ここ最近,金融機関を狙うクラッカ(悪意のあるハッカー)の集団が急増している,というニュースをよく目にする。この11月に入ってからもComputerworld誌のオンライン版が「クラッキング・シンジケートが金融機関を脅かす(原題:Hacking syndicates threaten banking)」という記事を掲載していた。(掲載記事)
実はこうした一連の報道は,世界銀行が今年6月にまとめた調査レポート(注1)がきっかけとなっている。この調査レポートは,学術機関,民間の調査会社,各国の政府機関からの膨大なデータ・意見をもとに,金融機関が直面するセキュリティ問題について詳細にまとめたもの。そして,今,この調査レポートの著者たちやセキュリティの専門家などは,国際会議やセミナー,講演を通じてこうしたデータを示しながら業界に警告を発しているのである。
そこで今回は,この調査レポートを中心に,業界で懸念されている問題点やその対策について考えてみたい。
注1:世界銀行の調査レポート「Electronic Security: Risk Mitigation in Financial Transactions Public Policy Issues」。世界銀行の首席金融エコノミストであるThomas Glaessner氏,データ危機管理の専門家であるTom Kellermann氏,コロラド州政府の情報保護/プライバシ政策企画官であるValerie McNevin氏の3人が執筆した。世界銀行のWebサイトから全文(127ページ)をダウンロードできる。
■狙い打ちにされる金融機関
●図1 2001年におけるアジアの業界別クラッキング被害件数 ASP=Application Service Provider 出典:米Riptech社(関連記事) |
この調査レポートで明らかになったのは,金融機関に向けられたクラッキングの多さである。例えば,米国における昨年1年間のクラッキングでは,全体の57%が金融機関をターゲットとしたものとなっている。
また,図1は米Riptech社がまとめたアジアにおける業界別クラッキング被害件数だが,これを見ても金融機関の被害の多さが分かる。
■お手軽になった技術と電子化の普及が原因
●図2 米国金融機関における犯罪事件発生件数推移 出典:米Carnegie Mellon University |
これに関連して,金融機関に起こる犯罪事件の件数もここ数年で急増している。図2は米カーネギー・メロン大学がまとめた調査結果だが,これを見ると,97年から98年にかけて倍増した後,98年から異常な増え方をしているのが分かる。
その原因は技術が高度になったことにある,と世界銀行では分析している。また,そうした技術が手軽に利用できるようになったことがハイテク犯罪の温床を作り出したのだという。
「技術が高度になるほど,犯罪者のスキルは少なくてすむ。その昔,ハッキングには非常に高度なスキルが必要だった。しかし情報時代となった今では,クラッカのWebサイトが多くある。そして,そこではさまざまなツールが提供されている。こうしてあまりスキルのない人間でも容易にクラッキングに手を出せる状況になっている」(世銀レポート)
なお,このことについてはComputerworld誌も,別の記事で報告している。過去8カ月間でさまざまなクラッキング・ツールが登場しており,現在はクラッキングの“黄金時代”なのだという(掲載記事)
こうした犯罪行為が金融機関に多大な被害をもたらしている,という調査結果も出ている。例えば,米Red Herringが行った調査では,DoS(Denial of Service)攻撃による1時間当たりの被害額は,証券会社で650万ドル,信販会社で260万ドルになるとしている。また金融機関の電子化が進んでいることから,被害額は今後ますます増えていくようだ。連邦取引員会(FTC)の試算によれば,米国金融機関の被害額は毎年30%ずつ増大し,2005年には80億ドルを超えてしまうという。
■クラッカ集団の要求にやすやすと応じる
こうした傾向に拍車をかけるかのように,今,犯罪者側に有利な状況が生まれているという。クラッカ集団による恐喝事件が増えており,金融機関もそれにやすやすと応じているというのである。
その手口はいろいろあるのだが,もっとも単純なのは次のようなものである。まず犯人は企業のコンピュータに侵入し,何らかの情報を盗む。その後,犯人はその企業に連絡,「盗み出した情報をインターネットで公開する」と脅迫し,多額の金銭を要求するのだ。
犯人が盗み出す情報は,顧客口座の情報だったり,クレジット・カード情報,職員の名簿とさまざまである。ところが,犯人はもとより,金融機関にとっても,なんの情報が盗まれたかは,第1の関心事ではないようである。
つまり,金融機関ではそれが何であれ,お金を支払っているらしいのだ。金融機関にすれば,侵入されたという事実が表に出るだけで信用の失墜につながる。そのため侵入された事実はどうしても隠しておきたいというわけだ。犯人側はそこを突いて“口止め料”として多額の金銭を要求しているという。
この調査レポートの共同執筆者であるTom Kellermann氏は,このようなケースが急増していると説明した上で,次のように言っている。「(金融機関の)従業員はクビになるのを恐れて上司に報告しない。金融機関では顧客や投資家からの信用を守るため,口外しない。こうして事件全体の80%は表に出てこない状態だ」(同氏)
