講師
国際セキュリティコンサルタント 伊藤穣一先生
演題
インターネット時代のセキュリティ&危機管理
不正アクセスによる犯罪の増加
97年度のFBIの調査によると、不正アクセスによる犯罪は急激に増加している。 どれくらいの増加かいうと、「強盗」が起こる件数ではなくて、 「万引き」が起こる件数と思ってもらえればわかりやすい。 不正アクセスの被害報告者の約75%は、経済的被害を受けており、 損失額が2500万ドルにのぼるケースもあった。現在FBIは、 犯罪による被害金額の大きなものを優先的に捜査している。 また、犯罪の数があまりにも増加したので、 事件が起きてから一つ一つ捜査するのではなくて、 数字によってどういうトレンドが起きて、 それに対してどう対処するかという分析を行っている。
COAST(Purdue大学)レポートによると、 インタビューしたアメリカの主要企業の99%は、不正アクセスの被害を受けている。 日本の企業のシステム管理者は、 「(自分のところは)セキュリティが確立されている(から大丈夫)」 という言い方をするが、アメリカの企業のほとんどは、 不正アクセスの被害を受けているのである。大切なのは、 セキュリティがきちんとしているか、してないかではなくて、 事件が起きたとき「いかにリスクを減らすよう対処できているか」ということである。
日本では、不正アクセスが起きるとシステム管理者の責任になるので、 被害の事実を報告しない傾向が強い。2カ月後に出るウォールーンという調査では、 アメリカでさえ、 「実際に起きたインターネット関連犯罪の12%しか警察に報告されてない」としている。 また、被害を警察に報告した企業のうち20%しか「警察に報告してよかった」 と思っていない。 なぜなら、警察に報告してしまうと、警察はその企業の広報のことを全く考えずに、 不正アクセスによる被害の事実を公表してしまい、 そうした事実を公表されたことによる企業の損害が大きいからである。
また、サイバー上のスパイ等に対しては、不正アクセスされた、 あるいは犯罪が行われたということさえ、気がつかないケースが多い。 日本政府が今年中に行わなければならない広報戦略の一つとして、 「犯罪は、起きている」「日本だけが例外ではない」 ということを国民に理解させるということが必要である。 先日通産省は、製造業に関するレポートを発表したが、 「思ったよりセキュリティが悪かった」という結果だった。 「日本のセキュリティは大丈夫」という勘違いは、早急に正さなければならない。
ネットワーク・セキュリティの3つのカテゴリー
- ナショナルセキュリティ(IWAR、サイバー・テロ、産業スパイ)
- 詐欺(電話、クレジットカード、銀行)
- プライバシー侵害と不法侵入(破壊行為、ストーキング、ハッキング/クラッキング)
- ナショナルセキュリティ(国家安全保障)のレベルでは、 IWAR(Information War Fare)対策にペンタゴンが資金を提供しており、 国家としてコンピュータを使った戦争のサポートについて研究を行っている。 きっかけは、湾岸戦争の時にコンピュータ・ウィルス等が戦争の勝利にかなり貢献したからである。
さて、サイバー・テロ(国家のインフラに対して、 コンピュータを使ってテロを行う)について、コンピュータを日頃使ってない人は、 「自分には、あまり関係ない」と思うかも知れない。 しかし、原子力発電所の制御やガスパイプのバルブコントロール・システムは、 ネットワーク・コンピュータでコントロールされている。 道路交通や航空管理、薬の製造などにもコンピュータが使われている。 我々の日常生活のインフラがサイバーテロの対象になっているので、 国家の安全保障はもちろん、国民生活にも深く関わっている。 - 詐欺については、最近よく報道されているが、人の電話を勝手に使うとか、 他人のクレジットカード番号を使って買い物をするとか、 銀行からお金を引き出すといったことである。こういう犯罪者も増えているが、 アメリカの捜査機関と話してみると、犯人はほとんど捕まっていない。 若いいたずら小僧は、不正アクセスを行って、わざと痕跡を残す傾向にある。 「自分がここに来た」という証拠を残しているので、 警察もそれを追うことができるが、本当のプロは痕跡を残さない。 だからアメリカでも、こうしたプロは捕まっていないのである。
