コラム第７３１号：「サイバー空間の安全に向けて： All for one, One for all」

第７３１号コラム：丸山満彦監事（PwCコンサルティング合同会社パートナー）
題：「サイバー空間の安全に向けて： All for one, One for all」

人は大きな困難に直面した時、力を合わせることによって、その大きな困難を克服していけるものと思っています。一人一人ではできないことでも、力を合わせれば達成できる、そういうことを表す言葉として、One for all, all for one, という言葉があるのだろうと思っています。私は、その重要性を考えて、All for one, one for all、として、今回のコラムの表題にしました。日本語にすると、「みんなが一つの目標に向かって、一人一人がみんなのことを思い取り組もう」ということなのだろうと思います。「All for one」、みんなで一つの目標に向かって力を合わせよう。これが今回のテーマです。

サイバー空間の利用がますます身近になり、サイバー犯罪が増えてきています。従来は研究者、ビジネスパーソンがその利用の中心でしたが、今や子供からお年寄りまで、幅広いリテラシーの人が利用をしています。そういう状況もあって、サイバー空間を利用した犯罪もしているのだろうと思います。

サイバー空間を安全にするためには、一部の人がしゃかりきになっても限界があります。一人一人が取り組むと共に、お互いに手を携えて、協力し合うことが重要なのだろうと思います。

・70歳以上のスマートフォン利用者がこれから増える

まずは、サイバー空間の利用者をみてましょう。ビジネスや友達とのコミュニケーションは当然として、災害時通信、離れて住む老齢家族との連絡、子供の見守り等のために、携帯電話は生活に欠かせないものとなってきております。従来はいわゆるガラ携帯が使われていましたが、最近ではガラ携帯はあまりみなくなり、スマートフォンの利用が増えていると思います。スマートフォンは電話というよりも、電話通信しやすいコンピュータと考えた方がわかりやすいです。なので、オレオレ詐欺という携帯電話につきものの犯罪に加えて、いわゆコンピュータにつきもののウイルスの問題や、電子メール等の文字情報による詐欺等にも気をつける必要があります。

図１：スマートフォン保有率　年代別推移

（出典：総務省通信利用動向調査より筆者が作成）

さて、スマートフォン保有率の推移を年代別にグラフにしてみました。2011年段階では、約20%であったスマートフォン保有率が2021年では80%近くになっています。全体で見ると直線的に伸びているように見えますが、年代別の推移を見ると違った見え方があると思います。スマートフォンは最初は13歳から49歳で保有が進み、遅れて、50歳代、60歳代、70歳代と進んできています。そしてこれから80歳以上の方の保有率も増えていきそうです。また、2020年から2021年にかけて、60歳以上の保有率がジャンプアップしているのが気になります。一方、若年層についてはどうでしょうか。６歳から１２歳以下は増加率は著しくないですが、13歳から19歳の保有率が2015年からほぼ80％を超えていることを考えると、小学生高学年では多くの人が既に保有していることが推定されます。

今までは、比較的デジタルリテラシーが高い年代でスマートフォンの利用が進んでいたと思います。これからは、７０歳以上のスマートフォンの利用がさらに進むということです。そして、小学生高学年以上の未成年はほぼスマートフォンを利用している、そういう社会になるということを覚えておいてほしいと思います。

お年寄りの方が必ずしもそうとは限りませんが、新しい技術への適応というのは、私も含めて、年齢と共に衰えていくのが一般的な傾向だと思います。また、若年層は社会的経験が少なく、新しい事象に対する対応力が必ずしも高くないと思われます。

・なくならないサイバー攻撃、サイバー犯罪

一方、サイバー空間の犯罪状況等をみてみましょう。最近ランサムウェアの被害についてのニュースが多いかと思いますが、ランサムウェアの被害は増えています。図２は、日本のデータですが、おそらく世界的に同様の傾向があると思われます。

図２：企業・団体等におけるランサウウェア被害の報告件数の推移

（出典：警察庁令和３年におけるサイバー空間をめぐる脅威の情勢等について, 2022.04.07, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf）

しかし一方、インターネットバンキングに係る不正送金事件犯は減少しています。

図3：インターネットバンキングに係る不正送金事件犯

（出典：警察庁令和３年におけるサイバー空間をめぐる脅威の情勢等について, 2022.04.07, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf　から筆者が作成）

経済犯は、経済合理性に基づいて行動していると想定されるので、警察、金融庁、金融機関等を含む官民連携で犯罪防止に取り組み、犯罪に関する経済効率が低下し、ランサムウェア等の他の犯罪手法に移っていった可能性も高いと思われます。

