サイバー犯罪

ハッカーにあなたは利用されている?『サイバー犯罪入門』

『サイバー犯罪入門』挿絵イラスト

こんにちは。あさよるです。あさよるは自宅のネットワークを構築したいのですが、よくわからなくて頭を悩ませております。接続が不安定なのも困っていますし、セキュリティが弱いので、なんとかしたいのですが、なにがなんやらなのです。ちゃんと勉強しなきゃなあということで、とりあえず簡単に読めそうな『サイバー犯罪入門』を手に取りました。

本書はサイバー犯罪について啓蒙する内容で、読了後、あさよるもしっかり啓蒙されて「ネットワークのセキュリティちゃんと設定しなきゃ!」と焦り始めています(苦笑)。内容も、多くの人に理解できる文章で書かれており、「すでにもう被害に遭ってるかもしれない」サイバー犯罪につて意識を高める良書でした。

まず、本書ではサイバー犯罪を行う人々を「ブラックハッカー」とし、「ハッカー」と呼ぶとき、この「ブラックハッカー」を指しています。ここでも本書に倣ってサイバー犯罪を行う「ハッカー」と呼ぶことにします。

まずはサイバー犯罪への意識を

本書『サイバー犯罪入門』は、サイバー犯罪への対策を講じるものではありません。なぜなら、そんなことをしてもあっという間に情報は古くなり、「使えない情報」になるからです。そこで、本書は「サイバー犯罪への意識を高める」ことが目的とされています。

まず知っておくべきは、誰もがサイバー犯罪の標的になりえること。そして、残念ながら今の日本はサイバー犯罪の対策はとても万全とは言えません。2020年の東京オリンピックに向けて、東京の街では公衆Wi-Fiの設置が急がれているようですが、それはサイバー犯罪を企てる人々にとっても都合のよい整備になるかもしれません。

わからないまま報道するマスコミ

サイバー犯罪がテレビや新聞のニュースになることもありますが、マスコミもサイバー犯罪について熟知しているとはいいがたく、よくわからないまま報道しているのが現状です。

 多くの報道内容を確認していくなかで、プレスリリースをインターネット翻訳しただけのような、どの角度から読んでも全く理解できない文章を多々見かけることとなった。用語が混同されていたり、製品名とプロトコルの名称が混同されていたり……というのが主な要因だと思われるが、残念なことに、大手報道機関の文章にも、そういった誤りが散見されたのである。
だが、これも仕方ないと言えなくもない。というのも、もはや、単に「ITに詳しいだけ」ではサイバー犯罪やセキュリティについて読み解き、説明をしていくことは難しい、というのが実情だからだ。

p.27

例として、自動車のハッキングについて理解するためには、

自動車に関する基礎的な知識、自動車のIT化に関する知識に加え、ハッキングに関する知識やネットワークに関する知識なども総合的に必要となる。そのため、いずれかの領域の専門家であったとしても、全体像を正確に理解することは容易ではない。(p.27-28)

その事件について理解すること自体に時間がかかり、またそれを一般に向けてわかりやすく説明することは難題です。報道がサイバー犯罪について正しく扱いきれていないのも納得です。

盗まれていも気づかない!?

本書では紹介されているサイバー犯罪の例が紹介されているのですが、印象的なのは被害者たちは「サイバー犯罪に巻き込まれていることに気づかない」とうことです。

預金残高が1億円以上ある銀行口座から、3%を上限にこっそり抜き取る手口が紹介されていました。

日本円換算でおよそ1億円以上の預金残高がある銀行口座から、最大で3%(1億円の預金残高がある場合、300万円)ずつを上限に、こっそりと抜き取ってしまうという方法を取った。しかも被害者のブラウザには「抜き取られる前の残高」が表示されるようにハッカーが細工した偽画面が表示されるため、すぐには被害に遭ったことに気付けない。

p.46

「3%だけ」というのが巧妙で、何かの拍子に少しだけ残高が減っていることに気付いたとしても、「何かの手数料を差し引かれたのか」程度にしか考えず、発覚に時間がかかります。