- プライバシー侵害と不正侵入とは、 よく報道されるクラッカーやハッカーの問題である。こうした問題は、 ほとんど10代の子供が遊び半分に不正侵入したり、 ホームページを書き換えたりといった内容である。
3種類のカテゴリーに分類したが、システム管理者から見れば、 この三種類の侵入者は同じに見えるかもしれない。しかし、 社会的に見るとその影響や本人の目的は、かなり異なっている。具体的ケースでは、 ある16歳の子供がプロバイダーにいやがらせをして「セキュリティが悪いので、 改善しないと殺す」というEメールを書き込んだ。 この16歳の男の子は、強要罪に問われ、裁判が行われている。 今、テロリストや暴力団等色々な人がコンピュータを使って、 犯罪を犯そうとしているが、 暴力団に対して適用するような罰則をいたずら半分でやった16歳の男の子に適用するのは、 社会的に見ていかがなものか。表に出てくる若い人たちが起こした事件に翻弄されず、 日本の犯罪組織や海外の犯罪組織がどのようにコンピュータを使おうとしているかということを分析することが重要だろう。
ナショナル・セキュリティ
PCCIP(President’s Commission on Critical Infrastructure Protection) のレポートによると、政府のクリティカルな通信の90%は、 民間の通信網を使っているという分析結果が出た。 政府の安全保障の為の通信網のほとんどは、民間の通信網を使っているのである。 民間側からは、「なぜ、我々が政府の安全保障のためのコストを持たなければならないのか」と不満がでていた。 そこで、民間側からと政府側からのメンバーでタスクフォースを組んで、 いかにこうしたインフラを守るかといった勉強会をしたところ、 政府からの予算がかなり出るようになった。こうした分析は、日本でも必要だろう。
私は先日、情報戦争のシュミレーションをやっている人から、 日本に対する電子的攻撃について、個人的なメールをもらった。 彼は、「日本はNATOの中で、一番情報の危機管理ができておらず、 そして一番狙われている」と分析している。日本の製造業などの効率の良さは、 いわば危機の高さの裏返しである。 彼からのメールは「こうした日本の情報の危機管理について、 誰と話していいかわからない。NATOの方でも日本をリスクとして感じているが、 “日本には窓口がない”と言っている。防衛庁と話しても埒があかないので、 何とかして欲しい」という依頼であった。
アメリカは戦後、暗号を管理するNSAという組織を使って、 スパイのような活動を行ってきた。電子メールや色々な情報を世界中から集め、 分析して、国の秘密情報として使っている。 だから、アメリカの暗号政策やセキュリティ政策の下で、 我が国が政策を作成してしまうと、金魚鉢のように相手から丸見えになってしまう。 当たり前のことだが、アメリカのアナリストによると、 日本が独自の考え方や政策を持っていないと、 アメリカから見ると金魚鉢になってしまうし、 パートナーも一緒に危険にさらしてしまうということになる。 企業間のスパイも国家間のスパイも、日本では、取り締まる法律がない。 しかし情報化社会の中で、情報の持つ意味は、非常に重要になってくる。 アメリカの企業などでは、こうした“情報”を資源として利益を上げている。 この点について分析したレポートも、2カ月後くらいに発表される。
