ス日本初上陸と報道された21)。1999(平成11)年3月末には「メリッサ(Melissa)」
というマクロ・ウイルスにより,メリッサに感染した添付ファイルをユーザが開く と勝手に電子メールソフトにあるアドレス帳の中の電子メールアドレス宛に自己の 複製を送信してしまう事件が多発し世界的に問題となった。2009(平成21)年4月 に出現したコンピュータ・ウイルス「ガンブラー(Gumblar)」は,Adobe Reader 等の脆弱性を利用して,コンピュータの管理する Web サイトを改ざんし,感染用 の JavaScript コードを仕掛けることで,サイトを閲覧したユーザのパソコンをウ イルス感染させ,感染したコンピュータの Web ブラウザの挙動を操るという攻撃 を行った。まさにサイバー犯罪自体は,コンピュータおよび電気通信技術の発展と ともに歩んできたといってよい。 2010(平成22) 年以降に生じた主要な事件を概観してみると,2010年には,Stux-net ワーム22)によって,イランのウラン濃縮施設内の制御系システムが,システム 管理者にはすべてが正常に稼動しているように見せかけながら,同施設の一部を機 能停止させられるという事件が生じている23)。また,同年には電子証明書発行大手 のベリサインがハッキングを受けていたことが明らかになっている24)。翌2011(平 成23)年3月には英 Comodo,7月にはオランダ DigiNotar という電子認証局にお いて,ハッキングによって偽造証明書が発行されるなどの侵害事件が起きた25),26)。 DigiNotar の事件では,システムへのパスを不正に入手し侵入した何者かが証明書 を発行するための情報を盗み出し,偽造証明書が発行されてしまったことにより, Web ブラウザ・ベンダーは対策として DigiNotar のルート証明書を失効・削除し た結果,オランダ政府や金融機関の Web サイトにアクセスできなくなる等の影響 が出た。 2011年3月には,米国のセキュリティ対策大手 RSA セキュリティがクラッキン グを受けてシステムに侵入され,その際に盗まれた技術情報が実際に使用されたた め,世界で累計4000万台出荷されている SecurID ハードウェア・トークン(「使い捨 てパスワード」端末)を交換する事態が起きた27)。9月には,防衛関連企業の複数拠 点において,標的型攻撃メールによるものと見られるウイルス感染が発生28)し, 10月には衆議院・参議院に対する標的型攻撃被害が明らかになる29)とともに,11
Review Commission)が,米国の人工衛星2基が,2007年と2008年に少なくとも4回 にわたって,中国軍からとみられるハッキングを受けていたとする議会向けの報告 書を公表した30)。 2012(平成24)年1月には,JAXA のパソコンがコンピュータ・ウイルスに感染し たことにより人工衛星の情報などが漏洩した恐れがあると公表31)され,また,ハ ッカー集団「Anonymous」が米英捜査当局の電話捜査会議を盗聴したと報道され た32)。4月には,不正 Android アプリの報告数が急増し,パソコン内のデータを 暗号化しユーザに読み取れない状態にした上で金銭を要求するランサムウエアの被 害が米国のみならず,ロシアからヨーロッパ諸国に広がっていることが報告された 33)。5月には,米国とイスラエルの共同開発したマルウエア「Flame」が話題にな った34)。6月には,財務省などにサイバー攻撃があり,「国有財産情報公開システ ム」が破壊され,復旧できなくなった35) 。また同月には,ハッカー集団「Anony-mous」が違法ダウンロードに対し刑事罰を盛り込む改正著作権法の成立に抗議し て OP Japan と称する攻撃を開始し政府系サイトが書き換えられる等の被害が出た 36)。9月には,警察庁は,これまでに中国のハッカー集団「紅客連盟」からと思わ れるサイバー攻撃が,日本の総務省など11機関の Web サイトが閲覧困難に陥り, 最高裁判所など8機関のサイトのトップ画面が改ざんされるなどの被害を受けてい ると発表している37)。10月には,「遠隔操作ウイルス」による警察の誤認逮捕が明 らかになり38),11月には,日本国内で,ネットバンキングなど狙う「ポップアップ 型フィッシング詐欺」が多発した39)。 2013(平成25)年1月には,2007年5月から複数の国の政府や外交当局,科学研 究機関などを狙って,高度で大規模なサイバースパイ活動「Operation Red Octo-ber」が行われていることが確認された40)。Operation Red October は,2013年1
