インターポールでサイバー犯罪を追う、日本屈指のハッカー
<昨年シンガポールに開設されたインターポールのサイバー捜査部門IGCIでは、日本からも警察や民間の専門家が出向して、世界最先端のサイバー犯罪捜査を担っている>
国際刑事機構(インターポール、ICPO)は、日本で最も名の知られた国際機関の一つだ。
その理由は、国民的人気アニメ『ルパン三世』など日本のポップカルチャーによく登場するからだろう。とはいえ、現実のインターポールがどんな組織なのかを知る人は意外に少ないのではないだろうか。
1923年に設立された世界最大の警察機関であるインターポールには、日本を含む世界190カ国・地域が加盟している。2016年11月には、それまで総裁を務めたフランス人のミレーユ・バレストラジ氏に変わり、史上初めて中国人が総裁に選ばれたことで、賛否の議論を引き起こしている。
実は、日本とインターポールの関係は古い。1975年から警察庁は「セカンドメント(出向)」として職員をICPOに派遣しているし、1996年から2000年まで、日本人の兼元俊徳氏が総裁を務めたこともある。また財政的貢献は加盟国中、第2位であり、664万4000ユーロ(約9億万円)の分担金を支払っている。
そんなインターポールは、2015年4月に、シンガポールにサイバーセキュリティに特化した拠点「IGCI(インターポール・グローバル・コンプレックス・フォー・イノベーション)」を始動させた。IGCIの初代・総局長は警察庁出身の日本人、中谷昇氏が就いている。
IGCIにも、フランスが本部のインターポールのように、警察庁や民間から日本人が赴任している。セカンドメントだけを見ても、警察庁から現在、数名がIGCIに勤務している。
著者はシンガポールのIGCIを訪問し、世界的な警察機関で働く日本人の日常と、IGCIの実情について聞いた。
インターポールのデジタル犯罪捜査官・山崎隆之は、IGCIのサイバーフュージョンセンターと呼ばれる部署に所属している。
サイバーフュージョンセンターには、大きなコンピュータースクリーンがいくつか設置され、画面に向き合う形で20席ほどのデスクが並ぶ。近未来的なオフィスだ。同センターは官民の橋渡し的な役割を担っており、世界中から集まるサイバー脅威の情報を収集する。すでにオープンになっている情報もあれば、そうでないものもあるが、そうした情報を分析した上で、世界の関係各国に情報を提供していく。
山崎の任務は、情報収集がメインとなる。IGCIには民間からも分析官などが多数勤務しているため、彼らをはじめとする情報提供者などから懸案事項や新たなサイバー脅威などについて情報を得る。また外部の民間パートナーとも会うなどして情報を仕入れる。そうした情報は、「サイバーアクティビティ・リポート」と呼ばれる報告書にまとめられ、世界の関係機関に提供される。日本の警察庁なども、実務につながるようなこうした情報をIGCIから得ている。
実は山崎は今年4月にシンガポールのIGCIに配属されたばかりだ。もともと警察庁で交通畑にいた山崎は、交通分野でも信号機の管制など情報管理を担当していた。そこから情報技術解析(デジタル・フォレンジックス)やサイバー犯罪捜査を担当するようになり、山崎は「法律ではないですが、ルール作りなど、政府のIT戦略の策定などにも、警察庁の立場で携わっていた」と話す。その後、希望してIGCIに赴任することになった。
同じくデジタル犯罪捜査官である安平俊伸は、2015年7月からIGCIで、国際的な会議や企画などを取りまとめる役割を担っている。
警察庁時代、安平は情報技術解析の国際協力の取りまとめを担当していた。情報技術解析では、国際的な連携が技術的にも欠かせないため、日本代表として会議などに出席することも多かった。IGCIに来る直前まで警察庁のサイバー犯罪対策課などに籍を置いた安平は広報なども担当し、語学が堪能だったこともあって、IGCIに所属することになった。
そもそもなぜ、インターポールのサイバー部門に日本人が送り込まれているのか。日本にとって、警察庁という官庁に属する日本人がIGCIに赴任することにどんな意義があるのか。
一つには官民協力という概念を実感できることがある。日本では、公務員倫理法などがあって、なかなか官民連携が進まない。企業とつながることが利益誘導と取られる場合もあるからだ。
