IoTやスマホの進化で新たな脅威も
個人情報の流出や仮想通貨取引所への攻撃、さらには大統領選挙への介入など、様々なニュースにハッカーが登場するようになった。映画でも様々に描かれるハッカーだが、その実態はどのようなものなのか?また私たちは、ハッカーの攻撃から、どのように身を守ればいいのだろうか?サイバーセキュリティに詳しい、日本ハッカー協会理事の園田道夫氏に聞いた。
ゴミから得た情報で組織内部の人間になりすます!?
――最近のハッキング事件で被害が大きいものには、どういうものがあるのでしょうか?
園田 仮想通貨関係の事件が多いですね。仮想通貨は儲かるということで、いろんな仮想通貨が勃興しましたが、残念ながら、セキュリティの技術者がいないものも多いんです。そもそも最初の設計からして甘いものも多い。見る人が見るとそれがわかるので、そこを突かれています。
――政府機関ですらハッキングされる事件も起きていますが、ハッカーの技術のレベルは相当高いということでしょうか?
園田 コンピュータを扱うスキルが高いだけでなく、人間を騙すスキルも高いですね。人間を騙すのもハッキングの一部なんです。ソーシャルエンジニアリング(社会工学)と呼ばれて、研究の対象にもなっています。
人を騙して情報を引き出し、引き出した情報をもとに組織の中の人間になりすまして、大事な情報に迫っていくのです。
――具体的には、どう騙すのでしょうか?
園田 企業に対してだと、例えばクレームの電話をかけて、親切に対応してくれる社員から情報を色々と聞き出したりします。
また、上司のフリをして、「このパスワードがわからないと明日の商談がダメになるから教えてほしい」と電話をかける、といったこともよくあります。
中には、ゴミをあさって、捨ててある文書から情報を得るケースもあります。その情報を踏まえて社内の人間になりすまし、電話をかけたり、メールを送ったりして、社員から情報を引き出すわけです。
――ハッカーには、どんな人が多いのでしょうか?
園田 色々ですね。愉快犯もいれば、経済的な利益のために攻撃する人もいます。経済的な利益というのは、例えば、犯罪集団が産業スパイをして、得た情報をライバル企業に売る、というようなケースです。
――犯罪集団というと映画の中の話のように思えますが、実際にいるのですか?
園田 外からあまり見えない「ダークウェブ」と呼ばれるところで、「この会社は簡単に情報が引き出せるぞ」といった情報を交換しているのを、見かけることがありますね。
また、なかば陰謀説のようなところもあって実態はよくわかりませんが、ロシアや中国、北朝鮮などのハッカーが世界中で情報を引き出しているという話もあります。
――表の顔は普通の人でも、実はハッカーだということもある?
園田 表の商売よりも裏の商売のほうが儲かるということで、やっている技術者がいるという話は聞きます。
――IoTが進むと、ハッカーの手口も変わってくるのでしょうか?
園田 私も所属しているNICT(情報通信研究機構)では、日本を中心に世界約30万ポイントに観測点を持っているのですが、そのデータを見ると、ここ数年、IoTがかなり狙われています。怪しい通信のかなりの部分がIoTで占められていると言っても過言ではありません。
IoT機器は簡単なコンピュータウイルスにも感染してしまいます。有名なのはAnna-senpaiという人物が作ったMiraiというウイルスです。自分でどんどん感染を広げていくのですが、感染を広げて何をするのかは、まだわかっていません。ただ、誰かがスイッチを押すことで、感染したIoT機器が一斉にどこかを攻撃する、というようなことはあり得ると思います。
――攻撃というのは?
園田 例えば、あるウェブサイトを書き換えるとか、アクセスできなくするといったことが考えられます。あるいは、「そういうことをされたくなかったら、お金を払え」という脅迫ですね。実際、「仮想通貨を振り込め」という脅迫はよくあります。
お金ではなく、世間を騒がせることが目的の場合もあります。その場合は、内閣のホームページなど、攻撃したことがニュースになるサイトが選ばれます。
