大衆化しているコンピュータ犯罪

 国内外において、不正アクセスによる個人情報の漏洩・流用・改ざん等が立て続いて報告されています。

 従来、不正アクセスにより得られた個人情報の多くは、運営期間の短い掲示板やIRCなどいわゆる闇市場を通じて取引されていることが報告されています。

 しかしながら昨今、こうした流れとは別に、表舞台とも言えるサイトを通じての不正取引が確認されています。筆者はこのような取引の傾向を「犯罪の大衆化」の兆しであると分析しています。

 今回は、2008年2月に本ブログでも紹介させていただきました「韓国のハッキング被害事例」に関する追跡調査より確認された、「犯罪の大衆化」現状についてレポートさせていただきます。

■流出した個人情報の数は1,000万件以上

 韓国最大手のネットオークション会社「株式会社オークション(www.auction.co.kr)」(以下 Auction社)にて発生した個人情報の漏洩は、その後の調査により、1081万人に上ることが明らかにされています。Auction社の会員数は1800万人を越えると発表されているため、半数以上の会員情報が流出被害に遭遇したこととなります。

 韓国国内の著名サイトにおける最大規模の情報漏洩事件発生とその詳細が明らかになったことにより、社会不安は今なお高まっている状況です。損害賠償請求訴訟を提起しようとするグループが現れるなどより具体的な行動への発展にまで至っています。

■ポータルサイトで告知された個人情報売買

 こうしたさなか、中国国内のインターネット・ポータルサイト「O2SKY」上のフリーマーケットページにて、「ネイバー(* 韓国の著名ポータルサイト)、Auction社のIDを安値で売ります」という件名の投稿が3月29日 17:51、4月11日 16:33の2度に渡り掲載されました。同書き込みには、販売者のメールアドレス、電話番号が掲載されていることを確認しています。

図1 フォーラム上に投稿されていたIDを安値で売りますとの投稿
図1 フォーラム上に投稿されていたIDを安値で売りますとの投稿

 O2SKYは、中国・吉林省の延辺(ヨンビョン)網公社が運営するインターネットポータルサイトです。中国に拠点を置く会社ではありますが、延辺という地理的特性から、第一言語を韓国語とするインターネットユーザを対象として配信された情報であると推測されます。

 同サイトの投稿情報について更に分析した結果、不正アクセスを勧誘するような投稿についても確認しています。不正アクセス技術をもった技術者に対し、高収益を保証し、雇用しようとする広告です。Webサイト、データベースへの不正アクセス技術をもつ技術者を雇用する意思があることを宣言しています。

図2 不正アクセス技術をもった技術者を高収益で雇用しようとする広告
図2 不正アクセス技術をもった技術者を高収益で雇用しようとする広告

■大衆化しているコンピュータ犯罪

 先に紹介した2つの事例は、組織化されたプロの犯罪者による犯行とは推測できない痕跡が見られます。

 不特定多数の人が閲覧しうるフォーラム上にて、自身の特定につながるような情報を堂々と掲載している点がその根拠となります。

 では、どのような人物がこのような投稿を行っているのでしょうか。いくつか可能性が推測されます。

  • スクリプトキディ(Script Kiddie)と呼ばれるような公開されているクラックツールを使用して得た個人情報を販売している人物。
  • 実際に不正アクセスを行った人物(高度技術をもつ犯罪者)から譲り受けた情報を転売しようとしている人物。
  • 報道から情報を得て、実際に販売する情報がないにもかかわらず販売している人物。
  • 報道から犯行を思いつき、模倣犯になろうと計画している人物。

 潜在的脅威として無視できないのが、スクリプトキディの存在です。公開されている不正アクセス技術は年々高度化していっています。技術革新によって、人の手による不正アクセス、自動化された不正アクセスの区別は困難になっていくことが予測されます。

 また、今は模倣犯でしかないスクリプトキディ、いわばアマチュアである彼らも、不正アクセスを繰り返し試みていく過程で、高度技術を積極的に吸収しプロフェッショナル化していく道も予測されます。

■犯罪の大衆化に対する防衛術

 「犯罪の大衆化」に対する防衛術として、「倫理あるハッカー(Ethical Hacker)」を雇用し、組織におけるセキュリティ強化に尽力させようという動きがあります。これは、攻撃者がどういう思想、視点、手法により攻撃しかけてくるのか知ることで、はじめて見えてくる対処法に対し、手を打とうとするセキュリティ戦術といえます。

 「知彼知己、百戰不殆(彼を知り、己を知れば、百戦して殆うからず)」。孫子の兵法「謀攻篇」の行(くだり)です。孫子はどうすれば戦いに勝ち、どうすれば負けるかを法則としてまとめました。

 「デジタル情報を安全にやり取りできる世界」を実現する戦いを制するため、あなたの組織では、どのような一手を防衛術として打ちますか。

■関連情報

  • Trend Micro Security Blog : 「韓国のハッキング被害から学ぶセキュリティ対策」(2008年02月18日付け)
  • TrendLabs Malware Blog : 「Barefaced Cyber Crime」(2008年05月01日付け)