だがIGCIは、サイバーセキュリティを担うのに不可欠な官民連携が当たり前のように行われている。サイバー空間では官民の協力なしに、安全を守れない。インフラのほとんどは民間によって所有・維持されている。インターネットも多くの利用者が集まって作り上げている世界であり、民間の技術力がなければ何もできないと言っても過言ではない。
IGCIではその点を割り切っており、民間との連携は重要視している。例えば民間のトレンドマイクロやカスペルスキー、NECなどは「ストラテジック・パートナー(戦略的パートナー)」と位置づけ、特に緊密に協力しているという。安平は、「IGCIは協力してくれる民間企業を歓迎しており、ここでは役所の目線ではなく民間とどうやって付き合うべきかという事を学べるので素晴らしい経験になっている」と言う。
IGCIには、民間として捜査に携わっている日本人もいる。東京に本部を置く、サイバーディフェンス研究所の福森大喜もその1人だ。
福森は、もともと日本屈指のハッカーであり、世界のハッキング大会などでその名を轟かせていた人物である。近年はコンサルティング業務などに携わっていたが、そのサイバー能力を買われてIGCIに所属することになった。
福森はサイバー攻撃の手口や使われているマルウェアやテクノロジーを解析し、捜査を進める。「日本にいた頃、サイバー攻撃を受けた企業に行って調査を進めていくと、運がいい場合には、ほぼ間違いないというレベルで攻撃者にたどり着いたりします。でもそれ以上は何もできないというもどかしさがあった」と、福森は言う。「ここで捜査して、実際に国をまたいでサイバー攻撃を行なっていた犯人の逮捕にまでつながったケースもある。やっぱりやりがいはあります」
まさにサイバー空間にあるバーチャルな「犯罪現場」で捜査に奔走しているのだ。ここでの民間との連携が、後に日本でも生かされることになるだろう。
官民の協力以外で、インターポールに属する日本にとって最大の財産となるのは、人脈だ。現在、IGCIには世界各国の警察組織から130人ほどが集結している。彼らはいずれも自国でそれなりに重要な役割を担っている捜査官たちで、それぞれが出身国の警察機関などに戻った後、サイバー捜査の分野で働いていくことになる。
安平は、「将来的にはインターポールの組織を通さなくとも、ここで広がった人脈で直接、技術協力や捜査などの情報をやりとりできる可能性があります。世界の警察ともつながり、事件捜査などにも生きることになる」と語る。
確かにそうした世界との個人レベルの連携は国にとっても財産になる。
では逆に、世界各国で第一線級の警察関係者たちが集まるIGCIでは、日常業務でも、各国の国民性や警察当局の扱いの違いなどによって混乱が生じることはないのだろうか。これはあまり知られていないが、インターポールやIGCIは、法の執行を行うことはない。つまり逮捕権を持たないのだ。その点は日本の警察庁と同じで、警視庁や道府県警察のような法執行といった業務は行わない。
山崎は、「インターポール自身が手を出せないのはみんな分かっているのですが、逆に各国から来ている同僚たちは出身国で法執行の権限を持っていたので、IGCIで歯がゆさを感じているというような話は耳にします」と言う。
IGCIの日本人たちは世界各国の警察関係者のなかに身を置き、日本国内では実感できない世界を感じている。そこで、日本の捜査当局が、自分たちの利益を求めながら世界と渡り合うのに必要なものは何なのか聞いてみた。
安平は「ギブ・アンド・テイク」が不可欠だと語る。安平によれば、特に捜査の世界では、例えば外国の当局から日本メーカーのデジタル製品について解析の方法の問い合わせが来ることもあるという。そういう場合には、情報を提供する見返りに、日本側が欲しい情報をもらうように交渉する。もちろん、日本側から情報をもらい、お返しに相手に情報を提供する場合もあるという。
つまり日本のIT技術力が強くなれば、世界の警察機関からの注目度も高まり、問い合わせなども増える。そうなれば、捜査に生かせるような世界の情報もおのずと得やすくなるのである。こんなところで国のIT技術力の高さが生きるというのは興味深い話だ。
IGCIで働く日本人への取材を通じて、インターネットなどのサイバー空間は、世界中が共有する公共物であることを再認識させられた。日本のみならず、世界中が同じ空間を自在に動き回り、その利便性を享受する。その一方で、サイバー空間には犯罪などのリスクが付きまとっており、IGCIはシンガポールからそれを監視し続けている。
