官公庁や企業サイトの不正書き換え、コンピューターウイルスのまん延、相次ぐ個人情報漏えいなど、数年前はIT関連のセキュリティ被害がテレビや新聞紙上をにぎわした。当時と比べると、セキュリティ被害は沈静化しているように見える。しかし、実はそうではない。多くの事件は水面下で起こり、以前のように大きな話題にならなくなっただけだ。そこで今回は、セキュリティ事情に詳しい東京電機大学情報メディア学科長の佐々木良一教授に、最新のセキュリティ事情やユーザーが取るべき対策を聞いた。
■最新事情を教えてください。
セキュリティを脅かす行為は、以前は愉快犯が不特定多数を相手に行っていました。しかし最近は、犯罪のプロがお金目当てに手を染めるケースが多く、脅威が増しています。情報処理技術を使った不正と、犯罪者の知恵を悪用した不正の“合体系”が増えています。
典型はフィッシング詐欺。金融などの公的機関を装って個人情報を詐取する手口です。偽メールを使ってWebページへ誘導する手口と、Webに施した細工は、犯罪特有の“だましのテクニック”と技術を使った合体系と考えられます。
サイト上のリンクやボタンをクリックするだけで、料金請求の画面を表示するワンクリック詐欺も、犯罪のプロの手口です。だましの手口だと分かっている専門家がアクセスしても、料金請求の画面を見るとドキッとするくらい“うまく”できています。請求されるのは、少し無理をすれば払える金額ですし、恥ずかしくてお金を払ったことを黙っている人もいます。水面下での被害は増え続けていることでしょう。そもそも、こういったサイトが存在し、増え続けるのは、だまされてお金を支払う人が多いからです。
海外では、「フィッシングは麻薬と同等の生産性」と言われるなど、犯罪の温床、犯罪組織の大きな資金源になっています。ユーザーの自己防衛に頼るだけでなく、被害をきちんと立件していくべきです。
ユーザーの行動や個人情報を収集するスパイウエアで、新しい傾向が見られます。インターネットゲームの世界でパスワードを盗んだり、ロボット型ソフトを使って激しく攻撃したり、担当者自身が不正行為で現金を得たりしているのです。
ネット上で知り合いの輪を広げるSNSのようなコミュニティサイトも要注意。過去に蓄積された悪のノウハウが、信頼関係を基盤としたソーシャル的なものと結び付き、効率良く大量に、工業的にだます手口が出てくる危険性があります。
企業に対しては、一太郎のぜい弱性を突き、官公庁を狙い撃ちした事件のような、特定の相手を想定した一点突破型の攻撃が広がるでしょう。OJT(on the job training)を中心とするセキュリティ教育が定着した結果、大企業のセキュリティ対策は着実に前進しました。しかし大企業でも、周到な準備の下で狙われた場合に耐えるのは難しいでしょう。中堅・中小企業を含めて、潜在的には非常に不安な状況と言えるかもしれません。
