書評「サイバー犯罪入門」

書評「サイバー犯罪入門」

 

 

 

Twitter書評は以下です。

「サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実」 3.5点。800円でこの質が手に入る日本は凄いと思う。サイバー犯罪を知りたい人は必読の本。私もサイバー系はそこそこ読んできたが、初耳情報も多かった。セキュリティ従事者も一般層も読んだ方がいい。買い推奨。

 

 

以下、気になった箇所を抜粋します。(要約もあります)

 

 

中小企業だからといって、狙われない理由はない。なぜなら、「六次の隔たり」理論があるからです。「人は自分の知り合いを6人以上介すと、世界中の人々と間接的な知り合いになることができる」という仮説であり、知り合いの知り合いを6回たどれば世界中の人と繋がれます。

 

あなた自身が重要な情報を持っていなかったとしても、あなたの友人やそのまた友人を何人かたどっていくことができれば、重要な情報を持った人物にたどり着ける可能性が極めて高いとうことです。もしあなたに情報的な「価値」がなかったとしても、あなたには「利用価値」があるのです。P39〜40。

 

被害者がインターネット・バンキングに正しい方法でログインした後で、ブラウザが乗っ取られている、ということ。そのために、インターネット・バンキングのパスワードや通信の暗号化をどれだけ強力なものにしても、防ぐことができない可能性が高いのだ。銀行のシステム側から見ても、正しい手順でログインされたパソコンからの通信のため、不正な操作であることに気付きづらい。P45。

 

国際刑事警察であるインターポールでも、実はできないことがある。それもかなり重大なことができないのだ。

 

なんとインターポールには、捜査権どころか逮捕歴がない。人気アニメ「ルパン三世」の銭形警部(同作品内では、インターポールの捜査官という設定)は、「ルパ〜ン、逮捕する〜」と叫びながらパトカーに箱乗りしてルパン三世を追いかけているが、実は銭形のとっつぁん」に、そのような権限はない。そのため、実際にルパン三世を追いかける場面では、実は現地警察を引き連れているのである。

 

IGCIでのサイバー犯罪対策においても、銭形警部と同様に、現地警察との連携が非常に重要となってくる。しかし、必ずしも全ての国家が国際規模のサイバー犯罪の捜査に協力的なわけではない。

 

また、政府が背後で関与しているようなサイバー犯罪については、警察ではなく、軍での対応となるため、インターポールはその案件から引かなくてはならなくなる。せっかく優秀な人材を集めて活動していても、サイバー犯罪の捜査を行うことは一筋縄ではいかないのが実情なのである。

 

しかも、いくつもの制約を乗り越えた末に、なんとかサイバー犯罪の被疑者を検挙するに至っても、有罪判決が下がるのはわずか10%ということが、国連薬物犯罪事務所の調査で分かっている

 

インターネットの世界の「匿名性の高さ」と、現実世界の「制約」せいで、サイバー犯罪は検挙することが難しい。もし検挙されても、罰することが容易ではないため、悪意のある人間にとって、ローリスク・ハイリターンの魅力的なビジネスとなってしまったのである。P51、52。

 

「難しいことをやり遂げるのがインド人、不可能なことをやり遂げるのがロシア人」という冗談話を、ロシア人技術者から、笑いながらも誇らしげな口調で聞いたことがある。ロシアで用いられているIT機器は、80%近くが国外の製品にもかかわらず、一説によると世界のサイバー犯罪収益の50%はロシア系ハッカーによるものであると言われている。

 

しかし、ハッカー全体に占めるロシア系ハッカーは10%程度と言われている。これがいったい何を指すか。ロシア系ハッカーは非常に優秀なため、同業者同士の中でもその能力は卓越しているということだ。P53、54。

 

ちなみに、今のスマホぐらいの性能があれば、8桁のPINコード(1億パターン)は10秒もあれば解析できてしまうものなのだ。P83。

 

話を戻すが、航空機というのは、新旧あらゆるシステムが相互に接続しているため、比較的ハッキングを行いやすい。P84、85。

 

海外のATMでは暗証番号の桁数が5桁や6桁というところもあるが、日本の場合は4桁である。4桁ということは、1万通りのパターンがあるということだ。(10☓10☓10☓10)。

 

83ページで「ブルートフォース・アタック」という攻撃手法を紹介したが、0000から9999までを一つずつ数字を変えながら1万回試してみれば、どこかで暗証番号が分かってしまうとうことになる。

