企業の情報漏えいの責任

　坂明氏が理事をつとめる日本サイバー犯罪対策センター（JC3）は、米国のNCFTA（National Cyber-Forensics and Training Alliance）をモデルに2014年に作られた組織だ。産学官、特に法執行機関である警察も加わり、それぞれが協力し合いながらサイバー空間の実態を把握し、さまざまな脅威に対応していくために設立された。

　サイバー空間の脅威には、ハクティビズムや内部犯行、情報窃取、テロリズム、戦争といった多様な形態がある。一口に脅威と言っても、ハクティビズムのように自分の主義・主張をアピールするために反対派を攻撃するものから、民間企業を狙った内部犯行や情報窃取、テロリズムや戦争のように組織・国家ぐるみで他国の重要インフラを攻撃するものまで幅広い。

　坂氏は、「企業や組織が情報を窃取されたり、DDoS攻撃でサービスを停止される攻撃を受けた場合、本来であれば被害者の立場ではありますが、情報保全や信用という観点から、情報・サービスにおける自社の責任も問われることになります」と注意を促す。

　仮に、自社に情報漏えいがあった場合、関係各社をはじめ自社サービスの利用者に対し説明責任を果たす必要が出てくるだろう。それが不十分であれば、信頼を失うことにもつながりかねない。このように、企業にとってサイバー攻撃の被害は計り知れない。いかに、対策を講じれば良いのだろうか。

サイバー攻撃の最新動向

　具体的な対策を検討する上で、攻撃者の動向を把握しておくことが重要になるだろう。

　ここ数年の傾向としては、経済的な利益を狙ったサイバー犯罪が増加傾向にある。特に、最近話題となった金融機関を狙った不正送金事案にしても、ランサムウェアやビジネスメール詐欺（BEC）にしても、経済的損失を伴う攻撃が増えているようだ。

　こうした犯罪は、さまざまな人間や組織が協力し合いながら遂行されており、すでにサイバー犯罪はビジネス化され、ある種の分担とともにエコシステムができあがっているという。

「実際にサイバー犯罪や不正アクセスの検挙数は年々増えています。ネットバンキングに関連する不正送金は、5年前にマルウェア被害でピークになりましたが、金融機関のセキュリティ対策により、被害が減少していました。ところが昨年2019年9月以降、再び被害が急増しており、11月には月別ではこれまでで最悪の被害になってしまったのです」（坂氏）


　攻撃者側も研究を重ねており、2段階認証やワンタイムパスワードの窃取など、これまでの対策をすべて突破している状況だ。特にフィッシング詐欺が巧妙化していることが、被害急増の大きな原因になっているという。

「たとえば、だましやすくURLを表示させたり、判別が難しいほど本家サイトに酷似したWebも登場しています。さらに実際のメールのやりとりや文書を利用し、関連先に感染を拡大させるEmotet（エモテット）も蔓延しています。まさにサイバー犯罪は、攻撃と対策のイタチごっこの状況なのです」（坂氏）


　クレジットカードの不正利用の被害額も、過去最悪だった20年前の水準に戻ってしまっている。かつては偽造カードが問題になったが、いまはインターネットを通じたカード番号の盗用による被害がほとんどを占めているそうだ。


【次ページ】キャッシュレス普及で急増した犯罪とは