ネット環境が普及しクラウド型のサービスが登場して以降、モバイルやタブレット端末、自宅のPCからでも会社の情報に簡単にアクセスすることができる時代になりました。
一方で自分が管理している情報に様々な環境からアクセスできる便利さは、セキュリティ対策が行われていないと、意図していない第三者が簡単にアクセスできてしまう可能性があり、サイバー犯罪のリスクが高まったことを意味します。
インターネットの発展に従って、悪意を持った者が現れました。
コンピュータウイルスの開発や、パスワードを破って侵入しての情報の奪取、通信中の情報の盗聴が行われるようになり、サイバー犯罪からの被害を未然に防ぐ、セキュリティ対策が必要になりました。
そこで今回、サイバー犯罪とは、セキュリティ対策とサイバー犯罪の対応のコツについて解説します。
■サイバー犯罪とは?
サイバー犯罪とは、サイバー固有犯罪で、インターネットを経由したアカウント情報への不正アクセス行為、企業の重要サービスに対するハッキング、ランサムウェアやマルウェアにいる攻撃など、犯罪の実行にコンピューターが必要になるものを指します。
現在、サイバー空間であるインターネット上には、悪意を持ってアカウント情報を利用し、自らの利益のために平気で他人の情報や財産を奪う者がいます。
また、サイバー攻撃を通じてハッカーとして自己誇示するといった、様々な悪事を働く者がいます。
サイバー犯罪の多くは、個人情報や金銭、情報資産として価値ある企業情報など、攻撃する者にとって何らかの利益が得られることに繋げることを目的としています。
情報通信ネットワークの発展に伴い、インターネットが身近な存在となる一方で、サイバー犯罪の検挙件数及びインターネット上でのトラブル等に関する相談件数は、年々増加傾向にあります。
犯罪の手口についても高度化し、多様化している状況にあり、近年は、詐欺等の経済的利益を追求したサイバー犯罪が増加する傾向が顕著になっています。
■サイバー犯罪が増えた理由
犯罪を行う者にとっては、その所在を特定されにくいなど、インターネットは極めて好都合な犯行の手段となっています。
1.匿名性が高い
2.痕跡が残りにくい
3.地理的・時間的制約を受けない。
実際に相手の顔が見えず、地理的な制約が無いやり取りの中で、何の抵抗感もなく犯罪に手を染めている者も沢山います。
ですが、サイバー犯罪は、短期間のうちに不特定または、多数の者に被害を及ぼすといった特徴を有しています。掲示板などの書き込みにより多くの人に事実とは異なる情報が拡散してしまう可能性もあります。
一方で不正アクセス行為の多くが、経済的利益を追求したサイバー犯罪の手段として用いられています。
企業を狙う手口の場合、顧客データの収集やノウハウ等の情報を不正に入手することを動機とするものも増加しています。
■サイバー犯罪に狙われやすい企業や人
利益目的のサイバー攻撃は、攻撃するハッカーにとってはビジネスとしての性格を帯びています。
そのため、サイバー攻撃を行うハッカーは、世界的な諜報機関などプロフェッショナルであるスパイを除けば、ビジネスとしての効率が重要なので、より手軽に侵入できる対象を選ぶ傾向にあります。
なぜなら、アナログの窃盗と同様に、会社の警備や自宅の戸締まりがしっかりしている場所に泥棒が入らず、鍵がかかっていない留守の家に空き巣が入るのは、その方が危険性とコストが低く手軽だからです。
サイバー攻撃でも同じように、侵入するまでに幾重にも防御がしてあると、攻撃者にとっては手間とコストがかかって面倒な、あるいはそもそも侵入できない対象となり、攻撃されに難くなります。
■ハッキングとは?