■Bloomberg氏が協力した国際的な逮捕劇
表1は,ここ数年に起きた主なクラッキング事件である。これを見ても分かるように犯人も被害を受ける企業も,そして犯行自体も“国際的”になっているのがクラッキング犯罪の特徴である。
●表1 金融機関/電子商取引企業を狙ったクラッキング事件| 事件 発生日 |
被害者 | 犯人グループ | 事件内容 |
| 2000年 8月10日 |
Bloomberg | 2人のカザフスタン人(Oleg ZezovとIgor Yarimaka) | Bloomberg社のシステムに侵入した後,現金20万ドルを要求 |
| 2000年 12月22日 |
EggHead | 東欧のクラッカ集団 | 顧客クレジットカード情報の入ったデータベースにアクセス |
| 2001年 4月12日 |
VISA | 東欧のクラッカ集団 | 英国のVISA社ネットワークに侵入し,データを入手,その“身代金”として1000万ポンドを要求 |
| 2001年 6月6日 |
S1(ホスティング会社) | 調査中 | 同社がホスティングしていた,銀行,信用組合,保険会社のシステムに何者かが侵入 |
| 2001年 9月3日 |
銀行,電子商取引企業 | 東欧のクラッカ集団 | 複数の銀行/電子商取引サイトに侵入後,恐喝 |
| 2001年 9月20日 |
Deutsche Bank | 不明 | Nimdaワーム |
| 2002年 4月12日 |
Republic Bank | 調査中 | 何者かが3600人の顧客情報を複製 |
| 2002年 5月1日 |
Prudential Insurance Company | Donald McNeese | 顧客データベースから盗み出した情報を使ったクレジットカード詐欺・窃盗 |
それを象徴するものに,Bloomberg社の事件がある。この事件の全容は次のようなものだった。犯人である2人のカザフスタン人は,Bloomberg社のコンピュータ・システムに侵入した後,電子メールを使って同社創設者(現ニューヨーク市市長)のMichael Bloomberg氏に20万ドルを要求した。その後Bloomberg氏は犯人の要求に応じ,犯人と英国のロンドンで会って話し合うよう提案した。犯人はその提案に同意した。
Bloomberg氏は20万ドルを用意(ロンドンのDeutsche Bankに口座を開設し,20万ドルを同口座に入金)し,ロンドンに向かった。犯人2人もカザフスタンからロンドンに飛んだ。犯人は,Bloomberg氏と,同行のBloomberg社の幹部,通訳と,約束の場所で落ち合った。しかし実は,このBloomberg社幹部と通訳はロンドン・メトロポリタン警察の捜査官。犯人はその場で御用となった(米司法省サイトに掲載の発表資料)
■世界銀行の提案するクラッキング犯罪の対策とは・・
こうして見ると,クラッキング犯罪には国境など存在しないことがはっきりと分かる。クラッキング犯罪はコンピュータの中や物理的な空間というものを問わず,全世界を縦横無尽に飛び交っているのだ。
そして,こうした犯罪への対策として登場したのが「サイバー犯罪条約」である。これはコンピュータ・システムに関連した犯罪捜査において,各国が相互協力するよう定めた国際条約である。昨年11月8日に欧州評議会で採択され,11月23日に欧州各国,日本,米国,カナダ,オーストラリアなど30カ国が署名している。サイバー・テロを取り締まるため国際的な協力体制を確立しようという目的がある。
ところが世界銀行のレポートでは,このサイバー犯罪条約では手ぬるいとしている。各国が警察活動だけでなく,司法の分野でも協力体制を敷く必要があると述べているのだ。つまり現在は世界各国でサイバー犯罪に対する刑罰の重さが大きく異なっているという状況がある。それゆえ,犯罪抑止の機能がままならない状態になっているというのだ。
世界銀行では,「コンピュータ・システムへの不正アクセスや情報盗聴という犯罪行為に対する刑罰が“非常に甘い”国が多く存在する。(サイバー犯罪の)刑罰を各国で統一しない限り,国境のない犯罪は防げない」と指摘している。
また同レポートでは,各国の法執行機関はこれまでの権限構造を改め,その対象を金融機関の業務を支援するあらゆる企業・団体にも広げるべきだと述べている。その対象には,ISP(インターネット接続事業者),ASP,ソフトウエア/ハードウエア・ベンダ,監視・発見・評価サービス/ソフトの提供企業・団体などが含まれるという。
つまり同レポートでは,各国で刑罰を一致させること,そして各国の法執行機関が権限を拡大すること,それと同時に各国の法執行機関の間で情報共有することが重要と結論付けているのだ。
前述のサイバー犯罪条約では,捜査機関(自国,他国を問わず)が強力な権限を持つことになると危惧されている。例えば,日本では合法であっても,その行為を違法とする国から要請があれば日本の警察は証拠データの押収や盗聴などに協力しなければならない。
世界銀行のレポート通り,日本で当局の権力がさらに拡大することになれば,さらなる物議をかもすことは必至である。しかし,日本より刑罰が甘い国のことを考えるのも忘れてはならない気がする。やはり何らかの対策が早急に必要と感じる。
