Contents Start

特集 2| 情報セキュリティ技術のゆくえ 盗まれたデータの行方
〜サイバー犯罪者に狙われるのは誰?

Contributed by 江添佳代子

Profile
江添佳代子

フリーライター、翻訳者。英国のITメディア『The Register』のセキュリティニュースを過去に約800本翻訳。
2016年、文春新書『闇(ダーク)ウェブ』の執筆に携わる。
株式会社スプラウトのオンラインメディア『The ZERO/ONE』では、主に北米圏・欧州圏のセキュリティニュースを担当している。

セキュリティの話題は経営者から疎まれやすい。それは少しもワクワクしない、何の独創性もない、まったく利益を生み出さない退屈な問題として受け止められがちだ。さらにセキュリティの強化と業務上の利便性が相反する場面もあるため、できるだけ後回しにしたいと考える人は多いだろう。

それでも現在では、インターネットを利用する全ての組織にセキュリティ対策が必要とされている。それは決して避けることのできない、自賠責保険のようなものと解釈されるようになってきた。ベネッセや日本年金機構の情報漏洩事件、そして先日のランサムウェア騒動などのニュースを見て、他人事ではないと感じた企業もあるはずだ。

しかし「我が社はハッカーに狙われるような業種ではない」「アンチウイルスソフトを使っていれば、それほど酷いことにはならない」と楽観視したがる日本の企業はいまだに多い。テレビや新聞で報じられるセキュリティ事件が派手な話に偏りがちであるためか、「サイバー犯罪者は(主に海外の)大企業を狙うもの」と誤解している人々もいる。そこで本稿では「そもそもなぜ企業がセキュリティ侵害を受けるのか?」という根本的なところから考えなおしてみたい。

1.盗まれたデータはどこへ?

まずは情報漏洩について考えてみよう。セキュリティ侵害による顧客情報の流出は日本でも日常的に発生しており、被害の規模によってはメディアで大きく報じられる事件となっている。しかし「なぜ個人情報が狙われるのか」「盗まれた情報がどのように悪用されるのか」を考察する機会が少ないため、どこか他人事のように感じてしまいがちだ。

犯罪者が狙うデータにはトレンドがある。それは「販売の際、どのようなデータに高値がつくのか」に左右される。インターネットには、誰がアクセスしているのか追跡できない多重の暗号化の層で守られた空間(=ダークウェブ)があり、その闇市場で個人情報を売買しているブローカーたちは、少しでも高値で販売できるデータを求めている。

たとえば一昔前の闇市場では、金融データ(クレジットカードの番号など)の情報が一件あたり数千円で売買されていたが、その相場も昨今では一件あたり百円〜千数百円程度まで下落した。ただし「VISAなど汎用性のあるクレジットカードで、高い上限額が設定されているアカウントの番号だけを集めたリスト」は、いまでも比較的高価な商品となっている。

顔の見えない犯罪者同士で売買されるデータが、それほど丁寧に商品化されていることに驚く方もいるかもしれない。しかし闇業者の多くは非常に商売熱心で、なおかつ犯罪者同士の「安心取引」を願っているので、バイヤーの信頼を得るために何らかの保証をつけるブローカーもいる。たとえば販売したばかりのクレジットカードのデータが使い物にならなかった場合──つまり闇市場で購入したカード番号を実際に使用した人物から、「決済に利用できなかった」とクレームがついた場合──その件数に応じて、新たなデータを無償で提供するような輩もいる。

2.どのような企業が狙われるのか

犯罪者たちは、顧客のカード番号以外にも様々なデータを狙う。特に気をつけてほしいものの一つが、顧客や社員のヘルスケアデータだ。病歴や持病、健康保険などに関するデータは数年前からかなりの高値で取引されている。個人の健康に関するセンシティブな情報は驚くほど用途が広く(紙面の都合上、それがどのように利用されるのかは割愛する)、グレーゾーンで商売を行っているマーケティング業者にとっても、また標的型のサイバー攻撃を行う組織的な犯罪者にとっても利用価値が高いので、これらのデータを管理する企業は狙われやすくなっている。

