆が知っている。これは、交通安全に関する規範がいきわたっていることを示すものだ。インターネットにおいても同じようなモラルが必要だ」（同氏）。

　同氏自作の標語「パッチを当てて、インターネットを使いましょう」は1つの例だが、こうした働きかけを通じて情報セキュリティ文化を作り出していくべきだと吉田氏は強調している。

現実を反映したサイバー犯罪が増加

　最近では新聞やテレビといったマスメディアでも「サイバー犯罪」なる言葉が目立つが、吉田氏によると事実、検挙件数は右肩上がりだという。中でも突出しているのが、インターネットをツールやコミュニケーション手段として用いる「ネットワーク利用犯罪」の増加だ。

　これは、いわゆるハッキングやパスワード詐取といった不正アクセスに分類されるものとは毛色が異なり、技術的に高度な手法を用いているわけではない。現実世界でオレオレ詐欺が増加し、未成年者を対象とした売春が横行しているのと同じように、インターネットでは架空請求やオークション詐欺、出会い系サイトを経由した売春が増加している。つまりは、「実社会をインターネットに反映したような犯罪」（吉田氏）ということだ。

　この傾向は、検挙とまでは行かない「安全相談」の件数にも反映されている。吉田氏によれば、インターネットに関する相談件数は2002年から2003年にかけて2倍以上に増加した。ここでも多いのが、架空請求や不正請求といった詐欺行為に関する相談であり、インターネットオークションを利用した詐欺に関するものが続いている。

　吉田氏は、国民生活センターに寄せられた相談状況なども引き合いに出し、「どの機関でも相談件数が増えている。ユーザーは、不安を持ちながらインターネットを利用している」と指摘した。

　特に最近目立つのは、ウイルスや不正アクセスといった技術的な問題よりも、架空請求に代表される詐欺行為に関する相談だ。それも、実際に金銭的被害が生じているケースが増えているという。

　その1つの例が、フィッシング詐欺だろう。「フィッシング詐欺による被害は米国を中心に拡大している。日本では米国ほど流行ってはいないが、10月ごろから日本語化されたものが出回り始めた」（吉田氏）。

　フィッシングメールは、古典的なソーシャルエンジニアリング的手法を用いてユーザーをだまし、重要な情報を入手しようと試みる。それだけに「利用者側がしっかりしなければ対策は難しい」（同氏）。フィッシングメールの煽り文句にのせられないよう平常心を保ち、「まともな金融機関ならば電話やメールでパスワードを尋ねたりしない」という常識を保つことが重要だ。

　「インターネット上で個人情報を入力するのは危険であると意識して利用すべき。仮に入力を求められたとしても、何とかして、窓口を訪ねるなどインターネット以外の方法を見つけようと努力すべきだ」（吉田氏）。

　名前を騙られる企業側としても、こうした事態を放置するわけにはいかない。根本的な対応は困難だとしても、少なくとも「われわれは電子メールで問い合わせを行うことはありません」といったポリシーを定め、それを周知するなどして注意喚起を行うべきだという。また、万一フィッシング詐欺に悪用されてしまった場合には、改めて注意喚起をしっかり行うとともに、フィッシングサイトの閉鎖要請や証拠保存といった対応が必要だとした。