セキュリティ上の脆弱性を突いた攻撃は変わらずに見られるが,それに加えて, 海外では2005年頃から,国内では2007年頃から,利用者の ID やパスワード,銀行 口座の番号やクレジットカード番号等の個人情報,企業等の保有する営業秘密のよ うな組織の知的財産情報等の金銭につながる情報の窃取・詐取することを主たる目 的とした攻撃が,セキュリティの専門家の間で具体的に認識され始めた。特に2010 年以降は国家や組織化された犯罪集団が関与する攻撃が行われるようになってきた と言われ,セキュリティ・ベンダー各社は「攻撃者の目的が変化している」と警鐘 を鳴らしている。
5.標的型攻撃の主な手法
サイバー攻撃の手法としては,不特定の対象に向けた攻撃と特定の対象に向けた 攻撃があるが,不特定多数に対しては,先に紹介したガンブラーのように,悪意の あるサイトを通じて情報を窃取したり,不正プログラム(マルウエア)をネット上に 拡散していき,感染したパソコンをコントロールして他の犯罪的行為に利用したり することで収益を上げていくというものがみられる。の攻撃等といったことが行われる。
7.むすびにかえて
情報通信技術が国民生活に広く普及・浸透し,利活用が進むにつれて,情報セキ ュリティの不安や障害が国家レベルでも強く意識されるようになってきている。 米国では,2011年5月に「サイバー空間の国際戦略」54)を発表し,同月にホワイ トハウスから,重要インフラのサイバーセキュリティ対策強化のための連邦省庁の 権限の明確化等を含むサイバーセキュリティ立法提案55)を公表している。この提 案では,①アメリカ国民の防護(情報漏洩の検知,コンピュータ犯罪への罰則),②国家 の重要インフラの防護(産業界・州政府・地方政府への政府支援・任意の情報共有,重要イ ンフラのサイバーセキュリティ計画),③連邦政府のコンピュータとネットワークの防 護(管理,人事,侵入防止システム,データセンター),④個人のプライバシーと自由を 守るためのフレームワークの構築について,各機関の権限の明確化や各種規律の策 定等が示されている。また,同年10月には,証券取引委員会のコーポレートファイ ナンス部門(Division of Corporation Finance Securities and Exchange Commission)は,上 場企業がサイバー攻撃に遭った場合に,それにまつわる財務的な影響について投資 家が判断しうるだけの情報を求める可能性があるとしたガイダンス56)を公表した。現時点で同ガイドラインの具体的な法制化の動きは出ていないが,今後の被害の広 がり方次第では,企業に情報公開が求められる可能性がある。
(2013年2月9日確認))。New York Times が,同社が調査を依頼したセキュリティ専門家によると, 集めた証拠から中国軍との関連が指摘される手段が攻撃に用いられたとみられると報道したのに対 し,中国国防部は「そのような攻撃は中国の法律で禁じられており,具体的な証拠もなく中国軍が サイバー攻撃をしかけたと非難するのは無責任であり,事実無根である」と批判した(Major US Newspapers Allege Chinese Hack Attack <http://abcnews.go.com/Blotter/york-times-alleges-chinese-hack-attack/story?id=18365205>(2013年2月9日確認))。 7)2011(平成23)年に成立した「情報処理の高度化等に対処するための刑法等の一部を改正する法 律(平成23年法律74号)」により,コンピュータ・ウイルス等の不正プログラムによる加害行為に対 してコンピュータ・ウイルス作成罪の新設等の罰則の整備がなされるとともに,情報通信技術の発 展に対応できる捜査手続の整備等がなされた。法務省は,法令の概要の解説において,同法の刑法 一部改正部分をいわゆるサイバー刑法と呼んでいる(「いわゆるサイバー刑法に関する Q&A」 <http://www.moj.go.jp/content/000073740.pdf>(2013年2月9日確認))。 なお,サイバー刑法に類する法規として,オーストラリアには連邦法「2001年サイバー犯罪法 (Cybercrime Act 2001)」が,フィリピンには「2012年サイバー犯罪防止法(Cybercrime
Preven-tion Act of 2012)」があるが,いずれも実態としては刑法一部改正法である。
8)Majid Yar, The Novelty of “Cybercrime”: An Assessment in Light of Routine Activity Theory, 2 (4) European Journal of Criminology 409(2005).
