|
■URL
http://www.sccs-jp.org/SCCS2001/
約400人の聴衆で溢れる会場
|
5月24日から26日まで和歌山県・コガノイベイホテルで「コンピュータ犯罪に関する白浜シンポジウム」が開催された。主催は、和歌山県のほか情報システムコントロール協会大阪支部など。シンポジウムには、警察関係者や大学などの教育機関関係者、民間企業および自治体関係者など約400人が参加した。
昨今、社会におけるIT利用の要求が広まり、法制度や商取引の仕組みに変化が出てきている。その結果、国内はもとより、国際的な取り組みも重要になった。また、安全な“サイバー社会”を構築するためにはコンピュータウィルスの侵入や不正アクセスへの対応は各国が同じレベルで認識し、対処することが不可欠となっている。そのような現状を踏まえ、5回目となる今回は、「サイバー社会のための国際協力」をテーマに、アジアを始め諸外国において、サイバーテロを「どのように認識し、防御しようとしているのか、今後どのような連携がとれるのか」に重点をおき、さまざま講演が行なわれた。
米デンバー地区検事Henry Richard Reeve氏 |
まず基調講演では、米デンバー地区検事Henry Richard Reeve氏が「米国におけるコンピュータ犯罪の現状と法的対応」と題して米国におけるコンピュータ犯罪の動向と、これらに関する法律の制定状況を概説した。Henry氏は、犯罪におけるコンピュータの定義として「記憶装置あるいは通信装置としてのコンピュータ」「犯罪手段としてのコンピュータ」「武器としてのコンピュータ」の3つに分類した。「記憶装置あるいは通信装置としてのコンピュータ」では、犯罪者による暗号技術の使用が広がりつつあるほか、これまで、電話や集会などを行なって犯罪者同士がやり取りしていたが、最近では電子メールが通信手段として使われている現状を挙げた。そのため犯罪捜査が困難になり、問題が大きくなる要因の1つとなっていると指摘した。「犯罪手段としてのコンピュータ」では、幼児ポルノや性的虐待、スパイ行為や詐欺など昔からある犯罪がコンピュータによって簡単になっていると指摘した。特に米国では、オンライン上での嫌がらせとして「サイバーストーカー」問題が顕在しており、100万件以上の事例があるという。「武器としてのコンピュータ」では、情報やサービスの盗用やウィルスによるシステムの損傷といった情報やシステムの機密性、完全性、可用性に対する攻撃が相次いでいる点を述べた。
一方で、コンピュータ犯罪の統計は必ずしも信頼のおける数字ではないと断言した、というのも、犯罪被害にあったとしても特に企業組織内のIT部門担当者は、風評の悪化などを理由に報告しない事例が多いという。このほか統計が信頼できない理由として、横領のようにコンピュータが犯罪を助長している時には、コンピュータ犯罪としてではなく別の犯罪名で逮捕されている場合も多い点を挙げた。
また、企業・政府の計538の専門家から回答を得た2001年のCSI(Computer Security Institute)/FBI共同調査の結果も紹介した。調査結果によると、コンピュータ犯罪による金銭的損失を経験しているのは64%、損失を計量できた186社の被害総額は3億7,800万ドルにものぼるという。また、1社あたりの平均損失額は「実際よりも低い結果だ」としながらも約200万ドルと報告した。
このほか、米国における最近のコンピュータ犯罪の動きも紹介した。最も増えているのはオークションにおける不正行為で、2番目に増えているのはオンラインショップにおける「万引き事件」だという。万引き事件とは、ショッピングカートのアプリケーションを不正に作用させ、物の値段を買えることで最も簡単にできるという。価格のコードを替えられた際の不正検知システムを持っているショップは少なく、犯罪の温床になっていると指摘した。3番目に増えているのは児童ポルノ犯罪で、サイバーの世界だけでなくリアルでも児童を対象とした性犯罪が増えているという。