また米国では、SSN番号(すべての国民に割り当てられている社会保障番号)を含む個人データの値が吊り上がる傾向がある。日本でそれに該当するのはマイナンバーだろう。こちらも特別、取り扱いに気を配りたいものの一つだ。マイナンバーは「データを一意的に管理できる、唯一無二の貴重なID情報」となる。

ブローカーは、必ずしも盗んだデータをそのまま販売するとは限らない。A社から流出した顧客のクレジットカード情報、B社から流出した顧客のメールアドレス、C社から流出した顧客の生年月日や住所、D社から流出した顧客の医療情報など、どんどん新たな情報を補完して「詳細なフルセットの個人情報の名簿」を作成し、販売する業者もいる。そのため、あまり使い道のなさそうな顧客情報でも、彼らにとっては個人データの価値を上げる材料となってしまう。

一例を挙げると、「無料のゲームなどのWEBサービスで利用されているメールアドレスとパスワードの組み合わせ」は大した価値のないデータに見えるので、それらの漏洩事件は軽視されやすい。しかし一つのパスワードを複数のサービスで使い回しているユーザーの数は非常に多いため、「流出したメールアドレスとパスワードの組み合わせ」はさまざまなサービスで試すことができる。すでにブローカーが所持している「個人情報」に、漏洩した数パターンのパスワードが紐付けられた場合、どのような被害が生まれるのかはご想像のとおりだ。

それならば顧客の個人情報をまったく保管していない企業は、データを盗まれる心配もないのだろうか? 決してそうとは言えない。ここまでは主に、個人情報を売買するブローカーについて説明してきたが、企業の情報を襲う犯罪者の目的は様々だ。特定の業種の社員情報を狙う者、企業の知財となる情報を狙う者、特定の企業におけるメールのやりとりを傍受する者、さらに「最終目的の組織を攻撃する踏み台」に利用できる情報として、その取引先の中小企業のデータを狙う者などがいる。闇市場では、それらのあらゆるデータが販売物となる。

さらにサイバー攻撃は「盗んだデータを販売する」以外にも、様々な方法で金銭的な利益を生み出すことができる。その一つが、先日も話題となったランサムウェアだ。皆様もご存じのとおり、ランサムウェアは侵入先から情報を盗むことを意図していない。ただ感染先の端末のデータをロックして、『元に戻したければ金を払え』と身代金を要求する手口なので、犯罪者にとっては非常にお手軽である。

ランサムウェアの使い手は、ターゲット(攻撃先となる企業や盗むデータ)について考える必要がなく、盗んだデータをわざわざ転売する必要もなく、直接的に金を脅し取る。つまり相手が個人のゲーマーであろうと、アパレル企業であろうと整備工場であろうと、あるいは数十万人の市民にインフラを提供している第三セクターであろうと、一様に「あなたの大事なデータは人質に取られました。返してほしければビットコインを振り込みなさい」と脅迫することが可能となる。

3.企業にできること

もちろん企業は、自社がセキュリティ侵害を受けないように対策をとるべきなのだが、昨今ではそれが非常に難しいことになっている。もしも日常業務でインターネットを利用している企業が、手練れのサイバー犯罪者から攻撃の標的にされたなら、「企業の端末を一台もマルウェアに感染させないこと」はほとんど不可能だからだ。

たとえば昨今の標的型メール攻撃に対しては、「知らない人から届いた怪しいメールは開かないようにしましょう」「アンチウイルスソフトを最新の状態にしましょう」などといった一世代前の注意喚起が役に立たないどころか、かえって逆効果にもなりかねない。「どんなに社員のセキュリティ意識を高めようと、どれほど細心まで気を配っていようと、感染するときは感染してしまう」ということを前提として考え、それでも被害を出さないためのデータ管理を行う抜本的な対策が求められている。

具体的には何をすればいいのか? 本来なら、各企業にセキュリティ対策の専門家を配置することが望ましい。単にネットワークの知識に長けた人材ではなく、「データ管理における最新のベストプラクティスの導入」「データ漏洩を技術的な手法で防ぐことのできる出口対策」「感染時における対応の流れ」を含めて全体を見通すことができる、ある程度の決定権を持った人物がいれば頼もしい。