今後、IGCIで経験を積んだサイバー捜査官が、日本のサイバー犯罪対策に現実的でグローバルな意識を吹き込んでくれることになりそうだ。
姿見えぬ攻撃、サイバー攻撃は国家の防衛力さえも無力にしてしまう。
日本はサイバー戦に遅れをとっていると思っていましたが、優秀な方が国際的に活躍しているんですね。
日本の各企業はしっかりセキュリティ管理をしてもらいたいです。社員の意識改革が必要に思います。
年に数回の研修とド素人の管理職がセキュリティ責任者。研修もテキストを読むだけ。こんなんじゃ社員の意識が上がる訳がない。
政府、官庁へのサイバ―攻撃は直接国益に関わってくるので、ハード、ソフト両面でハイレベルになって欲しいです。
<執筆者>
山田敏弘
国際ジャーナリスト。講談社、ロイター通信社、ニューズウィーク日本版などで勤務後、米マサチューセッツ工科大学(MIT)で国際情勢の研究・取材活動に従事。訳書に『黒いワールドカップ』(講談社)など、著書に『モンスター 暗躍する次のアルカイダ』(中央公論新社)、『ハリウッド検視ファイル トーマス野口の遺言』(新潮社)。現在、「クーリエ・ジャポン」や「ITメディア・ビジネスオンライン」などで国際情勢の連載をもち、月刊誌や週刊誌などでも取材・執筆活動を行っている。フジテレビ「ホウドウキョク」で国際ニュース解説を担当。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
<参考>
トランプが煽った米ロ・サイバー戦争の行方
<今年の大統領選で米ロ間のサイバー戦争が現実的な脅威となったことはあまり語られていない。しかし「トランプ新大統領」の誕生で、その脅威もうやむやにされる可能性がある>
大統領選の結果、不動産王のドナルド・トランプが次期大統領になることが決まり、メディア関係者もようやくその覆されることのない現実を受け入れ始めている。
トランプは、人種差別的な発言に始まり、障害者をからかったり、女性を蔑視したりと、その暴言が話題になった。国際情勢でも、欧米諸国とはライバル関係にあるロシアのプーチン大統領を称賛するなど、物議を醸した。
あまり語られていないが、今回の大統領選では、ロシアを巻き込んでこれから世界が直面することになる重大な安全保障の懸念が浮き彫りとなった。サイバー戦争だ。
大統領選では、水面下でアメリカ対ロシアのサイバー戦争が勃発していた。
きっかけは、大統領選の予備選が佳境を迎えていた今年5月に、民主党全国委員会の電子メール2万通がサーバーからハッキングによって流出したこと。これらのメールは、7月22日から内部告発サイト「ウィキリークス」で公表された。
慌てたのは、民主党全国委員会の幹部たちだ。暴露されたメールから、彼らが、本来公平であるべき党指名候補選びで、本命候補だったヒラリー・クリントン元国務長官にかなり肩入れしていることが明らかになった。幹部たちはメールで、クリントンの対抗馬だったバーニー・サンダース上院議員の戦況を不利にするためのアイデアをやり取りしていた。このリークで、全国委員長が党代表を正式指名する全国大会前日に辞職を発表する事態となった。
これだけでも十分大きな問題だが、この話はここからさらに大きく展開する。メールを盗んだこのハッキングの背後に、ロシアの情報機関がいたことが指摘されたのだ。
米国家安全保障省も声明で、「アメリカの選挙を妨害する」ために、「ロシア政府が指示していると確信をもっている」という公式見解を発表した。つまりプーチンが情報機関とロシア系ハッカー集団を動員し、民主党全国委員会のサーバーから大統領選で民主党が不利になるような電子メールをハッキングで盗み、流出させた。
さらに、ニューヨーク・タイムズも、その目的が大統領選でトランプに勝たせるめだったと指摘している。
これが事実だとすれば、なぜロシアはトランプを勝たせようとしたのか。前述の通り、トランプはプーチンを公然と賞賛し、トランプの選挙陣営にはロシアと親しい関係にある人々もいた。また、ロシアに対抗するNATO(北大西洋条約機構)の同盟国についてもトランプは言及し、仮にNATO加盟国が攻撃を受けたとしても、アメリカが無条件で助けに行くかどうかはわからないと発言していた。助けを求めた国が同盟関係にどんな貢献をしているのかをまず考慮するという。つまり、同盟国へのロシアからの攻撃に無条件で助けることはしないと主張したのだ。