ハッキングとは、セキュリティ上の弱点を特定してそれを悪用することによって、コンピューターとネットワークの侵害を試みる幅広いアクティビティの総称です。
ハッキングは必ずしも悪質な行為ではありませんが、ハッカーというとサイバー犯罪との関連が深いため、主に否定的な意味合いで使用される言葉です。
サイバー攻撃で一番の標的になりやすいのは、会社であれば、クラウド上のシステムです。
個人であれば、様々なサービスにログインするために際のアカウント情報のIDとパスワードです。
ハッカーは、パスワードを入手するために様々な方法を使用します。攻撃者がこれを入手するには、ハッキングして「見つけ出す」、「盗む」などの攻撃方法、「人から聞く」などの入手方法があります。
試行錯誤による手法を総当たり攻撃と呼び、ハッカーはあらゆる組み合わせを推測して、外部に公開していない情報へのアクセスを試みます。
ハッキングのスキルの高いハッカーは、パスワードの組み合わせを特定するために、簡単なアルゴリズムを用いて文字、数字、記号からさまざまな組み合わせを生成することもあります。
また、辞書攻撃と呼ばれる手法もあり、パスワード解析のプログラムによって一般的な単語をパスワード欄に挿入して、有効かどうかを確認します。
■サイバー犯罪の種類
サイバー犯罪とは、次の4種類に該当する犯罪をいいます。
1、不正アクセス行為の禁止等に関する法律違反
不正アクセス行為とは、他人のID・パスワードを悪用したり、コンピュータ・プログラムの欠陥をつくことにより、本来アクセスする権限のないコンピュータやサーバを利用する犯罪です。
不正アクセス禁止法の違反は、一部改正され、平成24年5月1日から施行されています。不正アクセス行為については、罰則が引き上げられました。
【不正アクセス行為の禁止等に関する法律抜粋】
・不正アクセス行為の禁止
第三条:何人も、不正アクセス行為をしてはならない。
・他人の識別符号を不正に取得する行為の禁止
第四条:何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。
・不正アクセス行為を助長する行為の禁止
第五条:何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。
・他人の識別符号を不正に保管する行為の禁止
第六条:何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。
・罰則
第十一条:第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。
【禁止行為として以下が新たに規定】
・フィッシングサイトの開設
・フィッシングメールの送信
フィッシングとは、銀行やクレジットカード会社などの企業を装ったホームページや電子メールを用いて個人の金融情報を聞きだそうとする手口です。
2、コンピュータ・電磁的記録対象犯罪
電子計算機損壊等業務妨害罪・電子計算機使用詐欺罪などです。
電子計算機使用詐欺罪という罪名には、「詐欺」という言葉が入っています。
詐欺罪と何が違うかというと、詐欺罪が、「人」をだます犯罪であるのに対し、電子計算機使用詐欺罪は、「人」をだますのでなく、なりすましにより端末やシステムを操作することによる犯罪である点です。
この犯罪は、コンピューターにうその情報を入力してうそのデータを作り、これによって、財産上の利益を得ることにより成立します。
例示としては、行為などです。
・電子計算機に虚偽の情報または不正な指令を与えてること。
・財産権に関わるうそのデータを作り財産上不法の利益を得ること。
・不正アクセスをした上でホームページのデータを無断で書き換える。
・金融機関などのオンライン端末を不正操作し、無断で他人の口座から自分の口座に預金を移す。
3、不正指令電磁的記録に関する犯罪
コンピュータ・ウイルス(不正指令電磁的記録)の作成・供用罪等が不正指令電磁的記録に関する犯罪です。
例示としては、以下の行為などです。
・他人のパソコンのデータを破壊するためウイルスを作って保存する
・ネット上で事情を知らない人にウイルスをばらまく
4、ネットワーク利用犯罪
犯罪の構成要件に該当する行為について、インターネット等を利用した犯罪又は構成要件該当行為ではないものの、犯罪の実行に必要不可欠な手段として、インターネット等を利用した犯罪です。
例示としては、以下などです。
・ホームページ上で他人を誹謗中傷する名誉毀損事件
・電子掲示板などで犯行予告を行う脅迫事件
・インターネットオークションでの詐欺事件
・電子掲示板に販売広告を掲示して覚醒剤を販売した覚せい剤取締法違反事件
・わいせつ図画・児童ポルノ等を不特定の人に閲覧させた事件
■ハッカーや不正アクセスした人物の行動
IDとパスワードを盗み取ったハッカーは、それで別のウェブサービスなどにログイン出来るか、操作権限が乗っ取れないか、様々な場所で試します。
複数のサービスでID とパスワードを使い回していたり、あるいは似た形のパスワードを使ったりしていると、これらのサービスのアカウント情報が一気に乗っ取られます。
その後は、オンラインショッピングで勝手に物を買われてしまったり、現金は送れなくてもなんらかの送金システムが利用できる場合は、それを使ってお金を奪い取られたりしてしまう可能性が高まります。
もし、パスワード流出が判明したら、まずはすぐにパスワードを変更しましょう。
サイバー攻撃には、相手の機器をマルウェアに感染させる方法のほかに、なんらかの手段で ID とパスワードを解明し、機器やサービスを乗っ取るものもあります。
パスワードは、以下の方法により探し当てる方法があります。
・ウェブサービスなどが保管しているものが流出して使われる「リスト型攻撃」
・文字の組み合わせをすべて試す「総当たり攻撃」
・パスワードによく使われる文字列を試す「辞書攻撃」
本人になりすまし、IoT端末のIDとパスワードを変更せず、不正アクセスされるケースも多発しています。