しかし中小企業を含めた全ての組織が、そのような人材を確保することはできない。なにしろセキュリティ専門家の圧倒的な不足は「世界共通の慢性的な問題」となっており、多くの国の政府が人材育成のために様々な政策を打ち立てているものの、状況はかなり悲惨である。現実的に考えるなら、ほとんどの企業は外部の専門企業の意見を取り入れるしかないだろう。その際、特に何を重視すればいいのか? まずは普段のデータ管理から見直すこと。そして企業がセキュリティ侵害を受けたときに何よりも重要なのは「すぐ被害に気づくこと」と、「すぐに適切な対応をとること」だ。

企業のデータ漏洩事件の被害者となった顧客は、自分のカード情報が盗まれたことを知った場合、すぐにカードの再発行を依頼するだろう。犯罪者たちは、それよりも早くデータを売り抜こうと試みている。もしもデータ侵害を受けた企業が異変に気づかなかった場合、あるいは侵害に気づいても何から始めていいのか分からず、「真の被害者」である顧客への報告を先延ばしにした場合、ブローカーたちは鮮度のいい情報を、美味しいうちに闇のバイヤーへ届けてしまう。それによって顧客が損害を受ければ、データを漏洩した企業はさらなる非難を受けることになるばかりか、「顧客のデータを故意に危険に晒した」として集団訴訟を起こされる可能性も上がる。

あまり楽しくはない話題だが、ここでいったん「セキュリティ侵害の被害額」について考えてみよう。IBMセキュリティは2016年、「2016 Cost of Data Breach Study: Global Analysis」を発表した。これは12カ国の企業を対象として、世界のデータ侵害事件を分析した調査報告だ。その資料によれば、2016年の日本のデータ侵害事件による総損失額の平均は330万ドル(約3億3000万円)だった。ちなみに、ここにはメガブリーチと呼ばれるような規模のデータ侵害(たとえばソニーエンターテインメント事件のような)は含まれていない。同社はあくまでも、多くの組織に有益な情報を提供する目的で調査を行っているため、「ほとんどの企業が経験しない規模の事件」は分析の対象から外している。

4.最後に「ちょっと明るい話題」

ここまで読んだところで、すっかり陰鬱な気分になってしまった経営者の方もいるだろう。しかし強固なセキュリティの導入は、職場から不安を取り除くだけでなく、「顧客に安心感を与えるサービス」を提供することにもなる。また非常にレアなケースではあるが、マルウェア感染の被害を通してセキュリティ対策の強化を行ったことにより、思わぬビジネスチャンスを掴んだ組織もある。

米国のストックカーレースNASCARのチーム「CSLFR」は2016年、レース直前のタイミングでランサムウェアに感染した。彼らは犯人の要求に応じて身代金を支払い、どうにかデータを取り戻した。ここまでは決して自慢できるような話ではない。しかし前向きな彼らは、今後のセキュリティ対策を強化するべく、セキュリティ企業のMalwarebytes社に協力を求めた。

この協力を通してCSLFRと親睦を深めたMalwarebytesは、同チームのメインスポンサーに名乗りをあげた。かくしてCSLFRのレースカーには、大きなMalwarebytesのロゴが掲げられることとなった。どちらかといえばサイバーセキュリティとは疎遠な世界にも感じられるストックカーレース業界で、「ランサムウェアに感染したチーム」と「現在、そのチームを保護しているスポンサー」の話題は珍しいニュースとして注目され、両者は共に知名度を上げた。それは一般のレースファンに「ランサムウェアの恐怖を伝えた」という意味でも意義深いことだったと言えるだろう。

はっきり言えばセキュリティは面倒くさい。それでも避けられないのだから、鬱陶しいと感じるのは当然だ。しかし「安全な環境だからこそ提供できるサービス」を売りにするなど、システムの強化を通して人々に何かを訴えかけるような強気の発想があれば、セキュリティは「マイナスを防ぐだけのもの」から「プラスを生み出すもの」に変えることができるのかもしれない。