第729号コラム:松本 理事(IDF理事、株式会社ディー・エヌ・エー)
題:「サイバー犯罪の見えない経済」
サイバー犯罪被害に関連するコストは、インシデント対応やシステム復旧、セキュリティ対策などに関わるお金の流れ、いわゆる目に見える経済だけが全てでない。サイバー犯罪者の懐に消え、犯罪者コミュニティで循環する、追跡が極めて困難な見えない経済が存在する。今回のコラムではこの「見えない経済の見える化」について取り上げてみたい。
サイバーセキュリティ専門の調査会社Cybersecurity Venturesによると、2021年のサイバー犯罪被害により発生したコストは、世界全体で総額6兆ドルを超え、2025年には10兆5000億ドルに達すると予想されてる(※1)。
被害コストの試算は、近年の前年比成長率、国家や組織犯罪集団のハッキング活動の劇的な増加など、過去のサイバー犯罪のデータに基づいている。コストには、データの破損や破壊、金銭の盗難、知的財産の盗難、個人情報や財務情報の盗難、横領、詐欺、攻撃による業務の中断、フォレンジック調査、ハッキングされたデータやシステムの復元・削除、生産性の低下、風評被害などが含まれている。被害額の10兆5000億ドルのうち半分は被害者組織の支援を行うサイバー保険やDFIR企業、セキュリティサービスベンダーなどに渡り、残りはサイバー犯罪者やマネタイズ事業者の懐に消える。これは裕福な先進国企業からサイバー犯罪者への史上最大の富の移転になると言われている。
この10兆5000億ドルという数字は大きすぎてあまりピンと来ないかもしれないので、規模的にわかりやすい比較対象を挙げよう。UNDOC:国連薬物犯罪事務所の報告によると、全世界のマネー・ロンダリングの総額は、世界全体のGDPにおける2~5%程度とされている(※2)。
2021年時点における世界全体のGDPは、およそ96.3兆ドルであるため、この計算によると毎年マネロンにより最大で4.8兆ドルの犯罪収益が洗浄されていることになる。
同じように、サイバー犯罪被害のコストをGDPと比較すると、2021年の段階で6%を超えている計算になる。かなりおおざっぱな試算ではあるが、世界全体のサイバー犯罪コストの規模感をつかむために頭に入れておいて損はないと思う。
それではもう少し地に足の着いた数字をみてみよう。ランサムウェアの身代金支払いやダークマーケットの決済など、サイバー犯罪者にとって使い勝手の良い送金手段として悪用される暗号資産の最新状況について、ブロックチェーン分析サービスを手掛けるChainalysisが「2022年暗号資産関連犯罪レポート(※3)」を公表している。
報告書によると、Chainalysisが追跡した2021年の暗号資産の取引全体のうち、違法な暗号資産アドレスに流入した金額は140億ドルとされている。
この金額はあくまでChainalysisが独自に入手した、ダーティなマーケットプレイスや不正な暗号資産のロンダリングサービス、ランサムや詐欺などの犯罪で実際に利用された暗号資産アドレスの観測/分析結果に基づいている。暗号資産の不正の全体像を可視化したものではないが、実際の悪用事例に基づく積み上げの数字のため、ある程度信頼のおけるデータと考えてよい。
年間140億ドルの不正な暗号資産の取引金額について、2021年にChainalysisが追跡した暗号資産の取引金額の合計が15兆8,000億ドルであることを考慮すると、暗号資産の取引量全体に占める不正利用の割合は予想以上に低いものといえるだろう。
ちなみに、Chainalysisはレポートの中で、2021年のランサムウェア身代金支払い額を6億200万ドルと報告している。ただしこれはあくまで観測可能な範囲で低く見積もった金額であり、2021年における実際の被害額の合計は、遥かに大きなものになるだろうと説明している。
ランサムウェアの身代金支払い状況については、2021年から稼働しているRansomwhreというボランティアによるクラウドソーシングのサービスでも可視化されている(※4)。
Ransomwhreによるとサービスが稼働した2021年7月から2022年7月25日までの合算で、1億2400万ドルの暗号資産がランサムウェアの攻撃者への手に渡ったとされる。サービスではランサムウェアのグループごとに被害者が支払ったビットコインの累計についても確認することが可能で、現在どのグループが猛威を振るっているのかが可視化されている。
Ransomwhreではユーザーからの報告をベースにしているため、ここで計上されている数字はあくまで報告のあったものに限られる。
Chainalysisのレポートと同様に、このサービスで被害の全体像が把握できるわけではない。ただし、報告には身代金支払いのスクリーンショットの添付が必須であり、運営側が適宜真偽を確認し、疑わしいデータは削除するという運用を行っているため、取り扱われているデータは、ある程度信頼がおけると考えてよいだろう。
極めて当たり前のことだが、サイバー犯罪は国境をいとも簡単に越えるうえ、秘密裏に実行されるため、被害の全体像を見積もることは非常に困難だ。一方で、サイバー犯罪の被害コストは2021年には6兆ドルに達すると試算され、そのうちの何割かは犯罪者の手に渡っている。既に一国の国家予算に匹敵する金銭が犯罪者コミュニティで循環し、我々には見えない経済が回っているのだ。
犯罪者の経済活動を可視化せずして、効果的な対策が打てるとは思えない。効果的な対策を打つためには、サイバー犯罪のプロセスと結果の両方の観測が不可欠である。幸いなことに、利便性の観点から犯罪者に根強い人気のあるイーサリアムやビットコイン等のメジャーな暗号資産は、透明性の高い決済ネットワークでもあるため、犯罪者の受け口アドレスが識別可能であれば、ChainalysisやRansomwhreのように該当アドレスへの送金を観測することで被害状況をある程度把握することができるかもしれない。ただし、本来ならばこれは民間企業やボランティアではなく、犯罪捜査に関わる法執行機関が主導すべき仕事だろう。
違法行為に関連した暗号資産アドレスを効率よく収集し、サイバー犯罪者への資金の流れを可視化する方法はこれから検討されねばならない。
米国で検討されているRansom Disclosure Act(※5)はその第一歩といえる。また、犯罪者によるアドレスの隠蔽にも対策を打つ必要がある。
課題はまだまだ山積しているが、暗号資産の特性を理解したうえで、一歩づつ対応するしかない。このまま暗号資産が、国境の壁を越えてグローバルに荒稼ぎするサイバー犯罪者にとって、使い勝手の良い「基軸通貨」のような存在になっていくのだとしたら、いつの日か「サイバー犯罪の見えない経済」が可視化される未来がやってくるのかもしれない。
(※1) Cybercrime To Cost The World $10.5 Trillion Annually By 2025 https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
(※2) UNODC Money Laundering
https://www.unodc.org/unodc/en/money-laundering/overview.html
(※3) Chainalysis 2022 Crypto Crime Report https://go.chainalysis.com/crypto-crime-report-2022-jp.html
(※4) Ransomwhere
https://ransomwhe.re/
(※5) Ransom Disclosure Act
https://www.congress.gov/bill/117th-congress/house-bill/5501
【著作権は、松本氏に属します】