その他
<BCN REPORT>米国のネット犯罪現状報告
2006/03/13 14:53
週刊BCN 2006年03月13日vol.1129掲載
インターネット網の発展と軌を一にして犯罪行為が多発し、大きな社会問題となっていることは周知の通りだ。これまでにもウイルスの流布やサーバーへのハッキングなど、不法な行為が数多く報告されてきた。しかし近年は犯罪の質が変貌している。金銭の詐取をもくろむような犯罪行為が主流になってきており、従来のような自己顕示欲を満たすとか愉快犯といったレベルを超え、高い技術力を有した本格的な犯罪集団へと移行しているのが実情だ。“ネット犯罪先進国”アメリカで現実に起きている犯罪の様子から、あるべきセキュリティ対策の糸口を探る。(田中秀憲(ジャーナリスト)●取材/文)
国の貧富の差がネット犯罪の温床に
■暗号化をくぐりぬける偽装メール
インターネットが生活のなかに入り込むとともに、このインフラを悪用しようとする者も数多く現れてきた。かつては悪質ないたずらとして、悪意ある開発者によるウイルス配布などが主なトラブルだったが、最近では金銭の詐取を目的とするケースが多くなってきた。
また、犯罪のプロ集団による組織的な犯罪が目立ってきている。犯罪が組織的になったことで、従来のような個人レベルの詐欺行為とは比較にならないほど、被害金額も莫大なものになってきている。そしてこの傾向は、オンラインショッピングの普及などにより、市民がインターネットと深くかかわるようになったことと大きく関係している。
オンラインショッピングが普及するに従い、代金決済をクレジットカードで行うことは日常的な行為となった。特に通信販売が普及している米国ではこの傾向はさらに強く、クレジットカードは日本やアジア諸国では想像もつかないほど重要視されている。極端にいえば、高額品を現金で買うのは“うさん臭い奴”と見られるほどだ。
このようにカード重視の社会だから、悪意をもつ者が何らかの手段を使って第三者のクレジットカード情報を入手し、それを悪用すれば容易に金銭が盗まれてしまうという懸念は、オンラインショップの草創期から指摘されていた。その対応策として、情報の暗号化などの技術が磨かれ、SSLなどの技術はオンラインショップが出現した当初から普及している。
しかし、消費者がショップとやりとりする過程で決済情報を不正入手するのは困難であっても、何らかの手段でカード情報を入手することはできないかと考える者がいた。彼らが思いついたのが、偽装メールである。そして現在では、フィッシング詐欺と呼ばれる偽装メールでのカード情報の詐取が犯罪の主流を占めてきている。
さらに現実社会と同様に、さまざまな犯罪行為がインターネット上のバーチャル社会でも出現してきており、その内容は複雑で高度化しつつあるのが特徴だ。
■ネット犯罪は低コストで安全!?
前述したように、フィッシング詐欺は現在のインターネット犯罪の主流を占めるまでになってきた。そして初期のフィッシング詐欺が、スパムメールと同じように同一内容のメールを送り付けるケースが多かったのに対し、最近では、事前の不正侵入により、ユーザーのメールアドレスやパスワードといった情報を入手したうえで、それを利用して個別にカスタマイズされたフィッシング・メールを作成し、詐欺行為を働くケースが目立つという。犯罪行為の効率化と省力化が進んでいることの現れだ。
APWG(Anti─Phishing Working Group)も「当初、フィッシング詐欺に手を染めているのはアマチュアだとみられていたが、現在は高度に組織的に行われている形跡がある」とコメントしている。そしてそのフィッシング詐欺に代表されるインターネット上での不法行為は、犯罪者側から見た場合には低コストで危険の少ない魅力的な手法であることが認知されてきているという。またインターネット上での行為には国境や距離的・地理的な制限がなく、犯人の逃亡が容易ということも犯罪の多発に拍車をかけている。
