メディア・マスコミ 国際・外交 シンガポール

インターポール・サイバー部門トップが明かす「超国家型攻撃」の驚異

【初代総局長は日本人】後編

国際刑事警察機構(インターポール)のサイバー犯罪対策組織の初代総局長に就任した中谷昇氏。前編】(http://gendai.ismedia.jp/articles/-/50084では組織誕生の背景や、トップに就任した理由などを明かしてくれた。後編では、巧妙化するサイバー犯罪の手口と、日本の、そして世界のサイバー対策への懸念についてを吐露する。

「流出」ではない。「盗まれた」のだ

2016年6月、旅行業界最大手JTBが「標的型メール攻撃」によって約793万人分の顧客情報を盗まれた恐れがあると発表し、話題になったことは記憶に新しい。こうしたサイバー攻撃事案は、危険性が叫ばれているにもかかわらず、一向に減る気配はない。2015年には、日本年金機構から100万人の個人情報が盗まれている。

インターポールのサイバー部門である「IGCI」でトップを務める中谷は、こうした事件が報じられるたびに、もどかしさを感じているという。マスコミの報道の仕方に疑問を感じている、と明かすのだ。

「JTBのケースもそうですが、日本のメディアでは、『情報流出』と報じられている。……この言葉に強い違和感を覚えます。『情報流出』と言うと、漏らした側が悪いという話になってしまうからです。現実には情報は盗まれたのです。

もちろん企業側の管理が甘かったという側面はあるかもしれませんが、本当に悪いのは盗んだ側なのです。ほとんどの大手企業は一定のセキュリティ対策を施しているので、やられる側に一義的に責任はないのです」

「流出した」のではなく「盗まれた」――中谷はこの認識の変化を促すべきだという。「実際外国では『hacked(ハッキングされた)』とか『stolen(盗まれた)』と報じられ、流出とは報じられない」と指摘し、そこに意識の違いが生まれると考えている。

「流出」という言葉への違和感を明かす中谷総局長

サイバー攻撃を仕掛けて情報を盗みとった側が悪いのに、日本のマスコミは企業側の責任ばかりを問う。個人情報を「流出させた」企業側に一義的な責任が行くと、今後同様の事件が起きた時に、顧客や株主に対するイメージを保つために事件を報告しないということにもつながりかねない。なにより、犯行組織の存在が見えづらくなってしまう。

決して手出しが出来ない事案

民間企業にサイバー被害を報告させるというのは、例えばサイバー大国である米国でも政府にとって大きな課題になっている。民間企業は自分たちの失態を公にしたくないものだが、どんなサイバー攻撃や被害が起きているのかを把握することなく、サイバー対策の政策は立案できない。

これはちょうど、公衆衛生を例に挙げると分かりやすい。巷間でどんな感染病が流行っているのか知ることなくして、対策が講じられないのと同じだ。国民の健康を守る効果的な政策立案は、正確な統計を基に作られていくのである。

IGCIに所属する、ある調査官もこう語っている。

「インターネットという公共物をみんなで守って行くべきだと、だれもが意識をもつようになればいいと考えている。被害にあった企業もその被害状況をみんなで情報発信し、共有する。それがここIGCIで各国から派遣されている調査官が基本的に行なっていることです。そういう環境作りがサイバー犯罪対策には不可欠なのです」

 

世界各地で発生しているサイバー事案は、IGCIのフュージョン・センター(情報共有センター)で集約・分析され、IGCIから各国に情報が提供される。また加盟国の捜査当局は、国をまたいだサイバー犯罪を捜査するために、IGCIにサポートを求める。冒頭で触れた日本のATMで現金が引き出されたケースでも、南アの当局はIGCIに捜査協力を求めてきたという。

世界中のサイバー事案に目を光らせ、加盟国をサポートするIGCIだが、実は彼らにも決して手を出すことができないサイバー事案が存在する。

国家型のサイバー攻撃である。