ロンドンタイムスによると、 「銀行がハッカーにコンピュータへの侵入を止めさせるため、4億ポンド支払った」 という事件があった。この事件は、一度報道されたきり、その後表に出なかったので、 きちんとした裏付けはとれてないが、 私は報告した本人に話を聞いたので、かなり信憑性は高い。簡単に言うと、 銀行のコンピュータに不正アクセスして、 「いくらかのお金を払わないとコンピュータ・システムを倒す」と脅迫した、 というものであった。こういう脅迫事件の中でも大きなものは、 20億円くらいの被害を受けたケースがあった。 現在、6つくらいのサイバー・ギャングが世界中の銀行を脅迫して、 お金を引き出していると言われている。 そして、こうした事件の被害者になった銀行は、ほとんどその事実を報告していない。 銀行が使っているシステムというのは、 世界共通なので、日本だけにこうした事件が起こらないということはあり得ないのだ。
国家の信用
アメリカでは、司法省のホームページやCIAのホームページが書き換えられる事件が、 起きている。CIAのホームページが書き換えられたときに、 「大した情報は載ってないので、大丈夫」というコメントが出たが、 一般国民としては、「CIAが自分のホームページを守れないのなら、 一般の国民が守られなくて当たり前じゃないか」ということになる。 日本の省庁や政党のホームページの立ち上げを見ていると、危機管理がかなり弱い。 まず、国のホームページはきちんと管理しなければ、 一般国民の不安感を解消できない。
また、日本の法整備は、先進国の中で一番遅れている。現在日本においては、 不正アクセスして情報を見るだけなら、犯罪にはならない。 この事実は、世界中のハッカーが知っている。だから日本は、 犯罪の“ジャンプ台”として使われている。普通のハッカーは、 自分のコンピュータから直接相手に攻撃を行うわけではない。 いくつかのコンピュータを通し、例えば日本国内のホームページを経由して、 アメリカの国防省を攻撃するのである。 警察庁の方からいくつか法案が出されるということだが、 今は“ジャンプ台”にされても、そのこと自体は違法でないので取り締まることができない。 日本の環境は、犯罪者にかなり利用されているはずだと言われているが、 日本では“ジャンプ台”に使われていることさえ、 気づかれていないというのが現状である。
ハッカーの手口と物理的セキュリティ
コンピュータ犯罪というと、皆さんのイメージは、 若いハッカーがコンピュータの前で、 ひたすらパスワードを叩いているというイメージがあるかも知れない。 今の犯罪の起こし方は、まず、 あるコンピュータの中にどういうソフトが走っているかスキャンして、 そしてそのソフトの穴(セキュリティ・ホール)を見つけて、コンピュータに入り、 そこから自分用(不正)のアカウントを作る。 そして、そこから違うソフトの穴を探しに行く。こうした作業は、 手作業でやるのではなくて、すっかりシステム化されている。 あるプログラムを起動させて、夜飲みにいって、帰ってくると、 何千というアカウントができているのである。かなり自動化されているので、 一人のハッカーは、一晩で何万という犯罪を起こすことが可能である。さらに、 このアカウントをどこかにデータベース化して、ハッカー同志で交換するので、 不正のアカウントの数はどんどん増えていく。そして犯罪者は、 捜査機関や政府やセキュリティの会社を攻撃して情報を引き出し、 自分たちの攻撃用ソフトを作成している。 ハッカーにとっては捜査機関の電話や電子メールを盗聴することは、 重要なポイントである。ハッカーを追いかける人が、ハッカーに盗聴されている。 世界的にハッカーを追いかけている捜査ネットワークがあるが、 基本的に現場の捜査機関を信用しない。なぜなら、 日本の捜査機関に情報提供するとそれが盗聴されて、情報が漏れてしまうからである。 (ハッカーを追いかけている捜査ネットワークとは、政府機関ではなくて、 プロバイダーや民間企業のセキュリティ担当者が、 基本的に人間のネットワークで追いかけている。)
