Cisco Japan Blog

急速に拡大し始めた小規模なサイバー犯罪、社会の対応に遅れ

1 min read



サイバーセキュリティ業界は、国家の支援を受けた攻撃者による非常に大規模な攻撃や高度な攻撃に注目しがちです。技術的に最も興味深い領域ですので、そうした傾向が生まれるのも無理はありません。

サイバー犯罪というと、ほとんどの人は大規模な侵害を思い浮かべます。世間を騒がせているのは大半がそうした事例だからです。しかし、この問題のすそ野ははるかに広いのです。2021 年にインターネット犯罪苦情センター(IC3)に寄せられた苦情は、実に 847,376 件popup_iconに上ります。被害者 1 人当たりの平均損害額は 8,000 ドル程度です。高額な損害が発生した事例が平均を引き上げていることを考慮すると、1 件当たりの損害額は実際はこれよりも少額だということになります。一般的には、大規模な侵害の影響を直接受ける可能性よりも、個人情報を盗まれるなどの詐欺被害に遭う可能性のほうがはるかに高いのです。しかも、そうした事件は急速に増えています。

IC3 のデータを詳しく調べると、サイバー犯罪による苦情の件数と損害額が増え続けていることが分かります。興味深いことに、コロナ禍の時期にサイバー犯罪が急増しています。2020 年は苦情が前年比で 60% 以上も増えており、2021 年はそれをさらに上回っています。サイバー犯罪が増えているのは明らかですが、どのような要因がこの状況を招いているのでしょうか?

これまで麻薬犯罪に手を出すことが多かった犯罪者が、続々とサイバー犯罪を行うようになっているという報告が各所から相次いでいます。これには良い面もありますが悪い面もあります。さまざまな暴力や犯罪が街頭から消える代わりに、地域の法執行機関に多大な負担がかかっています。世界中で問題となっているのです。最近発表されたいくつかの報告popup_iconによると、イタリアとスペインでもこの問題が起きています。

サイバー犯罪者はどこにでもいて、米国も例外ではありません。何が変わったかというと、サイバー犯罪を行う人間です。これまでは、サイバー犯罪はホワイトカラーの犯罪行為とみなされ、高い知識を持つ人間が悪事に手を染めているのだと考えられていました。しかし、テクノロジーは今や私たちの生活に深く浸透しており、スマートフォンと欲望さえあれば誰でもサイバー犯罪を始められます。暗号通貨を巡っては合法/非合法を含むさまざまな活動が展開されていますが、その成長性や匿名性が犯罪者の注目を集めており、伝統的な犯罪組織で活動してきた犯罪者が今ではサイバー犯罪や個人情報の窃取を行うようになっています。

サイバー犯罪は地域の法執行機関の問題

一定の水準に達しなければ、サイバー犯罪が国の法執行機関の注意を引くことはありません。ほとんどの場合、その基準は犯罪の金銭的価値です。多額の金銭被害が発生しない限り FBI などの国の法執行機関が動くことは事実上なく、犯罪者もそれを承知しています。サイバー犯罪者の大半は路上犯罪者のようなもので、国の法執行機関の注意を引くことはありません。一度に大金を手に入れるより、少額ずつ何度も現金収入を得るほうがはるかに簡単なのです。大型小売店に出向き、窃取したクレジットカードを使用して数百ドルのギフトカードを購入するのは比較的簡単です。それに比べると、詐欺を働いて得た 10 万ドル相当のビットコインを現金化するのははるかに困難です。

今押し寄せてきているサイバー犯罪の波は、巨大な多国籍企業を標的にして数百万ドルを奪おうとするものではなく、人々を騙して確定申告書を盗み取ったり、偽の失業手当に登録させようとしたりするものです。今後活発化する可能性がある犯罪活動の 1 つに、個人情報の盗難とそれに付随するクレジットカード詐欺の復活があります。今ニュースの見出しを飾っているのは数千万ドルや数億ドルを奪い取ったランサムウェアグループですが、数か月後や数年後に喫緊の課題となっているのは、あなたの周りの人々を騙そうとする下っ端の犯罪者なのです。