さらに2つの要因が、インターネット上の組織犯罪の増加を助長しているようだ。まず1つは、重要情報を盗んで売ることがダイレクトに現金収入と結びつく点だ。発展途上国や貧困な国の優秀なプログラマが組織犯罪に引き寄せられることは自然な成り行きであり、インターネット上の犯罪といえども国家間の賃金格差などが犯罪を招いている現状は、実際の社会構造と変わりがない。もう1つとして、犯罪組織の主要な資金源である、違法売買の隠れ蓑としての利用などが指摘されている。犯罪行為で得た利益は、オンラインバンク間での資金移動やブックメーカー(賭の胴元)サイトへの賭金、さらにはオークションサイトでの偽装購入など多方面への展開が可能であり、これらを経由することで闇資金を容易に洗浄(マネーロンダリング)することが可能である。
これらの要因が犯罪者の組織化を助長し、またすでに存在する犯罪組織がインターネット上に資金源を求めるという事件も急速に増加させているといわれる。巨大な犯罪組織は資金に余力があるため、技術レベルの向上が可能であり、最近ではスパム送信用のボット・ネットワークの貸し出しさえ行われているそうだ。
■組織でなければ成し得ない犯罪
過去の摘発事例を見ていると、それらが東欧につながるケースが特に多いのも特徴だ。2004年5月、英国で摘発されたフィッシング詐欺犯グループは全員がロシア語圏内の出身であったという。以前からロシアには盗難クレジットカード番号売買の巨大な闇市場があると噂されている。最近ではこれらのフィッシング詐欺グループが日本への上陸を狙ってきており、クレジットカード大手であるVISAインターナショナル社は、「わが社の中央ヨーロッパリミテッドを通じ、ルーマニアの該当のISPに調査を依頼した。その結果判明したのは、フィッシング詐欺犯はルーマニアのISPにダイアルアップで接続し、ISPを経由してルーマニア国内のサーバーに接続していた。このサーバーは個人宅に設置されていた可能性が高いが、わが社は所在までは追跡できていない」と述べている。このほか、オランダやルーマニア、ウクライナなどでもフィッシング詐欺の摘発事例が見られる。
インターネット上での犯罪のもう1つの大きな柱に、「グレイマーケット・ブラックマーケット」という分野がある。これは、希少動物や輸出入の禁制品、麻薬等の違法薬物や、最近では偽ブランド品や、人体の臓器まで非常に広範囲におよぶ。03年11月には、FBIが大規模な捜査を行い、インターネット上での詐欺行為や各種ソフトの違法コピー、グレーマーケットへの盗品の出品などに関して、125人以上の逮捕者を出した。通常、グレーマーケットとは、商品そのものは違法ではないが、複雑な流通機構の隙を狙った不法なルートでの取引を意味し、ブラックマーケットとは取引される商品そのものが不法であるケースを指す。しかしながら近代社会においては、同じ商品であっても異なる国家間では関係する法律により、A国では合法であってもB国では不法となることも多い。このため現在ではこの種の取引は、一様にグレーマーケットと呼ぶことが多い。もちろん、各国の家電や通信機器に関する法律は多岐にわたって細かな違いがあるため、米国向けの商品を他国に輸出するようなケースであっても、その国の法律に抵触する可能性もある。
また、ある日本のスポーツ用品大手メーカーは、ニセブランド品に関する注意書きを自社WEBサイト内に掲載している。同社のバトミントンラケットやテニスラケット、もしくはゴルフクラブなどがインターネット上で大量に安価に販売されていることからこの偽造が発覚したという。同社広報によれば、現在確認されているものは、子細に観察すれば真贋を見極めるのはさほど困難ではないという。しかし、なかには製品を破壊しなければ真贋が分からないほど精巧なものも見られるそうだ。これほど精巧な偽製品を製作するには、正確な設計図面情報が不可欠であり、さらには各メーカーが保有する水準の生産設備や技術者の確保が必要とされる。つまり偽造の前段階として必要となる設計図面を盗むためのサーバーへの不正侵入行為から、製造工程、そして最終的な流通までを事前に計画する必要があり、自ずと大規模な犯罪集団の関与であることが見えてくる。
カード会社がセキュリティのガイドライン示す
まだ後追いの対処策しかないのが実情
■犯罪情報をデータベース化