これはロシアにとっては嬉しい発言で、クリントンが大統領になるよりトランプが大統領になったほうがロシアには断然有利になる。プーチンがトランプに手を差し伸べたくなるのは当然だろう。
つまり、国家が敵対する相手国にサイバー攻撃を仕掛け、電子メールや機密や内部書類を盗むことで、選挙活動を妨害する行為が実際に行われたのだ。これが可能ならば、さらにこんな懸念も出てくる。
例えば、米民主党や共和党に限らず、日本の政党なども、自分たちのネットワークや幹部が使うパソコンが狙われ、ハッキングなどで内部の情報が盗まれて、暴露される危険性もあるだろう。そうした情報の中に、党関係者に報告された所属議員の極秘スキャンダルの詳細が記されていればどうなるか。選挙前にスキャンダルが暴露されれば、選挙結果に多分に影響する。日本を例にしても、中国や北朝鮮などがサイバー攻撃で情報を日本から盗んでリークしたら、日本政治に多大な影響を与えることになる。
今回のロシアの攻撃は、世界が直面するこうした新たな脅威を見せつけている。
ただアメリカも黙ってはいない。サイバー空間を通して米ロに不穏な雰囲気が漂うなか、10月からはロシアのプーチン側近に対するハッキング攻撃や、DDos攻撃(分散サービス拒否攻撃=複数のマシンから大量の負荷を与えてサービスを機能停止に追い込む)が繰り広げられた。これらのサイバー攻撃の背後には、アメリカの存在があると見られている。
アメリカ側からのこの動きに対して、今後ロシアがどう出るのか注目されている。だが実は今、トランプが大統領選に勝利したことで、さらに別の懸念が浮上している。トランプの側に肩入れしてサイバー攻撃を行なったプーチンの責任を、「トランプ大統領」が追及しない可能性だ。
そうなれば、すべてはうやむやになってしまうかもしれない。そして、この脅威は着実に世界に拡大し、同様のケースが世界のどこかで起きることになるだろう。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
日本企業は、サイバー攻撃で汚染されている
年金情報流出事件でも企業の対応に遅れ
今年6月に発生した日本年金機構からの個人情報流出事件で、サイバー攻撃への注目がにわかに高まっている。巧妙化が進むサイバー攻撃の中でも、足元で急激に存在感を増しているのが「標的型攻撃」と呼ばれるもの。社員などの個人アドレスに直接メールを送りつけ、遠隔操作ウイルスを感染させ、長期間にわたり潜伏して情報を抜き取る攻撃だ。年金機構でも同様の手口でハッカーからの侵入を許した。
大手情報セキュリティ会社のトレンドマイクロによれば、同社が解析を依頼された案件のうち、遠隔操作ウイルスが検知された顧客の割合は2014年10~12月時点では54.2%に達した。半分以上が汚染されていたのだ。2013年7~9月には4.2%だったのと比較すると、いかに急増したかが分かる。
また、サイバー攻撃に対する監視サービスを行っているラックが契約する850の組織で、明らかに攻撃が成功するか、もしくは確認できた重要インシデントは、2014年4月には1日当たり10~20件だったが、2015年4月には同20~30件に増えている。
ネットバンキングを狙った攻撃、PCやファイルを利用不能にすることで人質に取るランサム(身代金)ウエアなどの手口に比べ、こうした標的型攻撃は直接の金銭奪取には向かない攻撃とされる。しかし、クレジットカード番号でなくても、ユーザーIDやパスワードなどが入手できれば、海外の闇市場で売買され、カネになる。
企業側の取り組みに差
標的型攻撃の特徴は、従来型のウイルス除去ソフトが効かないことを試したうえで、特定個人にメールを送りつけてくること。
「健康保険組合」を名乗って送られてきたメール
それも例えば、「健康保険組合」といった公的機関など怪しさを感じさせないような送信元を装い、送って来るうえ、添付ファイルを開くには別メールで案内されるパスワードが必要であるとするなど、手が込んでいる。しかも該当ファイルを開けても感染したことに気づかない。
このため、セキュリティ対策が遅れている企業や組織では、被害があった取引先などからの連絡があって初めて感染に気づくことが多い。感染も被害も見えにくい標的型攻撃。ただ、汚染は水面下で着実に広がっているとみられ、対策の遅れた企業からは知らない間に情報が流出しているのが実情といわれる。
