第430号コラム:西川 徹矢 理事(笠原総合法律事務所 弁護士)
題:「ランサムウエア被害の猛威に思う」
今年に入って身代金要求型不正プログラム(ランサムウエア)による被害が急増し、インターネット利用者にとって大きな脅威となっている。このマルウエアは、感染端末及びネットワークドライブに保存されている文書、動画、写真等のファイルを暗号化して、当該データを「人質」として金銭等の財物(「身代金」)を要求するものである。初出は、かなり前であるが、ここ数年このマルウエアを使った被害が広く国内外において猛威を振るっているのである。
セキュリティ企業のトレンドマイクロ社が取りまとめた調査報告書(「Trendlabs2016年上半期セキュリティラウンドアップ」)によると、我が国内における被害報告件数は本年上半期で1,740件、前年同期比で7倍(法人に限れば9倍)にのぼり、また検出端末台数では16,600台、同比で9倍(法人で34倍)にもなっている。また政府の「サイバーセキュリティ政策にかかる年次報告(2015年度)Ⅰ1(1)」でも昨年下半期にランサムウエアによる被害が相次ぎ、国外では重要インフラサービスに支障が生じた事例があり、国内では本年2月以降増加傾向にあると警鐘を鳴らしている。
この情勢に対し、米国ではFBIが他の関係機関と協力して、昨年1月にプリペイドカードやビットコインによる支払い事例や携帯電話のロックダウン事例まで取り挙げ、取締りの強化を宣言した。我が国においても独立行政法人の情報処理推進機構(IPA)や警視庁等が同被害の多発を警告するとともに、その防止対策や発生時の対応方法等について詳細な資料を公表している。
これらの資料が指摘する最近の特徴は、支払い期限を定めるもの、カウントダウンを表示し恐怖心を煽るもの、Webページではなくテキストファイルやデスクトップの壁紙等で支払を求めるもの、英語だけでなく日本語や仏語、独語等に対応したメッセージを表示するものなどがあり、いずれも感染したユーザーを金銭支払いに誘導する工夫がなされている。中には感染端末の利用者に「復元の可能性がある」ことを示すため暗号化されたファイルの一部を復元させる手口があったり(ラック社5月17日INSIGHT第11号)、ハードディスクを暗号化しPCを起動不可能にしたり、バックアップファイルを削除するなどの破壊的手口や制限時間内に「身代金」を払わないと順次ファイルを削除し「身代金」を増額するなどソーシャルエンジニアリング的な悪質な手口のものもある。今やランサムウエア攻撃は犯罪者にとって「金のなる木」になり、被害者からより多くの「身代金」を奪うために、攻撃手法の凶悪化、巧妙化が進み、しかもその進化/悪質化の速度がいよいよ加速されていることがうかがえる。(前述トレンドマイクロ社調査報告書)
ところで警察捜査の一つに、「現場設定を伴う企業恐喝事件捜査」というのがある。30年程前、一部上場企業の社長を誘拐し、身代金を要求した事件を皮切りに、関西を舞台に繰り広げられた一連のグリコ森永事件の中で頻繁に用いられ世間の耳目を引いた。更には、これを真似て、いたずらを含めいわゆる模倣企業恐喝事件が全国的に多発したことでも有名になった。いずれも、犯人が正体を明らかにせず、「食品に毒物混入する/した」との脅迫文を郵送するなど関係企業を畏怖したうえで、多額の現金等を要求し、現金受渡し場所や方法を電話、手紙等によって指示するものである(警察白書平成7年版第3章1(4)注)。往々にして現金の受け渡し等の場面で確実に犯人を検挙するため、捜査官が知恵と心身の限りを尽くし、犯人との間に緊迫した現場捜査が展開された。
私は、警察庁捜査第一課でこのグリコ森永事件の終盤戦の捜査を担当するとともに、当時頻発した現場設定を伴う模倣企業恐喝事件捜査に従事したことがあった。
それから約20年後、私が内閣官房情報セキュリティセンター(NISC)長になりランサムウエア被害の報告を受けたとき、当時のことを思い出しつつ、企業恐喝事件と比較しながら、話を聞いた。ランサムウエア事件はサイバー犯罪としての難しさに加えて、「身代金」の授受等被疑者にとって最大のリスクである現場設定が必要でない、言い換えればその分犯罪者側に有利で成功率の高いものになるおそれがあり、厄介な捜査になりそうだと感じた。
一般に、犯人が必ず捕まる犯罪は、模倣されて如何に頻発しようが結局は廃れるものである。それ故に、警察としては、例え検挙の困難な犯罪であっても、犯罪企図者の出鼻をくじくためにも、先ず「この種犯罪はペイしない」との実績作りに邁進し、速やかな検挙に腐心するのである。
しかるにこのランサムウエア事件は、取締側に都合の悪いことに、犯行に使われる標的型マルウエアや暗号化ソフト等のツールがネット上で有償/無償で譲渡されており比較的容易に入手できること、「身代金」の確保まで、犯人は全く「身をさらす」ことなく犯行を完結できること、更には、人命や身体に直接的危害が及ばないため、個々の事件の注目度が必ずしも高くなく、心理的負担も少ないこともあって「手軽」に実行できるのである。
その後の経過を見ると、果たして、誠に残念なことではあるが、その不安は的中した。マカフィー社の最近の公式ブログは、「ランサムウエア~作成ハードルが下がり、見返りが大きいことが急増の原因」(McAfee Blog2016.4.27更新)との見出しで、端的に喝破しているように、正にこれが最大の増加原因であると思う。
勿論、これまでも、官民のサイバーセキュリティ関連機関はこの問題に対しても真摯に取組んできたし、折に触れ警告を発し世の注意喚起を促し、併せて対応ソフトやサービス等が提案/提供されるなど技術的対応を含め具体的な諸対策を多角的に繰り広げてきた。が、まだ廃れる気配はない。
私は、今日のランサムウエア被害が猛威を振るう背景となった要因は、上記ブログの原因に加えて、これまでの官民挙げての警鐘や訴えが国民一般の理解を得るまでに至っておらず、被害者が現実の局面において、危険なファイルを不用意に開封したり、理に適ったバックアップ等未然防止措置を取らないで放置するなど、日常的な対策を実施するまでの意識作りが十分に行われていないことに現れていて、甚だしきは長期間にわたり被害を受けていることにすら気付かなかった事例が散見されるようになったことだと思う。
いずれにせよこの種事犯は、攻撃者が検挙される危険が少なく、首尾よく身代金をせしめ得ると判断されるとき、最悪の場合、金銭目的のプロ犯罪集団がためらうことなく一挙に参入してくるであろうし、その時には極端な混乱が生じることになろう。最近ランサムウエア攻撃が猛威を振っているのは、我が国のサイバースペース空間がいよいよこの危険水域に入りつつあるのではないかと危惧している。
取り敢えずの対策としては、官民挙げてその脅威を認識し更に警鐘を鳴らし続けることとし、併せて官公庁や企業が率先して技術的な対策を講じ、バックアップ等の地道な対策を推進することが肝要であろう。そして、不幸にして、万が一にもランサムウエアに侵入された場合には、愚劣・不当な要求には一切応じないとの毅然とした対応をとり、直ちに犯行の成就、拡大を防ぐため必要な情報を官民の関係機関等と共有し迅速・的確な対応を取ることに徹すべきある。
併せて、我々個々人のレベルにおいても、被害にあわないために、サイバー空間に生きる一員として、積極的な参画意識を持って、この種事案の蔓延の押さえ込みに貢献すべく、身近な対策基本項目をこまめに続けて行くことを期待したい。
【著作権は、西川氏に属します】