コンピュータ・セキュリティは、 コンピュータの中だけの問題というイメージもあるかもしれないが、 実は、物理的なセキュリティや、人間の弱みを穴にして攻撃するというものが多い。 二つの例を挙げてみる。まずニューヨークでは、 ロシア人ギャングがコンピュータ犯罪をかなり起こしている。 原因はニューヨークでは、家政婦や掃除婦などにロシア人が多いが、 こうした人が部屋に入っていくことに対して、無警戒な人も多く、 室内の壁にパスワードが貼ってあったりするからである。 ロシア人家政婦のおばさんは、このパスワードをコピーして、息子達に渡し、 息子達がコンピュータ犯罪を犯しているのである。このケースが重要なのは、 物理的な犯罪とコンピュータ犯罪をリンクすると、大変効果が増すということである。 もう一つは、プロバイダーやシステム管理者などに電話をかけて 「パスワードを忘れたので、 教えて下さい」と言うとすぐに教えてしまうということである。 私も実際やってみたが、特にサービスのよい日本では、 疑いもせずにあっさり教えてくれた。 セキュリティ・ポリシーやセキュリティ・システムをきちんとしても、 人間で穴が開く場合があるのである。
日本のコンピュータ・セキュリティの問題について、特徴は二つある。一つには、 基本的に日本は、島国なのでなかなか外から入ることができないが、 入ってしまうと中がふわふわというケースが多い。 例えば、銀行間のネットワークなどは、「これはNTTの専用線だから、 誰も入ることはできないだろう」と思いこんで、 中を流れる情報に暗号がかかっていなかったり、 セキュリティの対処をしなかったりする。だから、一旦入ってしまうと、 何でもできてしまう。「ファイアーウォールがあれば、大丈夫だ」と考えているのが、 日本のセキュリティである。 しかし、専用線を破っても暗号がかかっているというように、あらゆるところ、 あらゆる段階で安全性を確保しなければならない。
もう一つは、セキュリティが破られても、 破られたことに気づかないということである。 ハッカーが一日中入り込んでいたという結果と、 2分しか入り込めなかった結果というのは、大きく違う。そういう意味で、 モニターをしているということが必要である。 去年、アメリカでは68%の企業にモニタリングのソフトが入っていたが、その前の年は、 20%くらいであった。日本では、このモニタリングが随分遅れているので、 不正アクセスされても気がつかないのである。また犯罪が起きたときには、 対処が必要だが、テロリストだったら防衛庁、犯罪者だったら警察庁、 社内だったら総務といったように、 何か起きたときにすぐに対応できるシステムが必要である。
結論
重要なのは、ポリシーである。例えばアメリカのあるコンピュータ関連会社は、 会社のLANに勝手にモデムを接続すると、会社の規定で解雇される。 日本はモノが好きなので、ファイアーウォールがあれば、 安全だというイメージを持っている人が多いかも知れない。しかし、 一番重要なのは、どういうセキュリティ・ポリシーを作るかということである。 まずは、危機管理のポリシーから考えていかなければならない。 色々な技術はあっても、それらはツールに過ぎない。
インターネットやサイバー空間で、悪いことをしているのは、 基本的に犯罪組織である。犯罪組織というのは、自慢もしなければ、表にも出ない。 犯罪組織を分析すると、みんな一種のビジネスマンである。ビジネスマンだから、 損益を考える。例えば、日銀に強盗に入る場合、 コストに見合った利益があるかどうかで、強盗に入るか、入らないかを決める。 いま行われている通産省の実証実験などで、危険と思われるのは、 入るためのコストは大したことないが、 現在はまだ使っている人が少ないから犯罪が起きてないということである。 ユーザーが増えて、ある時点で損益分岐点を越えた途端、犯罪は爆発的に増えていく。 だから損益分岐点に到達する前に、セキュリティ・レベルを上げなければならない。 犯罪者は学者ではないので、セキュリティの強いものを立ち上げたから、 敢えてそれに挑戦してみようなどとは考えない。マーケットが大きくなって、 損益分岐点を越えるまで、じっと待っている。日本に来ないのは、 まだマーケットが小さいからである。今年の夏から秋にかけて、 日本でもマーケットが大きくなり始めると、必ず犯罪者達が狙ってくる。 犯罪が起こり始めてからでは、もう遅いのである。