犯罪の数値化によって判明した課題と興味深い結果

サイバー犯罪が増えていることが IC3 のデータで明確に示されていますが、それは他の犯罪の減少と相関関係があるのでしょうか?それとも新たに出現した犯罪者が引き起こしているのでしょうか?このトピックを最初に調べたときに興味を持ったのは、犯罪率が低下傾向にあるカテゴリがあるかどうかでした。つまり、サイバー犯罪に手を出す人間が増えるにつれて減っている犯罪があるのではないかと考えたのです。しかし、犯罪と言ってもいろいろあります。したがって、「犯罪行為を比較するにはどうすればよいか?」が次の課題になりました。米国で一般に訴追されている重犯罪の種類を調べたところ、犯罪者がサイバー犯罪に乗り出した可能性がある大きな領域が 2 つ見つかりました。それが暴力犯罪と麻薬犯罪です。私たちは麻薬関連の重犯罪に特に焦点を当てることにしました。麻薬犯罪者とサイバー犯罪者はどちらも非暴力的な傾向があるからです。ただし、暴力犯罪の状況も含めて検討して、顕著な変化があったかどうかを確認することにしました。

コロナ禍に見舞われているため、データの一部に歪みが生じている可能性があります。したがって、コロナ禍を超える期間を対象としたより大きなデータセットを調べる必要があります。犯罪に関する詳細なデータは広範に提供されていませんが、米国のいくつかの大きな警察機関がデータの一部を公開しています。中でも注目に値するpopup_iconのがニューヨーク市警察(NYPD)です。こうした大都市は、国全体の今後数か月間から数年間の動向を占う指標になるとみなされることが多いのです。

NYPD は、さまざまな重犯罪を含む各種のカテゴリでデータを分類しています。私たちは 7 大犯罪に分類されているもの以外の重犯罪に焦点を当てることにしました。このカテゴリには麻薬関連や武器関連の重犯罪が含まれています。コロナ禍によるデータの偏りを避けるために、2013 年から 2021 年末までのデータを調べることにしました。2022 年のデータはまだ収集中となっています。分析の結果得られたデータは、この 8 年間で犯罪が変化した様子をはっきり示していました。

麻薬関連の重犯罪の件数はこの 8 年間で大幅に減っており、コロナ禍の時期に横這いになっていることがはっきり読み取れます。興味深いことに、同じ期間における武器関連の重犯罪の件数は、年ごとにわずかな増減はあるもののほぼ横這いとなっています。したがって次の問題は、「犯罪から足を洗った人間が多かったのか、それとも別種の犯罪領域に犯罪者が移動したのか?」ということになります。

麻薬乱用者の割合はこれほど大幅に減っていないことなどを考えると、麻薬犯罪がこのように大幅に減るのはありそうもないことに思われます。大麻合法化が逮捕者数に影響を与えた可能性があることに注意する必要がありますが、ニューヨーク州で大麻が完全に合法化されたのは 2021 年 3 月のことでした。

さらに、最近初めて明らかになったデータによるとpopup_icon、殺人、暴行、強盗、重窃盗といった一部の犯罪は現在減少しています。米国の主要都市は、コロナ禍に伴う外出禁止令発令後にそうした犯罪が 30% から 42% 減ったと報告しています。コロナ禍によってサイバー犯罪の問題が加速した可能性はありますが、この傾向はずっと前から続いています。

最近の Forbes の記事popup_iconによると、この動きは約 10 年前から始まっており、その後加速し始めています。米国など世界各国でストリートギャングが麻薬犯罪を止めて、サイバー詐欺にくら替えしています。これらの犯罪者が活動する際には 2 つの方法があります。1 つは、データを自分で積極的に収集する方法です。そのためにはテクノロジー、ハッキング、マルウェアに関する専門知識が必要になる場合があります。もう 1 つは、データを単純に購入する方法です。サイバー犯罪を目論む人間が窃取されたデータを購入できるフォーラムが数多く存在しており、詐欺や個人情報の窃取を行うために必要な氏名、住所、ソーシャルセキュリティ番号などの関連情報を入手できます。したがって、残る問題はその収益化だけであり、詐欺ビジネスは急速に拡大しています。

これは通常、少額の犯罪であることから、収益化は簡単に行えます。犯罪者の観点から見ると、窃取したクレジットカードを使用して大型小売店で 500 ドルのギフトカードを購入するほうが、同様の手段で窃取した 1 万ドルを資金洗浄して処理するよりはるかに簡単で安全です。組織や活動の規模が大きくなると、連邦法執行機関の関心を引く可能性が高くなります。こうした国の法執行機関は、サイバー犯罪の訴追に関してはるかに豊富な資金力と高度な能力を備えています。コロナ禍によって、新型コロナ救済基金や関連する失業給付詐欺popup_iconなど、犯罪者が利用する詐欺の手口が新たに生み出されています。提供される基金が増えたのに加えて、関係者の健康を守るために申請手続きがオンラインに移行されており、犯罪を目論む人間にとって格好の標的となっています。以前から行われていた詐欺や個人情報の窃盗犯罪も加えると、これらのグループの収益はかなりの金額になります。

