サイバー犯罪の多くは技術的な攻撃ではない
「犯罪者らがコンピュータを1つの道具として利用し始めていることは間違いない」――6月28日から開催された情報セキュリティEXPOの専門セミナーにおいて、警察庁の河崎裕二氏(情報通信局情報技術解析課課長補佐)はこう語った。「犯罪者は使えるものは何でも使う。コンピュータも使わない手はない」(同氏)
警察庁がまとめているサイバー犯罪の検挙/相談受理件数は右肩上がりで増加を続けている。しかしその多くは、従来からあった詐欺や児童買春などの犯罪をインターネットを利用して行う「ネットワーク利用犯罪」だ。
2005年のサイバー犯罪検挙件数は3161件だが、内訳を見ると、コンピュータやネットワークなどの仕組みがなければ成り立たない「コンピュータ・電磁的記録対象犯罪」はわずか2%、「不正アクセス禁止法違反」も9%。残る89%、圧倒的多数が「元々あった人間らしい犯罪」だという。
警察に寄せられる相談を見ても、ほとんどは「インターネット・オークションに関するものと詐欺、悪質商法に関するもの」(河崎氏)。いわゆる不正アクセスやウイルスに関するものは意外と少ない。
「サイバー犯罪というと技術的な攻撃だと思われているが、最近はソーシャルエンジニアリングのテクニックを用い、人の心の弱さにつけ込んで入り込み、お金を取ろうとするものが多い」(同氏)
その手口の1つが、ワンクリック詐欺だ。アダルトサイトなどにアクセスして画像などをクリックすると、「登録ありがとうございます。利用料金を支払ってください」と表示するパターンが代表的だが、ユーザー側にやましさがあったり、会社からアクセスしていてそのIPアドレスが表示されたりすると、動揺して金銭を支払ってしまい、泥沼に陥るケースがあるという。こうした場合は無視するのが一番だ。
また企業に対して、「おまえの会社のメールが原因でウイルスに感染し、PCが使えなくなった。誠意を見せろ」と迫る「ウイルスゴロ」とでも表現すべき手口も登場しているという。
インターネットオークションに関する詐欺でも、従来からあった「相手に冷静に判断させない」という手口がまさに活用されている。典型的な例が「落札者キャンセル詐欺」だ。「第一落札者がキャンセルしたのでぜひ取引してもらいたい。ついては3日以内に振り込みを」と金曜日にメールを送りつけ、振り込みまでに十分な時間を与えないことで、被害者から落ち着いて判断する時間を奪うという手口だ。
河崎氏は「インターネットでは相手の姿が見えないから、よく相手を確かめることが重要。『あなただけに』『格安』『いますぐ』といったキーワードが出てきたら注意すべき」と述べた。
ログのチェックは重要な作業
一方、不正アクセスの状況を見ると、これも高度なテクニックを駆使したものはあまりない。全検挙数271件のうち、セキュリティホールを攻撃したケースはわずか7件。残りはすべて、他人のIDやパスワードを不正に利用する「識別符号窃用」だった。
「なぜ多いかというと、パスワードが甘いから。推測が容易だったり、個人情報をそのまま使っていたりしている」(河崎氏)。また、退社した従業員や知人が知っていたパスワードが変更されずに使われていたケースもあった。
「何も技術的に難しいことはされていない。問題は、運用に関するポリシーがあり、それがきちんと運用されているか。また、ソーシャルエンジニアリング的なところ、つまり人をどう管理するかという部分だ」(同氏)
河崎氏がもう1つ指摘したのは、不正アクセスに気付いた人の立場だ。システム管理者からの届け出はわずか5%で、85%はユーザーからの指摘があってはじめて不正アクセスが発覚したという。しかし本来ならば、「ログを見ていれば分かること。一度の攻撃でいきなりすべてのデータを取られたりすることはなく、予備調査などの痕跡があるはず。ログの取り方にもよるが、自分でできないならばツールを使うなり外部に委託するなり、何らかの方法はあるはず」(河崎氏)
こうした現状を踏まえ、河崎氏は、不正アクセスの被害に遭わないためのポイントを3つ挙げた。「安易なパスワードを用いない」「最新のセキュリティパッチを適用する」、そして「不審なアクセスの痕跡はないか、常に安全性をチェックする」ことだ。
「被害にあったサーバのログを見ると、『実は2年前から侵入されていた』『侵入され、サーバの調子が悪くなり、再インストールしてはまた侵入されるということの繰り返しだった』といったケースが散見される。ログのチェックは非常に重要だ。経営者の人もぜひ、『ログを見るなんて簡単な作業だろう』などと言って終わらせないでほしい」(河崎氏)
さらに、最新の犯罪手口について情報を収集するとともに、万一被害にあった場合はきちんと証拠を残した上で警察に届け出てほしいという。
河崎氏はまた、インターネットオークション詐欺や悪質商法への対処に関して「教育の問題もあるかもしれない」とも述べている。「交通安全については小さな頃からすり込まれている。しかしコンピュータのセキュリティに関しては、まだまだ啓蒙啓発が必要だ」(同氏)
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。