サイバー犯罪に対抗する輪が拡大

2010.04.28

McAfee Avert Labs Blog
「Cooperation Grows in Fight Against Cybercrime」より
March 29，2010　Posted by Francois Paget

　欧州会議（CE）は2010年3月23～25日、フランスのストラスブールでカンファレンス「Octopus Interface Conference 2010」を開催した。カンファレンスには全世界の政府組織や取り締まり当局、国際機関、インターネット関連企業から300人以上の専門家が出席し、「サイバー犯罪に対する共闘」をテーマに意見交換した。

　初日に行われたオープニング・セッションでは、CEの副事務局長であるMaud de Boer Buquicchio氏が「人権と法律に関する国際的な原則は、オフライン環境と同じくオンライン環境にも提供されなければならない」ことを参加者に気付かせてくれた。こうして、今やインターネットにアクセスできること自体が基本的権利の一つとみなされるようになってきた。ただし、インターネットという新たな舞台ではサイバー犯罪が大きな問題になり、人権やアクセス権を脅かしている。セキュリティ確保や権利保護は、公共機関および民間組織の両方が果たすべき責務だ。サイバー犯罪と戦っている国々によるパネルディスカッションが行われた後で、Alexander Seger氏がサイバー犯罪に関するブダペスト条約について述べた。現在インターネットは、世界100カ国以上で利用されている。ブダペスト条約はインターネットやその他コンピュータネットワークで行われる犯罪を対象とする初めての国際的な条約であり、特に著作権の侵害、コンピュータを使った詐欺、児童ポルノ、ネットワーク・セキュリティの侵害を対象とする。

　Seger氏は「ブダペスト条約が世界中で実施されれば、既に多くの国々で始まっている法律の見直しを加速できる」とした。国家は条約のポリシーを受け入れ、条文を実現するために国際的に協力していく必要がある。条約を基本的な共通の枠組みとみなす合意形成が進めば、人材の流通が盛んになり、公共機関と民間組織が協力するようになる。アゼルバイジャンとモンテネグロ、ポルトガルがブダペスト条約を批准済みであることを受け、カンファレンス中にアルゼンチンなどが関心を示したと紹介された。

　筆者は初日の午後、取り締まり当局の責任がテーマのワークショップに参加した。様々な国の警察がそれぞれの活動をプレゼンテーションし、サイバー犯罪を取り締まるための各国の法律について討議した。ワークショップ参加者の多くがこのテーマを取り上げていたことが面白かった。ルーマニアの国家警察（PDF文書）は2009年に102件の犯罪を起訴したが、違法行為は合計766件あり、起訴人数は482人、逮捕者数は289人に上った。ルーマニアで実行されたIT詐欺とフィッシング攻撃の80％は米国市民を狙ったもので、クレジットカード詐欺（スキミング）の80％が西欧市民を標的にしていた。トルコでは、組織犯罪対策局（KOM、PDF文書）が2009年に2871人を逮捕した。

　ただし、ここで紹介した犯罪件数は実際に行われた詐欺の氷山の一角に過ぎない。サイバー犯罪でだまされても訴える人は少ない。詐欺に遭ったとの訴えを顧客から受けた銀行は、保険会社との契約に基づいて被害額を補償する。銀行は懐を痛めないし、被害者の損害はゼロになる。保険会社は、保険金を支払ってもほとんど利益に響かない。つまり、取り締まり当局に事件を知らせる必要などないのだ。

　このワークショップの後半では米連邦捜査局（FBI）と英国の捜査機関、SOCA（PDF文書）がプレゼンテーションを行い、取り締まり当局と国際的なドメイン管理団体ICANNの実現すべき項目3件を挙げた。

（1）当然払うべき注意：ICANNはドメイン名を取り扱うレジストラとレジストリを精査し、国際的なデータベースを調べて確実に実在する組織であるかどうか突き止めておく必要がある。レジストラはドメイン名の登録データを、申請時だけでなく定期的に検証する必要がある

（2）WHOIS：正しいデータの登録されたWHOISデータベースを公開する必要がある。ドメイン名の代理/秘密登録が行えるのは、非商用目的の個人だけに制限しなければならない。何らかのサービスを提供する企業の登録は、ICANNの許可を受けるようにする

（3）透明性と説明責任：ドメイン名を扱う再販業者とその他すべての受益者は、レジストラと同じ規約/条件を守らなければならない。ICANNはレジストラとレジストリ、代理サービス、再販業者のほか、ICANNの契約やポリシーで利益を得るあらゆる関係者に、例外なく所有権、親会社と子会社、提携企業の情報を開示させる