今後のコンピュータ犯罪およびサイバーテロ対策について、ブロードバンド時代の到来とともに、「個人ユーザーでもパーソナルファイアーウォールを採用することが必須」と指摘、ブロードバンド環境を楽しむと同時にリスクも負っていることを認識し、自ら個人を守らなくてはならないと述べた。さらに、「民間と官が対話を持つということの重要性はかつてないほど高まっている。民間のニーズを認識して対応できるということはサイバー犯罪を考える点でも大きい」と述べ、官民の協力体制の樹立の必要性を強調した。また、「コンピュータ犯罪は国境なき犯罪」であることから、国際協力の重要性も高いと語った。
警察庁情報通信局技術対策課技術指導官の高橋守氏 |
次に警察講演として、警察庁情報通信局技術対策課技術指導官の高橋守氏が「サイバー犯罪の動向とサイバーテロ対策」と題して、日本におけるサイバー犯罪の動向や、サイバーテロ対策における警察庁および関係省庁の取組みについて説明した。日本のサイバー犯罪の現状として、iモード対応ホームページを使用した業務妨害事件を紹介した。これは、特定のホームページ内への誘導メールが送られ、同ホームページ内の爆弾マークなどの絵文字を押すと110番に架電するものだ。高橋氏は、「携帯電話のホームページやチェーンメールは特別なスキル・知識がなくても作成できてしまう。今後も中高生がサイバーワールドの中でいたずら心で犯罪を犯してしまうことがあるのでは」との懸念を示した。
また、「警察が一番気にしている」サイバーテロについて具体例を示しながら、現状と対策を解説した。サイバーテロの特徴として、スキルさえあればパソコンと電話回線のみで行なえるので「攻撃に要するコストが低い」、「専門的な技術者さえいれば大人数の部隊は必要ない」、「犯人の特定が困難」、「地理的・時間的制約がない」、「攻撃が成功した場合の経済・社会へのダメージが大」の5つの点を挙げた。また、サイバーテロの1つとして不正アクセスを挙げ、「世に出回っているOSへの攻撃手法が多いので、サーバーを立てる際にそのようなOSを使う場合は攻撃されやすいということを念頭において欲しい」と要望した。さらに、「セキュリティホールはふさいでもふさいでも1日に数件ずつ増えていく。既に知られているセキュリティホールについては必ずふさいでおいて欲しい」と語った。
このほか、米国でも同様の指摘が出ていたが、被害の統計に暗数が多い点を指摘した。被害の認知は相談があって始めてわかるにもかかわらず、「ネットワーク管理者にしてみれば不正アクセスを受けると、本人の責任になるため、届出をしないことが多い」と現状を報告、「不正アクセスは自分が被害者という観点を持って欲しい」と述べた。加えて「サイバーテロは自分が踏み台にならなければ必ず減らせる」とも強調した。
さらに警察におけるサイバーテロ対策の現状も報告した。4月に設立した、サイバーテロによる被害の未然防止および発生した場合の被害拡大の防止や適切な証拠保全などの緊急対処を行なう「サイバーフォース」について説明した。現在、都内某所にサイバーフォースを整備中で、年内に本格的に活動する見通しだという。一方で、日本のサイバーテロ対策は「まだ始まったばかり」とし、既に同様の組織を設立しているシンガポールや韓国などアジア諸国と比べると「最先端ではない」とした。そのような現状の中でサイバーテロ対策は「警察だけ頑張っていてもしようがない。企業それぞれが自分達に必要なセキュリティを確保して欲しい」と要望した。さらに、情報公開の協力についても要請、「官民の協力なしではサイバーテロに対抗していくことは無理だ」と強調し、「これまで警察も情報提供に対して遅れがちだったが、サイバーテロではその遅さが致命傷になるので早い段階での情報提供を行なっていく」と語り、警察でもかなりのエネルギーをかけてサイバーテロ対策を進めていく方針を示した。
インターネットのブロードバンド化により、常時接続時代が訪れる。常時接続は便利になる反面、危険な一面も持つ「諸刃の刃」だ。これまで以上に自己責任で安全に注力することが必要となる。官・民・個人全体でセキュリティについて考える必要性があることを認識させられるシンポジウムだった。
(2001/5/28)
[Reported by moriyama@impress.co.jp]