サイバー犯罪の報告件数は、近年ますます伸長しています。その一方で、これらのデータは、実際に行われたサイバー犯罪の氷山の一角にすぎないといえるでしょう。なぜなら、サイバー犯罪でだまされても、実際に被害を警察などに訴える人は非常に少ないと思われるからです。例えば、顧客からサイバー犯罪による詐欺に遭ったとの訴えを受けた銀行は、保険会社との契約に基づいて被害額を補償します。銀行は被害額を自ら補てんすることはなく、被害者は保険金により被害額をゼロにできます。一方、保険会社はこれらの被害に対する保険金を支払っても、ほとんど利益に影響はありません。つまり、これら被害関係者があえて警察当局に事件を知らせる必要がない、という実情があります。このような現状に対する最新の国際情勢について、2010年3月23~25日にフランスのストラスブールで開催されたカンファレンス「Octopus Interface Conference 2010」の模様を通して解説します。
欧州会議(CE)は2010年3月23~25日、フランスのストラスブールでカンファレンス「Octopus Interface Conference 2010」を開催しました。カンファレンスには全世界の政府組織や取り締まり当局、国際機関、インターネット関連企業から300人以上の専門家が出席し、「サイバー犯罪に対する共闘」をテーマに意見交換が行われました。
初日に行われたオープニング・セッションでは、CEの副事務局長であるMaud de Boer Buquicchio氏が、「人権と法律に関する国際的な原則は、オフライン環境と同じくオンライン環境にも提供されなければならない」ことについて主張しました。このように、今やインターネットにアクセスできること自体が基本的権利の一つとみなされるようになってきています。その一方で、インターネットという新たな舞台ではサイバー犯罪が大きな問題になり、人権やアクセス権が常に脅かされている状態にあります。セキュリティ確保や権利保護は、公共機関および民間組織の両方が果たすべき責務といえるでしょう。
またその後、Alexander Seger氏がサイバー犯罪に関するブダペスト条約について講演しました。現在インターネットは、世界100カ国以上で利用されています。ブダペスト条約はインターネットやその他コンピューターネットワークで行われている犯罪を対象とした、初めての国際的な条約です。特に著作権の侵害やコンピューターを使った詐欺、児童ポルノ、ネットワークセキュリティの侵害をその対象としています。
Seger氏は「ブダペスト条約が世界中で実施されれば、既に多くの国々で始まっている法律の見直しを加速することができる」と述べました。国家は条約のポリシーを受け入れ、条文を実現するために国際的に協力していく必要があります。条約を基本的な共通の枠組みとみなす合意形成が進めば、人材の流通が盛んになり、公共機関と民間組織が協力するように変化するでしょう。アゼルバイジャンとモンテネグロ、ポルトガルがブダペスト条約を批准済みであることを受け、カンファレンス中にアルゼンチンなどが関心を示したと紹介されました。
同カンファレンスでは、取り締まり当局の責任についてディスカッションも行われました。様々な国の警察が各自の活動を報告し、サイバー犯罪を取り締まるための各国の法律について討議が行われました。一例を紹介すると、ルーマニアの国家警察は2009年に102件の犯罪を起訴しましたが、違法行為は合計766件あり、起訴人数は482人、逮捕者数は289人に上ったとのことです。ルーマニアで実行されたIT詐欺とフィッシング攻撃の80%は米国市民を狙ったものであり、クレジットカード詐欺(スキミング)の80%が西欧市民を標的にしていました。トルコでは、組織犯罪対策局が2009年に2,871人を逮捕しました。
また米連邦捜査局(FBI)と英国の捜査機関SOCAが、取り締まり当局と国際的なドメイン管理団体ICANNの果たすべき役割についても述べました。その主な3項目は以下の通りです。
- 当然払うべき注意:ICANNはドメイン名を取り扱うレジストラとレジストリを精査し、国際的なデータベースを調べて確実に実在する組織であるかどうか突き止めておく必要があります。レジストラはドメイン名の登録データを、申請時だけでなく定期的に検証する必要があります。
- WHOISの公開:正しいデータの登録されたWHOISデータベースを公開する必要があります。ドメイン名の代理や秘密登録が可能な対象は、非商用目的の個人だけに制限しなければなりません。何らかのサービスを提供する企業の登録は、ICANNの許可を受けるようにする必要があるでしょう。
- 透明性と説明責任:ドメイン名を扱う再販業者とその他すべての受益者は、レジストラと同じ規約/条件を守らなければなりません。ICANNはレジストラとレジストリ、代理サービス、再販業者のほか、ICANNの契約やポリシーで利益を得るあらゆる関係者に、例外なく所有権、親会社と子会社、提携企業の情報を開示させる必要があります。
翌日のネットワークと活動を地域的に分析するセッションでは、サイバー犯罪と戦う様々な組織が自分たちの目標と取り組みについて発表を行いました。このような取り組みとして、インターネット上の違法コンテンツ(児童の性的虐待画像、過激な暴力、人種差別/外国人排斥、獣姦、ヘイト、外国人排斥サイト、ポルノ)に情報共有で対抗するINHOPEがあります。INHOPEの作った以下の地図の緑色の国が、違法コンテンツを「拒否」している国です。これを見ると、目標達成までの道のりはまだまだ長いことが分かります。