では、犯罪対策はどうなっているのだろうか。 クレジットカード大手、ビザカードとマスターカードの両社は、大手流通業者に関して一定水準以上のセキュリティシステムの装備を義務づけた。両社は提携する大手販売流通業者に対し、独自に定めたガイドライン「Payment Card Industry(PCI)DataSecurity Standard」に対応することを求めている。このガイドラインは、カード利用者の個人情報の漏えいを防ぐ目的で制定され、遵守しない小売店には罰金などの制裁措置を行うという。
フィッシング詐欺などの台頭はネット上での犯罪を心配すべき企業が小売業者だけではなくなったこと示しており、金融機関も何らかの措置をとらねば、被害が甚大になると予測されることに基づく対策である。米連邦取引委員会(FTC)は、04年中のネット犯罪の被害額は500億ドル以上という調査結果を発表している。
ネット犯罪情報のデータベース化も着手され始めた。APWGでは、同グループが蓄積してきたフィッシング詐欺に関する情報をデータベース化することで、加盟する企業やそこで働く研究者たちが情報の共有や分析を共同作業を行うことを目指すという。またFTCは、すでに01年の段階でインターネット上で行われる各種犯罪の情報交換が可能なサイトを開設している。この「econsumer.gov」は、一般のインターネットユーザーが利用できる苦情相談窓口サイトで、認証された関係者向けの非公開サイト(URL非公開)と並行して運用されている。発足当社は12か国と提携していたが、現在その数は20か国以上となり今後も増える見込みだ。サイトを管轄するFTCは、インターネット経由で寄せられたレポートを管理・分類し、非公開のサイトにアクセスする関係者による分析や調査を行ったうえで、犯罪者の追跡や犯罪の防止などに役立てるとしている
しかし、残念ながらいずれの機関からも現在までに具体的な抑止策や対抗策は生まれておらず、当分の間は犯罪に対して後追いの対処策しか選択肢がないのが実状である。各ユーザーの自己防衛が最も有効な対策という状況は、まだしばらく続くとみられる。
大掛かりな組織犯罪に対抗するセキュリティはどこまで進んでいるのか
主流は東欧圏発祥のフィッシィング詐欺国の貧富の差がネット犯罪の温床に
■暗号化をくぐりぬける偽装メール
インターネットが生活のなかに入り込むとともに、このインフラを悪用しようとする者も数多く現れてきた。かつては悪質ないたずらとして、悪意ある開発者によるウイルス配布などが主なトラブルだったが、最近では金銭の詐取を目的とするケースが多くなってきた。
また、犯罪のプロ集団による組織的な犯罪が目立ってきている。犯罪が組織的になったことで、従来のような個人レベルの詐欺行為とは比較にならないほど、被害金額も莫大なものになってきている。そしてこの傾向は、オンラインショッピングの普及などにより、市民がインターネットと深くかかわるようになったことと大きく関係している。
オンラインショッピングが普及するに従い、代金決済をクレジットカードで行うことは日常的な行為となった。特に通信販売が普及している米国ではこの傾向はさらに強く、クレジットカードは日本やアジア諸国では想像もつかないほど重要視されている。極端にいえば、高額品を現金で買うのは“うさん臭い奴”と見られるほどだ。
このようにカード重視の社会だから、悪意をもつ者が何らかの手段を使って第三者のクレジットカード情報を入手し、それを悪用すれば容易に金銭が盗まれてしまうという懸念は、オンラインショップの草創期から指摘されていた。その対応策として、情報の暗号化などの技術が磨かれ、SSLなどの技術はオンラインショップが出現した当初から普及している。
しかし、消費者がショップとやりとりする過程で決済情報を不正入手するのは困難であっても、何らかの手段でカード情報を入手することはできないかと考える者がいた。彼らが思いついたのが、偽装メールである。そして現在では、フィッシング詐欺と呼ばれる偽装メールでのカード情報の詐取が犯罪の主流を占めてきている。
さらに現実社会と同様に、さまざまな犯罪行為がインターネット上のバーチャル社会でも出現してきており、その内容は複雑で高度化しつつあるのが特徴だ。
■ネット犯罪は低コストで安全!?