　筆者が2日目に出た、ネットワークと活動を地域的に分析するワークショップでは、サイバー犯罪と戦う様々な組織が自分たちの目標と取り組みについて発表した。こうした取り組みとして、インターネット上の違法コンテンツ（児童の性的虐待画像、過激な暴力、人種差別/外国人排斥、獣姦、ヘイト/外国人排斥サイト、ポルノ）に情報共有で対抗するINHOPE（PDF文書）がある。INHOPEの作った以下の地図は、違法コンテンツを「拒否」している国を緑色に塗っている。これを見ると、目標達成までの道のりはまだまだ長いことがわかる。

　その次はサイバー犯罪対策技術のワークショップで、筆者は二つの話題に興味を抱いた。1件目はインドの状況（PDF文書）で、同国では実行されたサイバー犯罪全体のうち約10％しか報告されず、有罪判決に至るのは2％未満にとどまるという。それにもかかわらず、3000万件以上が公判待ちの状態にある。また毎月700万台の携帯電話機が販売されているが、こうした大量の端末を追跡する仕組みが存在しない。その結果、テロリストは何の心配もなく携帯電話機を使える。

　2件目は、筆者の同僚である、米マカフィーの欧州/中東/アフリカ担当セキュリティ戦略ディレクタのGreg Day氏が行った講演（PDF文書）だ。Day氏はITセキュリティ業界の情報共有と知識伝達を推進する様々な取り組みを紹介した。ここで取り上げたのは、マカフィーが世界各地の警察向けに用意しているトレーニング・セッションや直通電話窓口のほか、「Industry Connections Security Group（ICSG）」活動である。この活動は、ITセキュリティ関連の組織が集まり、共通の目標と業界の問題解決を目指して進めている。Day氏によると、サイバー犯罪者はスケールメリットを大きくするためにアンダーグラウンド経済圏を利用し、専用のツールやサービスを使っている（関連記事：悪質なツールが流通するアンダーグラウンド経済圏）。これに対しセキュリティ業界の企業などは、脅威との孤独な戦いを強いられてきた。この問題を解消するため、セキュリティ専門家が米国電気電子学会（IEEE）内の標準策定を担当する組織IEEE Standards Association（IEEE-SA）傘下でICSGを始めた。ICSGの参加者は、アンダーグラウンド経済圏で手際よく登場する新型マルウエアに対抗するのに役立つ経験や情報を共有していく（関連記事：マルウエア情報の標準化は可能か？）。

　筆者が出席した最後のワークショップは最終日の午前中に行われ、クラウドコンピューティングと、この新たな環境から取り締まり当局にもたらされる困難が議題だった。フランス政府のサイバー犯罪対策部門トップであるChristian Aghroum氏は、「インターネットクラウド」内のどこかに存在するデータとサービスが直面する脅威を解説した。同氏の講演は、3日間のカンファレンスを見事に締めくくった。インターネットに国境はないが、我々の活動は国家主権という概念に阻まれる。人権は世界中でよく認識されており、国際的な航海/航空権も尊重される場合がほとんどだ。ところが、インターネットは普遍的な権利が例外的に及ばない領域である。残念ながら、現在のブダペスト条約は「全世界の国々が漏れなく受け入れる」という状態までほど遠い。条約を批准する国が多くないため、警察が日々行っている捜査活動には犯罪者につけ込まれる穴が生じてしまう。例えばフランスのネオ・ナチ系Webサイトが米国でホスティングされていると、フランス政府がこのサイトを閉鎖できる可能性は小さい。また企業が外交上の問題である国から撤退しても、インターネットクラウドに保存したデータの安全は保証されない。場合によっては、クラウドコンピューティング対応サービスが始まると国内のセキュリティを維持できない可能性もある。1年か2年後には、全く国境のない「完全なクラウド」環境の影響で事態は悪化するだろう。早急にブダペスト条約ベースの国際法を作らないと、問題は確実に悪くなる。

　最後に、ナイジェリアからの参加者を紹介しよう。彼らはナイジェリアの著名歌手たちが作った「Maga No Need Pay!」（PDF文書）という詐欺警告ソングを披露してくれた（「Maga」はナイジェリア語で「詐欺被害者」なので、タイトルは「詐欺に遭っても金など払うな」という意味になる）。この歌は、ナイジェリアの人々に対して「詐欺で自分の生活を改善しようとするのは誤り」と啓もうし、そのほかの国々には「詐欺まみれになっているのはナイジェリアだけでない」と伝えている。

　サイバー犯罪には法律と技術で対抗するが、音楽でも戦えるのだ。

　Maga No Need Pay!のビデオはYouTubeで視聴できる。

Copyrights (C) 2010 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，マカフィーの許可を得て，米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Cooperation Grows in Fight Against Cybercrime」でお読みいただけます。