また、サイバー犯罪対策技術に関するセッションも行われました。その中で注目すべきトピックとしては、インドの状況があげられます。同国では実行されたサイバー犯罪全体のうち、約10%しか報告されておらず、有罪判決に至るのは2%未満にとどまるのが現状です。その一方で、3,000万件以上が公判待ちの状態にあるとのことです。また毎月700万台の携帯電話機が販売されていますが、このような大量の端末を追跡する仕組みは、まだ存在していません。その結果、テロリストは何の心配もなく携帯電話機を使用することができます。
同セッションでは、McAfee Labsも講演を行ないました。マカフィーの欧州/中東/アフリカ担当セキュリティ戦略ディレクターのGreg Day氏は、ITセキュリティ業界の情報共有と知識伝達を推進する様々な取り組みを紹介しました。
ここで取り上げたのは、マカフィーが世界各地の警察向けに用意しているトレーニングセッションや直通電話窓口のほか、「Industry Connections Security Group(ICSG)」活動です。この活動は、ITセキュリティ関連の組織が集まり、共通の目標と業界の問題解決を目指して進めています。Day氏によると、サイバー犯罪者はスケールメリットを大きくするためにアンダーグラウンド経済圏を利用し、専用のツールやサービスを使用しており、その結果セキュリティ企業は、脅威との孤独な戦いを強いられてきました、とのことです。この状況を解消するため、セキュリティ専門家が米国電気電子学会(IEEE)内の標準策定を担当する組織IEEE Standards Association(IEEE-SA)傘下でICSGを始めました。ICSGの参加者は、アンダーグラウンド経済圏で手際よく登場する新型マルウエアに対抗するのに役立つ経験や情報を共有していきます。
最終日には、クラウドコンピューティングと、この新たな環境から取り締まり当局にもたらされる困難についてセッションが行われました。フランス政府のサイバー犯罪対策部門トップであるChristian Aghroum氏は、「インターネットクラウド」内のどこかに存在するデータとサービスが直面する脅威について解説しました。同氏の講演によると、インターネットに国境はないが、我々の活動は国家主権という概念に阻まれているとのことです。人権は世界中でよく認識されており、国際的な航海権や航空権についても、ほとんどの場合尊重されています。
ところが、インターネットは普遍的な権利が例外的に及ばない領域です。残念ながら、現在のブダペスト条約は「全世界の国々が漏れなく受け入れる」という状態までほど遠い状況です。条約を批准する国が多くないため、警察が日々行っている捜査活動には、犯罪者につけ込まれる穴が必ず生じてしまうのが現状です。例えばフランスのネオナチ系Webサイトが米国でホスティングされている場合、フランス政府がこのサイトを閉鎖できる可能性は非常に小さいでしょう。また企業が外交上の問題である国から撤退しても、インターネットクラウドに保存したデータの安全は保証されません。場合によっては、クラウドコンピューティング対応サービスが始まると、国内のセキュリティを維持できない可能性もあります。1年か2年後には、全く国境のない「完全なクラウド」環境の影響で事態はさらに悪化するでしょう。早急にブダペスト条約ベースの国際法を作らないと、問題は確実に悪くなる一方です。
最後に、ナイジェリアからの変わった対策方法を紹介しましょう。ナイジェリアには、その著名歌手たちが作った「Maga No Need Pay!」という詐欺警告ソングがあります(「Maga」はナイジェリア語で「詐欺被害者」なので、タイトルは「詐欺に遭っても金など払うな」という意味になります)。この歌は、ナイジェリアの人々に対して「詐欺で自分の生活を改善しようとするのは誤り」と啓蒙し、そのほかの国々には「詐欺まみれになっているのはナイジェリアだけでない」と伝えていています。サイバー犯罪には法律と技術で対抗するのが一般的ですが、音楽でも戦うことができるのです。
関連記事
- [2011/05/10] ビン・ラディン死亡に関するサイバー犯罪にご注意ください
- [2011/03/25] ソーシャルメディアをターゲット化する、サイバー犯罪
- [2010/11/10] サイバー犯罪とデジタル捜査
- [2010/09/17] グーグル検索を悪用するサイバー犯罪-1
- [2010/09/24] グーグル検索を悪用するサイバー犯罪-2
- [2010/09/15] ホリデーシーズンに向けて準備を進める、サイバー犯罪者
- [2010/08/10] 組織化するサイバー犯罪に対し、FTC、FBIを支援
- [2010/06/29] 最新のサイバー犯罪手口はTwitterと短縮URL
- [2010/06/14] Twitterを悪用するサイバー犯罪者
- [2010/06/11] 組織化されつつあるサイバー犯罪
- [2010/06/10] ブラジル代表ドゥンガ監督、サイバー犯罪のおとり役に
- [2010/06/08] 景気後退とサイバー犯罪
- [2010/04/26] CAPTCHA認証を回避するサイバー犯罪者
※本ページの内容はMcAfee Blogの抄訳です。
原文:Cooperation Grows in Fight Against Cybercrime