さて、このようなサイバー犯罪の入り口の一つがフィッシングメールです。フィッシングメールがどれほど活発に送付されているかを把握することで、サイバー犯罪について、どの程度脅威が高まっているのかを推定することができそうです。幸い、日本においてはフィッシング対策協議会がフィッシングメールを受け付けています。このデータが結構興味深いです。

図４：フィッシング報告件数（年次推移）

年別に見ると指数関数的に増加していることがわかります。もちろん、報告ベースなので、網羅性がどの程度あるかは少ないですし、フィッシングメール自体はさほど増えていないが、報告しようとする人の割合が増えたので、増えているように見えるだけかもしれませんが、この増え方を見ると、おそらく実際にフィッシングメールが増えているのだろうと思います。フィッシング対策協議会のウェブページのデータを元にこの５か年の推移をまとめたので、こちらも見てください。

図５：フィッシング報告件数・URL月別推移

（出典：フィッシング対策協議会　フィッシング報告状況(https://www.antiphishing.jp/report/monthly/）の
データを使って筆者が作成）

2022年に入ってからさらにフィッシングメールの報告件数が増加していることがわかります。フィッシングのURLについては、さらに加速的に増加していることがわかります。犯罪者がサイバー犯罪エコシステムを強化したのかもしれません。犯罪者はサイバー空間での犯罪に意欲的と言えるかもしれません。注意が必要です。

サイバー犯罪を減らす二つの方向

サイバー犯罪を減らすには、犯罪者のメリットを減らすということが重要と言えます。それには二つの方向があります。一つは、スマートフォンの利用者に知識をつけて犯罪に遭わないようにするという方法です。官公庁や企業から、サイバーセキュリティの脅威やプログラム等の脆弱性の情報が提供されたり、セキュリティ対策についての情報が提供されたりしています。皆さんの知識が増え、サイバー犯罪に引っかからないようになれば、サイバー犯罪者も旨味がなくなって、サイバー犯罪以外の方法（できれば、犯罪ではない方法が良いのですが）により利益を上げていくようになるでしょう。

もう一つの方向は、サイバー犯罪を起こす気を失くすという方法です。犯罪の抑止ですね。いくつかの方法がありそうです。一つは、逮捕です。しかし、サイバー犯罪の場合、犯罪を犯しても、証拠を押さえにくい、犯罪が起こっている場所と犯罪を起こしている場所（例えば、国）が違うので、逮捕されにくい、という状況があります。もう一つは、犯罪者が儲からないようにしてしまうです。サイバー犯罪の場合は、暗号資産で価値を移転しようとすることが多いのですが、暗号資産を押収する。暗号資産を換金させないようにする等、サイバー犯罪者のエコシステムを破壊することにより、犯罪者が儲からないようにするという方法があります。

犯罪者を捕まえる、犯罪者のエコシステムを破壊するために、FBI等の各国の捜査当局が取り組みを強化しているのはもちろんのこと、各国の捜査当局Interpol、Europolなどを介して、あるいは直接的に捜査協力をして、犯人を逮捕したり、犯罪収益を押収したりする事例も増えてきています。日本の警察庁も、このような国際連携を強めるために、4月に組織変更をしましたね。このようなサイバー犯罪者の逮捕や、犯罪収益の押収の際には、捜査当局のみならず、サイバーセキュリティ会社、金融機関等の民間事業者もその捜査等に協力していると聞きます。

All for one, One for all

スマートフォン利用者の意識や知識を高めるためには、政府機関による啓発活動では十分ではないでしょう。そもそも、政府機関が発表をしても、多くの人は気づきません。そのため、身近な携帯電話会社やその代理店、金融機関、マスメディア等の民間企業の力も必要となるでしょう。商工会議所や地域のボランティア団体の活動も重要でしょう。そして、家族や兄弟、子や孫によるアドバイスというのも重要でしょう。サイバー犯罪者の逮捕や犯罪収益の押収には、捜査機関が力をつけるのは当然としても、それをサポートするサイバーセキュリティ関連企業や大学の先生などの学識経験者も重要となるでしょう。また、金融機関の協力や、被害者の協力も重要でしょう。

サイバー犯罪者以上にわたしたちが、力を合わせて、サイバー犯罪を無くそうとすることが重要なのだと思います。サイバー犯罪を無くそうという一つの目標に向かって、みんなが力を合わせ、そして、一人ひとりがみんなのために協力するという気持ちが重要なのかもしれません。

サイバー犯罪がなくなることはないでしょう。でも、減らせることはできます。そのために、All for one, one for allの精神が重要なのだろうと思います。

