>>前回

 サイバー犯罪のターゲットは企業のWebサイトだけでなく、業務システムにも及んでいる。「サイバーエスピオナージュ」とも呼ばれるものだ。エスピオナージュとは英語で「スパイ行為」の意味。要するにネットワーク越しの産業スパイである。攻撃者は設計情報や事故報告書といった知的財産や、投資計画や開発計画などの経営情報を企業から盗み出す。

 米McAfeeが米Science Applications International(SAIC)と共同で実施した情報セキュリティに関する調査によると、サイバー犯罪者のターゲットは個人情報から大手グローバル企業の知的資産に移っているという。米国、英国、日本、中国、インド、ブラジル、中東の上級IT意思決定者1000人以上を対象にアンケートを実施したところ、企業の約25%が、データ侵害によって合併や新製品リリースを中止または延期したことがあると回答した。

 サイバーエスピオナージュが増加する背景には、サイバー犯罪者の顔ぶれが変化しつつあることがある(表1)。これまでのブラックハットハッカーやスクリプトキディだけでなく、ハクティビストやスパイハッカーと呼ばれるサイバー犯罪者が台頭しているのだ。

表1●米McAfeeによるハッカーの7分類
ホワイトハットハッカー良いハッカーで、企業の情報システムの安全を徹底するため、侵入テストなどの方法に精通したITセキュリティの専門家である。これらITセキュリティの専門家は、絶えず進化するテクノロジーを活用して、ブラックハットハッカーに対抗している
ブラックハットハッカー悪いハッカーで、一般的にはハッカーとだけ呼ばれる。この用語は通常、ネットワークやPCに侵入したり、ウイルスを作成したりするハッカーに対して使われる。ブラックハットハッカーは常に、技術的にホワイトハットハッカーを上回っており、多くの場合、人的ミスや怠慢による最も突破しやすい経路を見つけたり、これまでにない攻撃を仕掛けようとしたりする。ハッキングの純粋主義者はしばしば、ブラックハットハッカーを指す用語として「クラッカー」を使用する。一般的に、ブラックハットハッカーの動機は金銭を得ることだ
スクリプトキディ有名になることを目的に、プログラムを借用してネットワークを攻撃し、Webサイトを書き換えるブラックハットハッカーの蔑称
ハクティビスト政治的な信念や宗教的な動機で活動するハッカーのことを指す。不正行為を暴露したり、何らかの復讐を行ったり、気晴らしのためだけにターゲットに嫌がらせをしたりする者もハクティビストに入る
国家ハッカー世界中の政府が、軍事目的を達成するために、サイバー攻撃は有効であると認識している。かつては「海を制する者は世界を制す」「空を制するものは世界を制す」と言われてきたが、現在は、サイバースペースを制するものが世界を制す。市民、企業、政府をターゲットにする国家ハッカーには無限とも言える時間と資金がある
スパイハッカー競合会社に侵入し、企業秘密を盗み出すため、企業に雇われたハッカーだ。スパイとして活動するため、外部から侵入したり、就職したりすることがある。ハクティビストと同様の手口を用いる場合もあるが、クライアントの目的を果たし、金銭を得ることが、スパイハッカーの目的だ
サイバーテロリスト特定の宗教や政治的な信念を達成しようとして活動するこれらのハッカーは、重要インフラを破壊して、恐怖と混乱を引き起こそうとする。ハクティビストと似ているが、サイバーテロリストのスキルや目的は広範囲に及んでおり、暴力行為により社会や国民に心理的なダメージを与えるため、圧倒的に危険である。彼らの最終目的は、一般人を巻き込むことを厭わずに恐怖を広げ、社会に対し彼らの理念を訴えかけることだ

 フォティーンフォティ技術研究所の鵜飼裕司社長は「人を送り込むような産業スパイに比べると手間やコストがかからず、発覚時のリスクも小さいのではないか」と推測する。企業のIT化、インターネットの普及によって、費用対効果の高い産業スパイが生まれているのだ。

盗まれた情報の行き先は不明

 知財情報や経営情報を盗むサイバー犯罪では、データの行き先がよく分かっていない。「従来の産業スパイと同様、競合企業やそれを抱える政府機関に流れていると考えるのが妥当」(JPCERTコーディネーションセンターの真鍋敬士 理事 分析センター長)と推測できる程度である。

 つまり、一度流出した情報は追跡できない。仮に競合企業から盗まれた情報を使ったと思われる製品やサービスが発売されても、サイバー犯罪によって盗まれたと証明するのが極めて難しい。

 また、攻撃者が情報奪取に成功することでどの程度の報酬が得られるかも分かっていない。そのため“攻撃者側の費用対効果を考えながら、適切なレベルのセキュリティ対策を実施する”という考え方を適用しづらい。企業のシステム担当者としては、ひたすら守りを固めるしかない。