■パスワード流出や不正アクセスを受けた際の対策
サイバー攻撃を行う人物や会社の中には、「不正アクセス行為の禁止等に関する法律違反」があることを知らず、気軽に秘匿性のある情報にアクセスしてしまう人もいます。
ですが、特に不正な利用をしていなくても他人のシステムのアカウントに無断でログインし、情報を閲覧しただけで犯罪が成立してしまうので、注意が必要です。
不正アクセス禁止法違反という法律が制定されている以上、明らかな犯罪行為になります。
気軽な気持ちで他人の端末やシステムにアクセスしてしまった場合でも、被害者に直接、口頭で謝罪しただけで、簡単に許されるような行為ではありません。
基本的に会社の従業員が興味本位でライバル会社などの情報に複数人で不正にアクセスし、大事な顧客情報やノウハウを取得する行為は、組織犯罪になります。
不正アクセス等のサイバー犯罪が判明した際には、証拠を保存した上でセキュリティ対策を行い、警視庁もしくは最寄りの警察や弁護士に速やかに相談し対応しましょう。
■まとめ
リモートワークが増えた今、企業や個人を問わず、オンラインで作業をする場合、必ず無線、有線問わず通信回線を利用します。
特定の場所で仕事をする際には、通信回線がセキュリティ的に安心安全に使用できるかの確認を行いましょう。
もし、その回線が暗号化されていない場合や固定のIPアドレスがない場合には、悪意のある第三者に通信内容が盗聴され解読されてしまう可能性があります。
サイバー犯罪を行うハッカーからの攻撃を受けないためには、セキュリティ対策を意識し、二段階認証を導入したり、暗号化された回線を利用するようにしましょう。
サイバーセキュリティ対策には、「絶対」はありません。
パスワードは、難しい文字列にすることも大切ですが、スキルの高いエンジニアであれば、アカウント情報は簡単に解析できるため、パスワードを変更しても何度でもアクセスされる恐れがあります。
個人が被害を受けないためには、サービスを提供する企業側のセキュリティ対策も重要になります。
法人企業の場合、サイバー攻撃を受けると甚大な被害を被る可能性もあるため、万が一の時に備えて、セキュリティ対策の相談先を見つけておくことも必要です。
緊急時の連絡先や連絡手段をいつでも確認できるように準備しておきましょう。
面白半分でハッキングする人物も多いですが、企業や個人情報へのアクセスは、不正な利用をしていなくても、インターネット経由で不正にアクセスした場合、非公開の情報にアクセス(アカウントへのログイン)をしただけで犯罪が成立します。
実害が出ている無しに限らず、サイバー攻撃に関しては、警察に相談の上、被害届を提出することです。
その際、犯人の逮捕に向けて警察に証拠を提出する必要がありますので、被害を受けた証拠の保全を行い、事実を立証できるし証拠をしっかりと集め、専門家に相談上でハッキングされた履歴のトラッキングを行うことも大切です。
「事件の外見が奇怪に見えれば見えるほど、その本質は単純なものだ。平凡な顔ほど見わけがつきにくいように、ありふれた犯罪ほど、本当はやっかいなんだよ。」
<シャーロック・ホームズ>
■最後に
サイバー犯罪を行う攻撃者と企業のゼロデイ攻撃に関する対応競争は、たいていの場合、ハッカーとなる攻撃者が先行します。
テクニカルスキルの高いエンジニアが、ハッキングをしようと思えば、企業が気づいていないセキュリティ情報を入手し、特定のアカウント情報でのアクセスでの不正ログインや、どれが一つでも攻撃に成功するなら攻撃を開始できます。
そのため、企業は情報システムを精査した上で、対象となっているシステムやクラウドサービスで充分なセキュリティ対応を推進する必要があります。
企業規模を問わず、あらゆる企業は、サイバー犯罪を受ける可能性があることことを前提として備え、万全なセキュリティ対策を講じるために「ホワイトハッカー」に相談したり、サイバー犯罪によるトラブルが発覚したら迅速に対処し、適切な行動を取る必要があります。
ホワイトハッカーとは、サイバー犯罪を起こす「ブラックハッカー」(不正アクセス等を行う悪いハッカー)に対抗するために、彼らと同等以上のハッキング能力やセキュリティ対策の知見と対策を講じることができる高度なエンジニアのことを指します。
ホワイトハッカーは、行政機関や民間企業から依頼を受け、アクセス履歴をトラッキングして調査したり、ブラックハッカーによるサイバー攻撃を未然に阻止し、コンピュータやサーバー、ネットワークを守ります。
DX「Digital Transformation」デジタルトランスフォーメーションに取り組む会社が増え、ビジネスへのAIの導入やプロダクトのIoTが進み、インターネットを活用したサービスが急速に進化し、実社会に普及する中でサイバー犯罪による脅威は、ますます増えています。
サイバー犯罪を未然に防止したり、被害に対して迅速に対応するべく、「ホワイトハッカー」の需要は年々高まっています。
セキュリティ対策に精通した、テク二カルスキルの高いホワイトハッカーだと、警察に雇用されるケースも増えており、年収1,000万を超えるとも言われています。
海外の企業では、CXOを任命する企業が増えておりますが、その中でインターネットを中心としたサービスを提供する会社では、CISOを登用する動きが加速しています。
CISOは、英語で「Chief Information Security Officer」の略になります。日本語では「最高情報セキュリティ責任者」の意味があります。CISOは、今最も注目されているトップマネジメントを担う経営陣になります。
日本最大級の顧問契約マッチングサイト「KENJINS」では、サイバー犯罪に技術力で対応すべく、卓越したスキルを持つ「ホワイトハッカー」や「CISO」として、企業の情報セキュリティ対策を担い、不正アクセスの防止やハッキング対策に精通したフリーランスの技術顧問や副業のエンジニアを募集しています。
【顧問報酬100%】フリーランスの顧問や副業のプロ人材のエージェント会社
https://kenjins.jp/lp/prokomon/