以　上

この2年ほどのまるちゃんの情報セキュリティ気まぐれ日記における網羅的でもない関連記事例…

政府機関等の取り組みに関する例

2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/06/post-66bfdf.html
2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム顕在化する国境なきサイバー犯罪に立ち向かうために～ランサムウェアの脅威を考える～ http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/05/post-27c894.html
2022.03.17 米国バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる… http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/03/post-ab6822.html
2022.01.31 警察法改正案情報通信局からサイバー警察局へ他 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/01/post-21d3e0.html
2022.01.27 英国スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/01/post-f0ba63.html
2021.11.16 米国財務省イスラエル財務省とランサムウェアと戦うためのパートナーシップを締結 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-5a74a2.html
2021.11.13 米国財務省金融犯罪捜査ネットワークランサムウェア及び身代金支払いのために金融システムを利用する際の勧告 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-2e97ac.html
2021.11.12 Interpol 最近のサイバー関係の発表（７つ） http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-65268c.html
2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-2f32dc.html
2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート：既存のアプローチとより広範な収斂のための次のステップ」 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/10/post-2591fb.html
2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/08/post-30ec87.html
2021.05.17 Interpol 英国の資金でアフリカのサイバー犯罪と戦うためのイニシアティブを始めた http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/05/post-a7c317.html
2021.03.04 「サイバー脅威に打ち勝つためのユニークなアライアンスの開発について」ボストン大学のサイバーセキュリティに関する会議における Paul Abbate FBI副長官のスピーチ http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/03/post-0863cc.html
2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/11/post-c30ec6.html

政府機関等による脅威情報、脆弱情報、対策情報の共有例

2022.08.01 ENISA ランサムウェアについての脅威状況 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/07/post-3e5e55.html
2022.04.21 総務省経済産業省警察庁、内閣官房サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/04/post-1463a1.html
2022.04.17 公安調査庁サイバー空間における脅威の概況2022 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/04/post-329308.html
2022.04.12 警察庁令和３年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07) http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/04/post-937ec6.html
2022.03.23 米国 FBI 2021年インターネット犯罪レポート http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/03/post-cdfcbd.html
2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/02/post-2ee836.html
2021.11.08 米国連邦取引委員会 (FTC) ランサムウェアのリスク：中小企業のための2つの予防ステップ http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-407d0a.html
2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-1423af.html
2021.10.29 ENISA Threat Landscape 2021：ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/10/post-a587b3.html
2021.07.31 米国 CISA 米国、英国、オーストラリアが共同サイバーセキュリティアドバイザリを発行 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/07/post-d10aea.html
2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee – NO MORE RANSOM (NMR) 復号ツール取り揃えています… http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/07/post-0fca2d.html
2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/04/post-61f8b1.html
2021.03.26 英国デジタル・文化・メディア・スポーツ省「サイバーセキュリティ侵害調査報告書2021」 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/03/post-18607e.html
2021.01.29 英国 NCSCがデータ漏洩に関する個人及び家族向けのガイダンスを公表していますね。。。 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/01/post-ec31c6.html
2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/10/post-7a7a5d.html
2020.03.28 Europol 犯罪者がCOVID-19パンデミックを使ってどうやって稼ぐか？ http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/03/post-40f430.html

サイバー犯罪者の逮捕、犯罪収益の押収、エコシステムの破壊

2022.06.21 米国司法省国際的なサイバー作戦によるロシアのボットネットの破壊 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/06/post-a8df43.html
2022.05.19 米国司法省ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/05/post-ea8ab8.html
2022.03.30 米国司法省重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24) http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/03/post-53ee53.html
2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立… http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/03/post-866e5b.html
2022.03.03 米国司法省タスクフォース KleptoCapture （ロシアの資金源を断つ？） http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/03/post-87d2f6.html
2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる（コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕） http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/01/post-4fa813.html
2021.12.26 2021年のEuropolのハイライト http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/12/post-2c72a7.html
2021.11.13 米国財務省政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-1a99a4.html
2021.11.12 Interpol 最近のサイバー関係の発表（７つ） http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-65268c.html
2021.11.09 米国司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/11/post-976a56.html
2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/02/post-7d11ee.html
2021.01.30 United States, Canada, France, Germany, the Netherlands, and the United Kingdomの捜査機関等が協力してEmotet Botnetを潰したようですね。。。 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/01/post-e8d03e.html
2021.01.13 Europol 世界最大の違法ダークウェブマーケットプレイスを削除 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/01/post-d6bdbd.html
2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を２万人以上を逮捕し、約160億円を押収したようですね。 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/12/post-31818e.html
2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/10/post-9dd2bb.html
2020.08.29 米国司法省北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/08/post-e0048f.html
2020.06.28 Satoriの開発者に13ヶ月の刑？ http://maruyama-mitsuhiko.cocolog-nifty.com/security/2020/06/post-49647c.html