地上経済よりも活性化している「地下経済」に景気は関係ない?:オルタナティブ・ブロガーの視点
サイバー空間のアンダーグラウンドでは、個人情報などが売買されていると言われます。オルタナティブ・ブロガーの新倉茂彦氏は、サイバー攻撃を仕掛ける側からの視点で対策を講じる重要性を提起しています。
(このコンテンツはオルタナティブ・ブログ「新倉茂彦の情報セキュリティAtoZ」からの転載です。エントリーはこちら。)
2010年8月31日のマーケットは、日経平均が8824.06円、ドルは84.28円です。一方のアンダーグラウンドエコノミーである地下経済は活性化しているように思います。景気の悪化と逆に動くのか、そもそも景気に左右されないのか――いずれにしても、そこに買い手がいるから――成立するのでしょう。
(引用記事はこちら)
フィッシングや個人情報の盗難に絡んで行われるのは、金銭の窃盗だけにとどまりません。サイバー犯罪者は、財務データや収集した情報を利用し、法的な文書を偽造し、販売することなどによって、収入を得ています。
偽造文書の供給は、マルウェアの販売、ボットネットの貸し出し、サービス拒否攻撃の実行とともに報酬の高いサイバー犯罪の1です。
最も一般的な偽造文書の1つに、パスポートが上げられます。以下のWebサイト(画像1参照)では、国ごとに分類された大量のパスポートが提供されています。最も値段が安いのは、アゼルバイジャンの870ドルのパスポートです。フランスのパスポートは5530ドルです。偽造者に個人情報と署名、写真を送信したら、後は偽造者が自動的に作成してくれます。
インターネットや情報の大容量データ化などが追い風になっています。パスポートの場合、平均すると5000ドルくらいのようです。ほぼ全自動のように作ってくれるようです。対面でアフターサービス付きというたぐいものではないので、そんなものなのでしょうか。作ったことがないから分かりません。
残高が2000〜1万5000ドルのクレジットカード(10枚1組)も大量に提供されています。プラチナカードの中には、最大5万ドルの保証付きのものもあります
クレジットカードも3000ドルから4000ドルの範囲で、カードブランドやゴールドなどの種類などによって変わるようです。4000ドルで買った偽造カードで購入価格以上に使えなければ、意味がないでしょう。カードが証明書の代わりに使える場合もあるので、いずれにしても、購入価格以上の価値があるのでしょうね。随分前にクレジットカードの番号を作り出すソフトを見たことがあります。現在も使えるのかどうか分かりません。いたちごっこなのでしょう。
となると、これだけの情報に相当な価値があることになります。ICチップ入りなど偽造防止技術が進んでいても、地球上で作り出せるものである以上、何らかの方法で利用することはできる。だからこうなっていると……。
結局、購入者がいるから成立する。購入者だけでは商売にならず、仕入れとしての情報が必要です。個人情報が売買される理由があるから地下経済がある。
個人情報だけでも、これだけの商売になるならば、機密情報の場合はどうでしょう。少なくともWebで売買される情報ではありません。生々しいものは多く見てきましたが、セキュリティ対策がしっかりしているにもかかわらず結構多くあります。
これは単純な話です。情報を狙う(攻撃)側のが、情報を管理(防御)側よりも常に優位だからです。弱点を探して、そこを突くだけです。攻撃視点で対策を行う必要があります。弱点を弱点と認識しているものは対策されている(はず?)だからです。
こんな調査結果もありました。
もしも明日解雇されるならば、私は機密を持ち出す――回答者の88%らしい
機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)
解雇されれば情報を持ち出す――現実味が増してきた世の中の変化
やるときは誰でもやってしまうものです。そんな時は実行者は正常な判断ができていないケースが多くありますが、それは防御側である企業の理由にはなりません。
セキュリティの管理については、ブルース・シュナイアーの安全対策とセキュリティの違いの指摘がとても参考になるでしょう。
| 安全対策 | セキュリティ |
|---|---|
| 同時に起きる偶発的な火災を処理するには消防署がいくつ必要か? と考える | 放火魔が消防署の能力を超える数の火災報知器を動作させ、放火攻撃の効果を高める危険がある、と考える |
| 機内持ち込み荷物にナイフがあっても、X線検査で見つけられる、と考える | X線で検出されにくい材質のナイフを検出されにくく持ち込もうとする者がいる、と考える。 |
| 緊急時、安全に避難出来る非常口の数を考える | 非常口を封印してビルに火をつけ、殺人を行う者がいる、と考える。 |
「そこまで考えるのか」とよく言われますが、そこまでしてくるのです。そんなことはあり得ないと思うようなことであっても、実際にあればあるのです。視点を変えることです。
部分的なセキュリティを考えずに、統合的なセキュリティのグランドデザインを攻撃者の視点で考える時代になってきていると感じます。今一度確認してみて下さい。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。