先日、GMOインターネットグループが開催するエンジニア・クリエイター向けカンファレンス「GMO Developers Day 2024」に参加してきました。
キーノートには「世界1位のホワイトハッカーが集まる『エンジニアの楽園』で働く理由」と題し、GMOサイバーセキュリティ byイエラエの福森大喜氏(GMOサイバー犯罪対策センター)が登壇しました。福森氏はかつてインターポールでサイバー犯罪捜査官として活躍されていた方で、大変興味深いお話を聞けたのでここで紹介しようと思います。
福森氏は講演の中で、ランサムウェアとは「VPNや『Tor』ブラウザ、仮想通貨、暗号化メッセンジャーなど『1から10まで、匿名化技術が使われる犯罪』です」と述べ、日進月歩で進化する「匿名化技術」の脅威を訴えつつ、インフラ事業者ができることを伝えていました。
これは裏を返せば、現状の匿名化技術であれば捜査が可能であることを意味します。福森氏が「もし『Telegram』などを使って“闇バイト”をしているのであれば今すぐ止めた方がいい。捜査の手は必ず迫ってきます」と言っていたのが印象的でした。
●中学生でも気軽に依頼できてしまうサイバー犯罪が流行中?
かつて銀行強盗といえば非常に大きな犯罪でした。しかし今や実際に銀行強盗をする人はほぼいないでしょう。検挙率が高くリスクの大きい犯罪である上に、これよりもっと簡単な方法があるからです。それこそが「サイバー攻撃」です。
3億円の現金を奪うことは本当に大変ですが、デジタルな資産であれば、3億円と30億円の違いは文字通り“0”を増やすだけ。しかし、それはれっきとした犯罪です。サイバーだからといって罪が軽くなるわけではありません。気軽にできてしまうという点が、サイバー犯罪の大きな問題です。
警察庁の注意喚起によると、“気軽な”サイバー犯罪として最近、“DDoS as a Service”とでも呼ぶべき攻撃が流行しています。これはユーザーが攻撃者に料金を支払い、攻撃先を指定するだけで、被害企業に対してDDoS攻撃が仕掛けられるという代行サービスです。ユーザーの中には未成年者も含まれており、大変憂慮すべき事態だといえます。
警察庁は、欧州刑事警察機構(Europol)主導の、DDoS攻撃代行サービスを閉鎖させる世界規模での国際共同捜査「Operation PowerOFF」に参加し、この活動に警鐘を鳴らしています。先ほどの注意喚起では、「DDoS攻撃を行うことは、刑法第234条の2第1項の電子計算機損壊等業務妨害罪等に該当し、5年以下の懲役等に処される可能性があります!」という警察庁にしてはややカジュアルな文言が使われており、このメッセージが恐らく未成年者に向けたものであることも推察できます。
DDoS as a Service的なネットサービスは、サイバー攻撃を目的としているということには一切触れられていません。多くの場合、それはWebサイトの過負荷試験のためであるとされています。しかし実態は同時に複数の端末から特定サーバへの通信を発生させ、DDoS攻撃ができるシステムを時間貸ししているものとなります。
ランサムウェアグループでは分業化が進み、機能を分担することが多いですが、DDoS代行を利用するというサイバー犯罪者の多くは、高度なツールや高尚な思想を持つものではなく、単に腹立ち紛れで攻撃を実行するということが多い印象です。
DDoS代行サービスで大きな影響が発生した事例はあまり聞きませんですが、それでもこれは立派な“犯罪”です。これも今なら、全世界の警察機構が協力して犯罪者を追い詰められることが、今回の発表で明らかになっています。
子どもでも“サブスク”感覚でこのようなサービスに到達できてしまうということも、大人は知っておく必要があるでしょう。報道ではSNSや動画サービスからこれらのツールの存在を知ったということも書かれています。大人が子どもたちを犯罪に巻き込んでしまうのは、本当に悲しいことだと思います。
●サイバー攻撃よりも楽しいことがあると伝えるのが大人の役割
ボタン一つで企業が右往左往する様子が見られる。かつ、自分は捕まらない――恐らく、そういった感覚で気軽に依頼できてしまうのがこのサービスの怖いところです。加えて、子どもならちょっとダークでかっこいい……そんなことも思っているかもしれません。
しかしその実態は報道にある通りです。特に未成年に関しては、そんな攻撃よりも楽しく技術を追いかけられる場がある、ということが伝わるとうれしいと思っています。セキュリティの識者たちは「セキュリティキャンプ」を展開していたり、セキュリティ技術を使ったゲームとして「CTF」を実施していたりと、正しく楽しいセキュリティがあることをアピールしています。
サイバー空間に限りませんが、私たちは「倫理観」を試されることが増えてきたように思えます。インターネットでは誰も見ていない、誰も自分を捕まえられないと考えるのは浅はかです。サイバー空間上でも人が人であるために、エシカルな行動を心掛けましょう。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。