我々はセキュリティに関する仕事をしているが、セキュリティの確立とは “何も起こらなくて当たり前”ということなのである。だから、評価されない。 何か事件が起きて、初めてその大切さを認識されるが、何か起きたときは、 “失敗”なのである。現場で対処しようとしている警察庁などを“何か起きる前” に応援していただきたいと思う。
質疑
司会最近アメリカで、コンピュータ犯罪に関する映画が作られている。 先日私が観たのは、コンピュータに不正アクセスされて、 一夜のうちに銀行から自分の全財産が奪われるという内容だった。 映画の世界のことだが、現実に起こりうることもある。
質問日本では、どういう分野で法制化を進めれば、急場をしのげるのか。
伊藤アメリカを参考にすると、一つや二つの法律では対処できない。 犯罪者の種類も違う。いたずら小僧もいれば、政治情報を盗もうとする者もいる。 不正アクセスを行う目的も色々である。それに合わせて、 色々な法律を作らなければならない。アメリカで一番うまくいっている法律は、 バージニア州で施行されている法律で、 日本でいう「住居不法侵入罪」で取り締まるというものである。 コンピュータの中を“場”と考え、“場”に入ったことに対して、軽い罪を課す。 そして、何を目的にしたかということで罰則が増え、“行為”により、 また罰則が増える。最低では駐車違反のような軽微な罪から、重い罪まで、 ケースによって適用されるのである。
何十万人の若者が、毎日ハッキング等をやっているので、これを捕らえて、 一人一人に時間をかけて裁判をやるのは、困難である。16歳の男の子に強要罪など、 適用している場合ではないだろう。日本でも重要なのは、相手によって、 色々な法律を制定していく必要があるということである。 ただ、法務省と“情報”に関して話していると、 情報に関するコンセプトを作るには時間がかかるのではないかという個人的な感触がある。
行為をした者を捕まえる方法について、1.痕跡が残るのか 2.誰がどうやってやったか特定することが技術的に可能か 3.可能であっても数が多いので、実際に捕まえて裁くことができるのか。
伊藤行為した者を捕らえるのは、基本的にはたいへん困難である。FBI等は、 犯罪者を5年・10年かけて追いかけている。だから我々は、犯罪者を捕らえるよりも、 まず戸締まりをして、被害を減らすことから考えるべきである。現在、 日本ではセキュリティに関して、鍵の話や壁の厚さの話をしているが、その一方で、 ドアや窓が開けっ放しで、他人に鍵を配っているようなケースが少なくない。まず、 あるドアを閉めるのが重要なポイントである。 暗号をかける等、既にある技術をうまく使うことで約9割の危機は回避できるだろう。 万引きが起きないデパートはないが、それでも営業はできる。それと同じで、 犯罪者の数は、多いと言っても限られている。いかに減らしていくかということが、 大切である。本当に危険な犯罪行為を侵す組織が、世界に6・7個あるが、 これらに対しては国際間協調して対応をとればよい。
質問家宅侵入罪というが、物理的な世界では、家そのものが閉まっている。 しかし、インターネットの場合は、もともとオープンである。犯罪者に対して、 鍵をかけると言っても、うまくかかるのか。
伊藤インターネットは、ここ数年で変化してきている。 今までのインターネットの機種は、出荷された段階で、 どことでも接続できるように設定されていた。しかし今は、例えばサンの機種は、 出荷された段階で、基本的にどこともつながらない。 つなげたい人とだけつなげるというのが、今のインターネットの方針になってきている。 例えば、マイクロソフト等は、セキュリティはガタガタだが、 一般の人が「セキュリティをきちんとしてほしい」と考えるようになると、 メーカーは変わってくるだろう。
インターネットの初期の頃は、「いかにつなぐか」と考えたが、 どことでもつながってしまった現在は、 「いかにつなげないようにするか」という方向で考えている。パスワードをつける、 鍵をかけるといったことで、技術的には可能である。 意識を変えて「基本的にはどこともつながらない」というのが、 これからのインターネットであろう。