トレンドマイクロの上級セキュリティエバンジェリスト・染谷征良氏も「大企業でないから関係ない、盗まれて困る情報はないから大丈夫、という企業関係者もいるが、いまや規模、業種を問わず攻撃の対象となっている」と警告する。実際、従業員数200人程度の企業が狙われた事件も起きているし、業種もインフラ業界に限らず幅広い。
標的型攻撃は、従来のウイルスソフトでは防ぐことができないため、着弾後の対応が重要になる。その際に重要なのが、どの情報をまず守るべきなのか。その優先順位をつけておくこと。対策が進んでいる企業では、ウイルス着弾後に早期に対応するための緊急対応体制(Cサート)の整備を進めている。社内の重要情報のありかや守るべき優先順位を決めて、関連部署での作業の停止まで命令できる権限を担当者に付与しておくのだ。
独立行政法人・情報処理推進機構(IPA)のセキュリティセンターの松坂志主幹は「情報セキュリティは権限が大事。すぐに作業を止めることができるか。情報システムの担当者が依頼しても『仕事ができなくなる』と現場から断られるケースもあるからだ」と指摘する。
トレンドマイクロの調査によれば、現状では、情報資産の重要度を定義して、棚卸しを定期的に実施している企業は、全体の25%に過ぎないという。攻撃する側は、対応のおろそかな企業に狙いを定める。ラックの西本逸郎取締役専務執行役員は「首都圏より地方が狙われやすい」と語る。メールでの攻撃は、さほど高度な攻撃ではないが、「攻撃側が工夫しなくてもひっかかってしまうのが現状だ」(西本取締役)という。
学習し手口を進化させる攻撃者
攻撃側の手口は進化を続けている。それを明らかにしたのがIPAの調査だ。重工、重電などインフラ業界を中心に電力、ガス、化学、石油、資源開発の6業界・グループで情報共有体制を構築し、IPAが情報ハブになることで、サイバー攻撃の具体的な手口を集めた。すると、やり取りをするなかで学習して進化する攻撃手法が見えてきた。
攻撃者は予想以上に大胆だった。あるケースは、企業に問い合わせる窓口を確認するメールから始まった。窓口を知らせると、意見を送ってきたのだが、そこに添付ファイルがついていた。これが日本では一般的でない圧縮形式のRARファイルと呼ばれるもの。解凍ができなかったので、その旨、送信者に知らせると、使用中の解凍ソフトについての質問をしてくる。解凍ソフト名を答えると、解凍可能なウイルス付きのファイルが送られてきた。以降、同業他社にも同様のファイルが送られてきたという。
攻撃者には一度成功したものは、ほかでも使い回すという特徴がある。したがって、企業のセキュリティ担当者が連携することは有効なのだが、相手がライバル企業の場合には渡せない情報も多いため、ハードルが高かった。それを国の独立行政法人であるIPAが間に入ることで可能になった。
日本Cサート協議会は、緊急対応組織(Cサート)の担当者同士が連携して立ち向かうことを目的に設立され、攻撃事例を共有化する動きを進めている。「健康保険組合」を名乗る発信者による手口は複数企業で着弾したが、この情報は瞬く間に、企業の情報セキュリティ関係者に共有され、対策を十分に行った企業では被害が出なかった。逆に、従来の古いマニュアルに沿ってウイルス除去をおこなった企業では、被害が長期化してしまったようだ。
いまや感染が見つかった場合は、ウイルス対策ソフトでの除去は禁物だ。見つかった感染箇所を除去しても、社内のほかの端末でも感染している恐れが高いためだ。このため、隔離したうえで、入り口から出口まで動きを把握して対策をとったうえで除去する必要がある。
サイバーセキュリティ基本法で意識が変わる?
サイバーセキュリティ対策は、個々の企業の売り上げの増減に直接結びつかないので、予算が取りにくい。ただ、ベネッセの顧客情報流出や年金機構の事件など大規模な事故が起こるたびに、対策を導入する企業が増えてきた。そのため、サイバーセキュリティ業界の売り上げは伸びており、IT業界の調査会社インターナショナルデーターコーポレイションジャパン(IDCジャパン)では、2019年まで年間4.9%程度の成長が続くと予想している。
さらなる拡大の契機となりそうなのが、2014年11月に成立したサイバーセキュリティ基本法。重要インフラの関連企業には対策強化を促すことになりそうだ。標的型攻撃については、そのステークホルダーを装った侵入も目立つことから、そうした会社が取引の条件としてほかの企業にもセキュリティ対策を求める動きが出てくるとみられる。