前述したように、フィッシング詐欺は現在のインターネット犯罪の主流を占めるまでになってきた。そして初期のフィッシング詐欺が、スパムメールと同じように同一内容のメールを送り付けるケースが多かったのに対し、最近では、事前の不正侵入により、ユーザーのメールアドレスやパスワードといった情報を入手したうえで、それを利用して個別にカスタマイズされたフィッシング・メールを作成し、詐欺行為を働くケースが目立つという。犯罪行為の効率化と省力化が進んでいることの現れだ。
APWG(Anti─Phishing Working Group)も「当初、フィッシング詐欺に手を染めているのはアマチュアだとみられていたが、現在は高度に組織的に行われている形跡がある」とコメントしている。そしてそのフィッシング詐欺に代表されるインターネット上での不法行為は、犯罪者側から見た場合には低コストで危険の少ない魅力的な手法であることが認知されてきているという。またインターネット上での行為には国境や距離的・地理的な制限がなく、犯人の逃亡が容易ということも犯罪の多発に拍車をかけている。
さらに2つの要因が、インターネット上の組織犯罪の増加を助長しているようだ。まず1つは、重要情報を盗んで売ることがダイレクトに現金収入と結びつく点だ。発展途上国や貧困な国の優秀なプログラマが組織犯罪に引き寄せられることは自然な成り行きであり、インターネット上の犯罪といえども国家間の賃金格差などが犯罪を招いている現状は、実際の社会構造と変わりがない。もう1つとして、犯罪組織の主要な資金源である、違法売買の隠れ蓑としての利用などが指摘されている。犯罪行為で得た利益は、オンラインバンク間での資金移動やブックメーカー(賭の胴元)サイトへの賭金、さらにはオークションサイトでの偽装購入など多方面への展開が可能であり、これらを経由することで闇資金を容易に洗浄(マネーロンダリング)することが可能である。
これらの要因が犯罪者の組織化を助長し、またすでに存在する犯罪組織がインターネット上に資金源を求めるという事件も急速に増加させているといわれる。巨大な犯罪組織は資金に余力があるため、技術レベルの向上が可能であり、最近ではスパム送信用のボット・ネットワークの貸し出しさえ行われているそうだ。
■組織でなければ成し得ない犯罪
過去の摘発事例を見ていると、それらが東欧につながるケースが特に多いのも特徴だ。2004年5月、英国で摘発されたフィッシング詐欺犯グループは全員がロシア語圏内の出身であったという。以前からロシアには盗難クレジットカード番号売買の巨大な闇市場があると噂されている。最近ではこれらのフィッシング詐欺グループが日本への上陸を狙ってきており、クレジットカード大手であるVISAインターナショナル社は、「わが社の中央ヨーロッパリミテッドを通じ、ルーマニアの該当のISPに調査を依頼した。その結果判明したのは、フィッシング詐欺犯はルーマニアのISPにダイアルアップで接続し、ISPを経由してルーマニア国内のサーバーに接続していた。このサーバーは個人宅に設置されていた可能性が高いが、わが社は所在までは追跡できていない」と述べている。このほか、オランダやルーマニア、ウクライナなどでもフィッシング詐欺の摘発事例が見られる。
インターネット上での犯罪のもう1つの大きな柱に、「グレイマーケット・ブラックマーケット」という分野がある。これは、希少動物や輸出入の禁制品、麻薬等の違法薬物や、最近では偽ブランド品や、人体の臓器まで非常に広範囲におよぶ。03年11月には、FBIが大規模な捜査を行い、インターネット上での詐欺行為や各種ソフトの違法コピー、グレーマーケットへの盗品の出品などに関して、125人以上の逮捕者を出した。通常、グレーマーケットとは、商品そのものは違法ではないが、複雑な流通機構の隙を狙った不法なルートでの取引を意味し、ブラックマーケットとは取引される商品そのものが不法であるケースを指す。しかしながら近代社会においては、同じ商品であっても異なる国家間では関係する法律により、A国では合法であってもB国では不法となることも多い。このため現在ではこの種の取引は、一様にグレーマーケットと呼ぶことが多い。もちろん、各国の家電や通信機器に関する法律は多岐にわたって細かな違いがあるため、米国向けの商品を他国に輸出するようなケースであっても、その国の法律に抵触する可能性もある。