「基本的にどこともつながらない」というのであれば、 インターネットの「オープンで、どこへでもつながる」という特性は、どうなるのか。
伊藤インターネットの文化は、これから随分変わってしまうだろう。飛行機と同じで、 世界中どこへでも行けるが、 入国の時は必ずチェックされるというようにボーダレスでありながら、 現実の世界と同じ様なボーダーができてくる。ただ、 これは国家を越えたボーダーなので、どこにどういうボーダーができるかというのは、 物理的世界と同じにはならない。
質問アメリカ大使館へ行くと、部屋に入るとき、 必ず自分のコードを(カードで)示さないと、ドアが開かない。 IBMの本社に行っても同じである。しかし、日本の役所には、そういうことは全くない。 こういうところからして、政府も民間も、 この国にはセキュリティに関する危機感がない。コンピュータに不正アクセスされる、 されないの前に、人間の侵入に関しても無防備である。
伊藤日本人の国民性として、そういう犯罪が起きなかったということもあるだろう。 アメリカなどでは、警察に成りすます犯罪者も多いが、 日本では警察になりすます犯罪者は少ないらしい。 しかし、インターネットの世界では、相手は必ずしも日本人ではなく、 自分の家の玄関に常に海外からの訪問者があると考えるべきだ。 今まで虎の門にビルが建っていたので、セキュリティが甘くてもよかったが、 これからインターネット時代になれば、 セキュリティも国際基準に沿っていかなければならない。
皆さんは「日本でホームページを立ち上げても、日本人しか見ていない」と思うかも知れないが、 私はある行政のホームページに穴(セキュリティ・ホール)を発見して、 中を覗いてみて驚いたことがある。中には世界中のハッカーが来ていて、 そこで遊んでいた。“成田”というボーダーがないところで、 外国人が入ってきているので、危機管理の意識を変える必要がある。
政府の関係省庁で、セキュリティのミーティングや政策会議はないのか。
伊藤実際にいろいろ行われているし、通産省の方でも取り組んでいる。 しかし、本当のことがわかっても、あまりにひどくて表には出せない。 「今まで何をやっていたんだ」ということで、担当者が解雇になるので、 調査をすればするほど、表に出なくなる。 だから政治家の方に出てきてもらって、トップダウンで行う必要がある。
質問私が危機感を持っているのは、まさにその各省庁の連携の問題である。 各省庁をまたぐ、統一の基準がないのである。これから情報をデータベース化して、 電子政府を5カ年計画で推進しようとしているのに、まだ簡単なガイドラインしかない。 ほとんど「ファイアーウォールを入れれば済む」という認識しかない。 伊藤先生は警察庁や通産省の勉強会で講演なさっているが、 同じ人間がそれぞれの省庁で同じことを話している筈なのに、 上がってくるレポートを読むとみんなバラバラのことを言っている。先日警察庁に、 法制化に関して話を聞いたが、先程伊藤先生が言った不法侵入罪について、 こちらから問いかけても、その話題が出てこなかった。 まず、早急に国内の基準を確立しなければならない。 また欧米6カ国の共通のセキュリティ基準が、 この秋以降ISOで国際標準になる予定なので、 日本もこれに合わせていかなければならない。 日本は、そうしたことへの対応も遅れている。各省庁をまたいでいるので、 政治家が拍車をかけなければならない。
司会今後、政治家が正式な場で委員会、小委員会をつくり、 そこで日本のセキュリティ・システムについて、 ある程度デザインすることが大事である。昔は軍事情報が狙われたが、 これからは最先端の技術開発の情報が狙われている。日本では、 それに対するシステム的防御ができていない。電子戦略を相手の国は持っていて、 日本は持っていない。 政府機関のデータシステムを防御するシステムをどう立ち上げるかというのは、 システムの問題でもあり、法律の問題である。引き続き勉強していかなればならない。