法執行機関を待ち受ける課題

新たに押し寄せてくるこうしたサイバー犯罪者を訴追する任務を負っているのは、法執行機関です。ただし、この犯罪の多くは小規模であるため、重大な金融犯罪を担当することが多い州政府や連邦政府の機関ではなく、地方の法執行機関が責任の大半を負うことになります。残念なことに、これは犯罪者にとっていくつかの点で有利になります。地域の法執行機関は、麻薬犯罪や暴力犯罪といった数々の課題に日々直面しており、それらに対処するために高度な訓練を受けています。この種の逮捕は危険を伴う場合があり、非常に特殊なスキルセットが必要になります。

それに対してサイバー犯罪は、まったく種類の異なる問題になります。法執行官は、ドアを壊して銃撃をかいくぐる代わりに、犯罪者自身や詐欺の標的となった組織/人々のデータを精査し、行われた取引の関連性を調べ上げて、証拠の整った確実な訴追を行う必要があります。

必要なスキルがまったく異なるこの 2 つの問題に効果的に対処しなければならないことが真の課題となっています。これは、地域の法執行機関が今後抱えることになるジレンマです。ご存じのように、情報セキュリティの専門家は需要が高くなっており、多額の報酬を要求する可能性があります。現職の法執行官を訓練してサイバー犯罪の訴追を行えるようにするのも難しいかもしれません。

法執行機関には、民間部門で行われている対応策が参考になる可能性があります。セキュリティ人材が不足している場合に採用されることが増えている対応策の 1 つとして、セキュリティに対して興味があり、仕事を成し遂げるために必要な調査意欲を持った人材を組織の中から探し出すことがあります。警察には捜査員がたくさんいます。オンラインで調査を行うスキルを持った人材を見つけて、今後のサイバー犯罪対策に活用することができます。

さらに、地域社会の若者に目を向けることも、人材パイプラインを築くための強力なリソースになり得ます。地域の既存のコンピュータ サイエンス プログラムや高校と関係を築いてセキュリティ人材を見つけると、大きな力になる可能性があります。この方法はすでに世界中で採用されています。たとえば英国では、1 年間で 700 万ポンドの投資を行ってpopup_icon、イングランドとウェールズのすべての警察にサイバー犯罪部隊を設置しました。

簡単な答えはありませんが、将来的には警察のあり方を変えることが必要になる可能性があります。犯罪者が路上から次々に消えてキーボードやスマートフォンの向こう側に隠れ始めると、従来の法執行機関は困難に直面することになるでしょう。最初は特定の種類の犯罪が減ったように見えるかもしれませんが、詐欺やサイバー犯罪が同じくらい増えているかもしれません。それらは従来の犯罪ほど簡単には数値化できません。未来の警察は、管轄地域における麻薬の取り締まりや暴力問題への対処を続けながら、より多くのハイテク犯罪を識別して訴追する能力を高める必要があります。

まとめ

長年にわたって私たちが何度も見てきたように、新種の犯罪が生み出されることは滅多にありません。たいていの場合は形が変わっただけです。今日の世界はテクノロジーによって動いています。テクノロジーは私たちの生活においてかつてないほど重要な役割を果たしており、犯罪活動も必然的に増えることになります。犯罪者は罪を犯すために生きているように見えるかもしれませんが、実際は、自分と家族を養うために犯罪生活を送ることを選んでいる場合が多いのです。犯罪者は普通の人と同様にリスクに敏感です。麻薬を売るよりもキーボードを叩いて犯罪を行うほうが全体的なリスクが低く、理にかなっています。法執行機関にすぐに目を付けられる可能性もかなり下がります。またサイバースペースでは縄張り争いは通常ありません。あったとしても暴力的な争いにはなりにくいという性質があります。サイバー犯罪のマージンは非常に大きく、できる限り短い期間でできる限り多くの収益を上げることが最終目標になります。テクノロジーが規模とスピードの鍵を握っています。

法執行機関、特に地域レベルの機関は一般市民を保護する任務を負っており、犯罪者とともに進化していく必要があります。今後、犯罪者が保身を意識するようになり、Tor などのテクノロジーに精通していくにつれて、逮捕はますます困難になっていくと思われます。こうした変化は 10 年前から起きていましたが、コロナ禍で人々が家にこもる状況が何年か続いたため急速に進展しようとしています。警察はこの状況に対処する能力を今すぐ構築し始める必要があります。「このコロナ禍で犯罪者の能力がどれだけ向上したか?」が最終的な問いになりそうです。

 

本稿は 2022 年 08 月 08 日に Talos Grouppopup_icon のブログに投稿された「Small-time cybercrime is about to explode — We aren’t readypopup_icon」の抄訳です。

 

コメントを書く