9)警察庁『平成23年版警察白書』(佐伯印刷,2011年)20頁。
10)Computer Crime and Intellectual Property Section, US Department Justice, The National
Information Infrastructure Protection Act of 1996, Legislative Analysis(1996).
11)警察庁「平成24年上半期のサイバー犯罪の検挙状況等について」<http://www.npa.go.jp/cyber/ statics/h24/pdf01-1.pdf>(2013年2月9日確認) 12)警察庁・前掲注11)。 13)警察庁・前掲注11)。 14)警察庁・前掲注11)。 15)総務省『平成23年通信利用動向調査(企業編)』(2012年)44頁以下。 16)総務省・前掲注15)44頁。 17)ハクティビズムについては,さしあたり,フランシス・パジェット「サイバー犯罪とハクティビ ズム」<http://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/threatreport/ wp_cybercrime_hacktivism.pdf>(2013年2月9日確認)を参照のこと。 18)プログラムを利用して多数の財源から小額の財産をかすめとる手法をいう。世界最初の本格的コ ンピュータ犯罪といわれているのは,この手口を用いた1963年の「ロイス事件」だと言われている。 サラミテクニックについては,Donn B. Parker, Fighting Computer Crime 126-128(1983),ロイス
に渡って蓄積してきた記事等を入れたフロッピーディスクが突然読み取り不可能になった。そこで 同社で全てのフロッピーを調べたところ,100枚近くが汚染されており,復旧作業に10日間を要した というものである。See, TIME, Sep. 26, 1988, 54 -60.
21)読売新聞1988年9月4日。
22)「W32.Stuxnet」<http : //www.symantec.com/ja/jp/security_response/writeup. jsp?docid=2010-071400-3123-99>(2013年2月9日確認),「IPA テクニカルウォッチ『新しいタイプ の攻撃』に関するレポート〜 Stuxnet(スタックスネット)等の新しいサイバー攻撃手法の出現〜」 <http://www.ipa.go.jp/about/technicalwatch/pdf/101217report.pdf>(2013年2月9日確認) 23)事件については,David E. Sanger, Confront and Conceal: Obama’s Secret Wars and Surprising
Use of American Power (2012) 等参照のこと。
24)VeriSign Hacked Multiple Times in 2010 <http://www.pcmag.com/article2/0,2817,2399773,00. asp>(2013年2月9日確認)
25)Rogue SSL Certificates (“Case Comodogate”) <http://www.f-secure.com/weblog/ archives/00002128.html>(2013年2月9日確認)
26)DigiNotar Hacked by Black.Spook and Iranian Hackers <http://www.f-secure.com/weblog/ archives/00002228.html>(2013年2月9日確認)
27)Open Letter to RSA Customers <http://www.rsa.com/node.aspx?id=3872>(2013年2月9日確認) 28)日本経済新聞2011年9月19日等。
29)朝日新聞2011年10月25日,読売新聞2011年11月2日等。
30)2011 report to congress of the U. S. – china economic and security review commission 216
(2011).
