• Youtube
  • Facebook
  • Instagram
  • Twitter

心理学科コラム

202503.07
心理学科コラム

【心理学部】サイバー攻撃に対する防御

令和4年3月内閣府政府広報室が発表した「治安に関する世論調査」において、国民の約半数が不安を抱いている犯罪は、

  • 特殊詐欺や悪質商法などの犯罪 
  • 不正アクセスやフィッシング詐欺などのサイバー犯罪
  • 飲酒運転による交通事故やひき逃げ、妨害運転(あおり運転)などの悪質・危険な交通法令違反

とされています。

これらに加えて、ここ近年の犯罪情勢を見ますと

  • 闇バイトに関する強盗事件

と言ったところでしょうか。

ここで、サイバー犯罪にカテゴライズされている「不正アクセス」は正規のアクセス権を持たない者が他人のコンピュータネットワークに侵入して行う行為で、情報窃取、ウイルスの頒布、脅迫(金銭要求に基づくものも含む)、業務妨害等の犯罪が敢行されます。

総称して「サイバー攻撃」と言われるものは、ほぼすべてが「不正アクセス」や「メール型標的攻撃」に始まり、攻撃者は国家機関や行政機関、研究機関、民間企業を中心に国民個人個人に向けたサイバー攻撃(犯罪)を繰り返しています。

テロや戦争においてもサイバー攻撃は敢行され、戦争の手段として現実空間での戦闘行為の前に、軍事拠点や防衛拠点、原子力をはじめとする電力、エネルギー関係の重要なシステム基盤を担っているインフラに対しても敵国の弱体化を狙った攻撃が行われます。

サイバー攻撃は時間的・場所的制約を受けませんので、世界のどの場所からでも、世界各地の重要インフラ(注)の機能停止や機密情報の窃取、様々な基幹システムの破壊が実際に実行されています。

昨年発表された警察庁の資料には「サイバー攻撃が相次いで発生し、我が国でも政府機関等において DDoS攻撃(注2)とみられる被害が発生しているほか、生成AIを悪用した事案等の高度な技術を悪用した事案も発生している。」とあります。

また「このようなサイバー攻撃の前兆ともなるぜい弱性探索行為等の不審なアクセス件数は、増加の一途をたどり、その大部分が海外を送信元とするアクセスが占めている。」と記されています。さらに「DDoS攻撃の被害拡大の背景には、ランサムウェア(注3)の開発・運営を行う者が、攻撃の実行者にランサムウェア等を提供し、その見返りとして身代金の一部を受け取る態様(RaaSRansomwareas a Service)を中心とした攻撃者の裾野の広がりがあると指摘されている。」とあり、サイバー攻撃に使用する武器が売買され、ネットワークシステムの専門的知識がなくても攻撃者になることが可能で、「いつ」「どこでも」「誰でも」サイバー攻撃を仕掛けることが出来る世界が現実に出現していることが示唆されています。

スポーツの世界でもよく言われますが、守備より攻撃の方が優位であり、鉄壁の守り(防御)は非常な困難を要します。 とは言え、日本の法律では、捜査側に先手必勝は認められていません。

刑法で言う「正当防衛、緊急避難」も相手側の攻撃を受けてその防御としての実力の行使であり、前提となる攻撃を受け、その防御として刑法や警察法、警察官職務執行法等で認められているのが現状です。

囮捜査は、捜査側が相手側(犯人)をそそのかして犯罪を起こさせる行為であり、潜入捜査は、身分を偽装(嘘を言って)して犯罪者と接触する行為であり、犯罪への加担であったり、捜査側が外形上犯罪行為を行うことであるため一般的に違法捜査と解されています。

前述の「サイバー攻撃の前兆ともなるぜい弱性探索行為等の不審なアクセス件数は、増加の一途をたどり、その大部分が海外を送信元とするアクセスが占めている。」とある様に、日本の捜査権が実質的に及ばない所からサイバー攻撃者(犯罪者)は日本に対してサイバー攻撃(犯罪)を繰り返しています。

欧米諸国では、法制度が確立され、捜査側が探索行為等の不審なアクセスを認めた段階で、攻撃者のサーバー等への侵入・無害化と言われる「攻撃者のネットワークへの侵入(もちろん無許可)、ファイルの消去、プログラムの停止、削除等」が認められています。

日本においても「能動的サイバー防御」と言われ、数年前から議論が始まっていましたが、本年2月に内閣官房サイバー安全保障体制整備準備室から「サイバー対処能力強化法案及び同整備法案について」という文書が出され、法律により正規の手続きを履践してサイバー攻撃者を排除していくことが可能になる検討が実現化しました。

これらの法案が成立し、法律に乗っ取った手続きによりサイバー攻撃者を弱体化させ、ネットワーク空間の安全と安心が確保されることを期待せざるを得ません。

冒頭の特殊詐欺の手口でもある近年増加しているSNS型投資・ロマンス詐欺、暗号資産を利用したマネー・ローンダリング、闇バイトを代表とする犯罪実行者募集情報等いずれもネットワークの技術やサービスであるSNSが犯罪のツールとして悪用されることにより、深刻な治安上の脅威となっている事実は世論調査にあるとおりです。

次回は法案の具体的な内容を説明したいと思います。

(注関係)警察庁によりますと、
  • 重要インフラは、「情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む。)、医療、水道、物流、化学、クレジット及び石油の14分野の基幹システム(国民生活又は社会経済活動に不可欠な役務の安定的な供給、公共の安全の確保等に重要な役割を果たすシステム)」
  • DDoS攻撃は、攻撃者などが不正に操作した多数のパソコンなどから、攻撃目標に一斉に多量の問合せなどを行い、攻撃対象の反応が追いつかず利用できない状況にする攻撃
  • ランサムウェアは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムを言います。

 

【教授 髙橋 浩樹】

この記事をシェアする

  • Facebook
  • LINE
  • Twitter