また、ある日本のスポーツ用品大手メーカーは、ニセブランド品に関する注意書きを自社WEBサイト内に掲載している。同社のバトミントンラケットやテニスラケット、もしくはゴルフクラブなどがインターネット上で大量に安価に販売されていることからこの偽造が発覚したという。同社広報によれば、現在確認されているものは、子細に観察すれば真贋を見極めるのはさほど困難ではないという。しかし、なかには製品を破壊しなければ真贋が分からないほど精巧なものも見られるそうだ。これほど精巧な偽製品を製作するには、正確な設計図面情報が不可欠であり、さらには各メーカーが保有する水準の生産設備や技術者の確保が必要とされる。つまり偽造の前段階として必要となる設計図面を盗むためのサーバーへの不正侵入行為から、製造工程、そして最終的な流通までを事前に計画する必要があり、自ずと大規模な犯罪集団の関与であることが見えてくる。
カード会社がセキュリティのガイドライン示す
まだ後追いの対処策しかないのが実情
■犯罪情報をデータベース化
では、犯罪対策はどうなっているのだろうか。 クレジットカード大手、ビザカードとマスターカードの両社は、大手流通業者に関して一定水準以上のセキュリティシステムの装備を義務づけた。両社は提携する大手販売流通業者に対し、独自に定めたガイドライン「Payment Card Industry(PCI)DataSecurity Standard」に対応することを求めている。このガイドラインは、カード利用者の個人情報の漏えいを防ぐ目的で制定され、遵守しない小売店には罰金などの制裁措置を行うという。
フィッシング詐欺などの台頭はネット上での犯罪を心配すべき企業が小売業者だけではなくなったこと示しており、金融機関も何らかの措置をとらねば、被害が甚大になると予測されることに基づく対策である。米連邦取引委員会(FTC)は、04年中のネット犯罪の被害額は500億ドル以上という調査結果を発表している。
ネット犯罪情報のデータベース化も着手され始めた。APWGでは、同グループが蓄積してきたフィッシング詐欺に関する情報をデータベース化することで、加盟する企業やそこで働く研究者たちが情報の共有や分析を共同作業を行うことを目指すという。またFTCは、すでに01年の段階でインターネット上で行われる各種犯罪の情報交換が可能なサイトを開設している。この「econsumer.gov」は、一般のインターネットユーザーが利用できる苦情相談窓口サイトで、認証された関係者向けの非公開サイト(URL非公開)と並行して運用されている。発足当社は12か国と提携していたが、現在その数は20か国以上となり今後も増える見込みだ。サイトを管轄するFTCは、インターネット経由で寄せられたレポートを管理・分類し、非公開のサイトにアクセスする関係者による分析や調査を行ったうえで、犯罪者の追跡や犯罪の防止などに役立てるとしている
しかし、残念ながらいずれの機関からも現在までに具体的な抑止策や対抗策は生まれておらず、当分の間は犯罪に対して後追いの対処策しか選択肢がないのが実状である。各ユーザーの自己防衛が最も有効な対策という状況は、まだしばらく続くとみられる。
インターネット網の発展と軌を一にして犯罪行為が多発し、大きな社会問題となっていることは周知の通りだ。これまでにもウイルスの流布やサーバーへのハッキングなど、不法な行為が数多く報告されてきた。しかし近年は犯罪の質が変貌している。金銭の詐取をもくろむような犯罪行為が主流になってきており、従来のような自己顕示欲を満たすとか愉快犯といったレベルを超え、高い技術力を有した本格的な犯罪集団へと移行しているのが実情だ。“ネット犯罪先進国”アメリカで現実に起きている犯罪の様子から、あるべきセキュリティ対策の糸口を探る。(田中秀憲(ジャーナリスト)●取材/文)
続きは「週刊BCN+会員」のみ
ご覧になれます。
(登録無料:所要時間1分程度)
新規会員登録はこちら(登録無料) ログイン会員特典
- 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
- メールマガジンを毎日配信(土日祝をのぞく)
- イベント・セミナー情報の告知が可能(登録および更新)
SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。 - 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!…etc…
- 1