31)「JAXA に お け る コ ン ピ ュ ー タ・ ウ イ ル ス 感 染 の 発 生 に つ い て 」<http://www.jaxa.jp/ press/2012/01/20120113_security_ j.html>(2013年2月9日確認)
32)F. B. I. Admits Hacker Group’s Eavesdropping <http://www.nytimes.com/2012/02/04/us/fbi-admits-hacker-groups-eavesdropping.html?partner=rss&emc=rss>, Hacking group infiltrates call into own case <http://www.ft.com/intl/cms/s/2/96a09ee8-4e92-11e1-ada2-00144feabdc0.html? ftcamp=rss#axzz1lXscUC7M>(2013年2月9日確認)
33)トレンドラボ「2012年第1四半期セキュリティラウンドアップ モバイル時代のセキュリティ」 (2012年 )<http://jp.trendmicro.com/imperia/md/content/jp/threat/report/qsr/2012q1.pdf>(2013
年2月9日確認)
jikenbo/enkaku/enkaku.htm>(2013年2月9日確認)
39)「インターネットバンキング利用者等の個人情報を狙った新たな手口の事案に対する対策につい て」<http://www.npa.go.jp/cyber/warning/h24/121106.pdf>(2013年2月9日確認)
50)たとえば,米国連邦政府は,2006(平成18)年2月6日から10日にかけて,サイバー攻撃を想定し, 米連邦政府組織,地方政府組織,民間団体・企業,米国以外の公的機関などの115組織が参加し,サ イバー攻撃を受けた際の対応,組織間の協調,攻撃からの復旧手順などを確認した予行演習「Cyber Storm」を実施している。この演習は,その後も2008年,2010年,2011年〜2012年にかけて実施され て い る(Cyber Storm : Securing Cyber Space <http://www.dhs.gov/cyber-storm-securing-cyber-space>(2013年2月9日確認))。我が国においても,2013年において,電力,ガス,ビルの3分野 について,電力分野では3月12日に,ガス分野では2月5日,6日,14日,15日に,ビル分野では 2月25日に演習用模擬システムを用いて,実際にインシデントが発生した場合の課題を検証するサ イバー・セキュリティ演習を国内で初めて実施している(「電力・ガス・ビル分野のサイバーセキュ リティ演習を実施します〜演習用模擬システムを用いた国内初のサイバーセキュリティ演習〜」 <http://www.meti.go.jp/press/2012/02/20130204002/20130204002.pdf>(2013年2月9日確認))。 51)総務省の調査によると,情報通信ネットワークを利用している企業に対して,従業員のために行 っている ICT 教育について尋ねたところ,何らかの教育を実施している企業は,37.2%となっている。 また,データ・セキュリティへの対応として社員教育を行っている企業は31.8%となっている。多く の企業でデータ・セキュリティへの対応を行っているが,具体的な対応としては,「パソコンなどの 端末(OS,ソフト等)にウィルス対策プログラムを導入」(82.6 %)が最も多く,次いで,「サーバ にウィルス対策プログラムを導入」(62.6%),「ID,パスワードによるアクセス制御」(54.0%),「フ ァイアウォールの設置・導入」(43.2 %)といったエンドポイント・セキュリティが中心であり,人 的対応は必ずしも十分に行われているとは言い難い(前掲注15)45頁以下参照)。 52)IPA が実施した調査では,10代や初級・中級レベルの利用者では,パスワードの設定方法やセキ ュリティパッチの更新など,情報セキュリティ対策の実施率や意識がその他の層に比較して全体的 に低い傾向にあると指摘され(「2012年度情報セキュリティの脅威に対する意識調査報告書」(2012 年)47頁以下),「若年層や初心者に対する教育が重要であり,セキュリティに対する意識向上が求 められる」とよりいっそうの啓蒙活動が必要であることを訴えている。しかしコンピュータ・リテ ラシ教育は,コンピュータ利用のテクニカルな面の教育体制整備に追われており , ネットワーク上で 情報交換する場合の倫理(ネチケット)およびサイバースペースにおける規範とリアルワールドの 規範との関わり,情報セキュリティを教育する体制の整備は遅れている。 53)警察庁は,2013年1月に「サイバー犯罪対処能力の強化等に向けた緊急プログラム──いわゆる 遠隔操作ウイルス等による犯行予告事案を受けて」と題した,官民人事交流や効果的な教育・訓練 のために民間企業への講義委託等を緊急プログラムとして取りまとめたプログラムを公表している。 54)United States. (2011). U. S. International Strategy for Cyberspace <http://www.whitehouse.gov/
sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf>(2013年2月9日確認) 55)Fact Sheet: Cybersecurity Legislative Proposal <http://www.whitehouse.gov/sites/default/files/
fact_sheet-administration_cybersecurity_legislative_proposal.pdf>(2013年2月9日確認)
56)CF Disclosure Guidance: Topic No. 2 Cybersecurity <http://www.sec.gov/divisions/corpfin/ guidance/cfguidance-topic2.htm>(2013年2月9日確認)
57)Strong and Secure: A Strategy for Australia’s National Security <http://www.dpmc.gov.au/ national_security/docs/national_security_strategy.pdf>(2013年2月9日確認)