また、「マルウェア」と呼ばれる、不正にコンピュータやシステムをハッキングするためのソフトウエアが、自分のパソコンに侵入していたとしても、なかなかそれに気付かないそうです。また、ハッキングの対象はパソコンやスマホのみならず、冷蔵庫や自動車、街中の監視カメラがハッキングされているかもしれません。

サイバー犯罪において日本はとても魅力的

サイバー犯罪はもはやSF映画の世界のではなく、スパイ映画さながらのハッキングが日常で起こっています。ある人にとってはそれは寝耳に水のような話であり、別の人にとってはもはや常識かもしれません。サイバー犯罪に対してのリテラシーには人によってかなりの差があります。

残念ながら、日本は国も大企業もとてもサイバー犯罪への対策ができているとは言えません。ハッカーたちは強固なシステムを狙いません。彼らは、どこか〈弱い〉ところを探し当て、弱点を突いてシステムに侵入します。日本はサイバー犯罪への対策が広まっていないため、弱点だらけということです。

たとえ大企業が、自分たちの持っている情報を守ろうと強固なセキュリティを作っても、その企業へ出入りする下請け企業のどこかに弱点があれば、そこからハッカーがシステムに侵入することも十分考えられます。

映画のような、建物を爆破したり、自動車をハッキングし遠隔操作することも、フィクションではなくなります。

「わたしは狙われない」はない。その理由

『サイバー犯罪入門』挿絵イラスト

「ハッカーにとって日本は魅力的な市場である」と聞いても、「わたしのスマホorパソコンは大丈夫、だって大したデータが入ってないし」と考える人がいれば、それは間違いです。ハッカーは、あなたに興味がなくても、あなたの知り合いに興味があるかもしれません。あるいは、あなたの知り合いの知り合いの知り合いの……と、あなたを踏み台にして、他の人の情報を欲しがっていることがあります。

誰もが狙われる理由として「六次の隔たり(six Degrees Separation)」というものが紹介されていました。

「人は自分の知り合いを6人以上介すと、世界中の人々と間接的な知り合いになることができる」という仮説のことであり、知り合いの知り合いを6回たどれば世界中の人とつながることができるという。(中略)
試しに計算してみよう。
あなたの知り合い44人から、さらにそれぞれの知り合いの44人と言う具合にたどっていくことを数式に表すと「44人の6乗」となる。44人の6乗は、7,256,313,856人。すなわち世界の人口(国連による2013年の統計で約72億人)と同じくらいの人数がそこには存在することが分かる(ただしこの場合、理論上では、最初の44人と次の44人、そしてその先に繰り返している44人ずつはそれぞれが互いに重複してはならない)。
つまり、あなた自身が重要な情報を持っていなかったとしても、あなたの友人やそのまた友人を何人かたどってゆくことができれば、重要な情報を持った人物にたどり着ける可能性が極めて高いということだ。
もしあなたに情報的な「価値」がなかったとしても、あなたには「利用価値」があるのだ。

p.39-40

ハッカーはシステムの弱い部分から狙います。もしあなたが、サイバー犯罪へのリテラシーが極めて低いなら、ハッカーにとって「利用価値」があると判断されかねません。

正直、どうしていいかわからない……

本書『サイバー犯罪入門』を読んで、サイバー犯罪は他人事ではなく、自分も狙われるかもしれない……というか、すでに被害に遭っているのかもしれないと知り、冷や汗をかきました。何が恐ろしいって、「それを知ったところで、どう対策していいかわからない」というのが正直な感想だからです。

本書は先に述べたように、具体的な対策を指南するものではく、サイバー犯罪について啓蒙することが目的の本です。とても平易な表現を使い、多くの人が理解できる言葉や例を挙げながら、今、われわれが晒されているサイバー犯罪について紹介されています。セキュリティ、ハッキングについて右も左もわからない、全くの素人にとって、本書は良書でした。

関連記事

続きを読む