 

であれば、4桁を8桁に増やすことができれば、1億通りのパターンができてしまうので、暗証番号を探すことが1万倍難しくなるというわけだ。とはいえ、一つずつ試し始めて最初のほうで正しい暗証番号にたどり着ければ、実際には1億回も試す必要はないので、あくまでも理論上の話だが。P86。

 

実際、3m離れたところから撮影した写真に写るピースサインの指から指紋情報を抽出できることが、国立情報学研究所の研究でも分かっており、なりすましに対する懸念がある。もし指紋情報が盗まれたら、あなたは指紋を変えなくてはならない! P88。

 

さらには、実際に被害に遭っても気付かないことが多いのである。米国のセキュリティ企業ファイアアイの調査結果(2015年)によると、被害に遭ったことに「外部から指摘されてはじめて気付く」場合が、3件のうち2件だ。

 

2015年に経産省所管のIPA情報処理推進機構)が、企業向けに実施した調査では、「攻撃あったが被害なし」と「攻撃なし」と回答した企業が、合わせて8割を超えていた。そんなはずはない。世界中で、1日に3万サイトが不正侵入の被害に遭っているのだ。

 

サーバーやインターネットに接続できる家電などは、インターネットの回線に接続すると、ものの数分で攻撃を受け始める。日本では特にインターネットのコストが安いため、ハッカーは侵入できるサーバなどを常に探すことができる。まさにハッカー天国なのである。P97、98。

 

 既に世界中のウェブサイトの4件に1件がCMSを用いているとさえ言われているが、2017年にワードプレスのセキュリティ上の弱点が公表された際には、なんと1週間で150万以上のサイトが改ざんされてしまった。公表の1週間前には弱点を修正するプログラムが配布されていたのに、だ。

 

また、最近では「バックドア」と呼ばれる仕掛けをあらかじめ仕込んだコードライブラリを、メーカーに提供する強者も出てきている。この「バックドア」が仕掛けらたコードライブラリを用いて製品を開発してしまうと、この製品には、ハッカーがいつでも侵入できてしまう裏口−−すなわち、バックドアが設けられてしまうことになる。

 

同様に、一つでもセキュリティの弱いものがシステムを構築する中に存在してしまえば、その弱さが、システム全体に引き継がれてしまう、ということもある。もし、取引先とのサプライチェーン・ネットワークに、一社でもセキュリティの弱い企業があれば、その企業を「踏み台」にしてサプライチェーン・ネットワーク全体へと影響を及ぼしてしまうのをイメージしたら分かるだろうか。P102、103。

 

サイバー犯罪をしやすい業種と、しにく業種。

この章の最後では、私が独自に分析したものであるが、ターゲットとして「サイバー犯罪では割に合わないので避けるべき業種」と、「サイバー犯罪をするのに狙いやすい、おいしい業種」とを紹介したいと思う。

 

まず、割に合わないのは、「公共機関」「エンターテイメント関連」、コンサルティングファームなどの「プロフェッショナルサービス」の3業種である。これらを狙うサイバー犯罪は非常に多い。そのくせ、成功率は極めて低いのが実情である。

 

実際、公共機関で情報漏洩などが発生した場合は、圧倒的に内部による犯行が多い。案外、ハッキングを行ったりマルウェアを感染させたりするような手法は、うまくいっていない。もし公共機関をターゲットとしたいのであれば、人間の心理的な隙や、行動のミスにつけ込んで、個人が持つ秘密情報を入手する「ソーシャルハッキング」という手法をオススメする。

 

では、逆に、ハッカーにとっておいしい業種はというと、「宿泊関連」「サービス業」「不動産」である。これらの業種はセキュリティ対策が他業種に比べて遅れているということもあり、サーバを狙う者にとっても、パソコンなどの端末などを狙う者にとっても、ハッキングとマルウェアの双方で成功する確率が高い。

 

また、同業者であるハッカーとの競争率は比較的低いため、まだ、あなたが侵入を試みる余地はある。公共機関に比べて宿泊施設がどの程度おいしいのか算出してみたところ、およそ100倍おいしい業種であることが分かった。P129、130。

 

ちなみに、経産省によると、セキュリティ事業に従事する人材は、あと13万人足りない。P205。以上、ここまで。

 

 

参考・引用文献。