ニューノーマル時代の到来により、顧客サービスの非対面化や業務のデジタル化・オンライン化を推進する企業が急増しています。
金融・保険業界においては「スマホ・Webチャネルの強化」、流通・小売業界においては「販売チャネルのEC化」、各企業ではテレワークの導入が進む中、これらを安全・快適に実施するためにはセキュリティ対策が重要です。
本コラムでは、神戸大学大学院工学研究科森井教授によるニューノーマルにおける本人認証の最前線を解説いたします。
1.はじめに
ネット決済の脆弱性が話題になっている。一部の銀行が極めて問題のある認証方法を採用していたことによって、勝手に第三者の銀行口座に紐付けされ、不正に預金が引き出されるという問題が露呈し、さらにはネット決済の不正な利用がいくつも明らかになった。具体的な手口については多種にわたるようだが、口座情報等の個人情報があらかじめ漏洩していて、それが利用されたのではないかと考えられている。
今回問題となったのは個人を対象としたネット決済に絡む不正送金だが、企業を対象とした不正送金事例もある。有名な事例は、2017年末に起きた大手航空会社に対するビジネスメール詐欺だ。顧客になりすまして、偽の銀行口座に3億6千万円を振り込ませたものである。この企業を騙す手口は、相手を信用させるために高度な手口、特に企業の内部情報を利用することが常である。このような個人情報や企業の内部情報は如何にして手に入れるのだろうか。実は、このような個人情報や企業情報の売り買いに対する不正なビジネスがすでに成立しているのだ。その一つの市場がダークウェブと呼ばれるものである。
2.地下に潜った「闇サイト」
一昔前に「闇サイト」が問題になった。いわゆる「悪のマッチングサイト」である。マッチングサイトとは、需要と供給の仲立ちをするインターネットサービスであり、すべてのネットサービスの基本といっても過言ではない。たとえばオークションサイトやフリマアプリでは、売りたい人と買いたい人の仲立ちをするサービスとなっている。これを悪人が利用した。犯罪者がその片棒を担ぐ仲間をネットで募集したのだ。闇サイトは犯罪に関わる、ありとあらゆる仲立ちに使われた。殺人まで引き起こした、この闇サイトは当然のことながら取り締まりの対象となり、一掃されたかのように見える。しかし無くなったわけではないのである。
闇サイトは地下に潜った。つまり、一般の人の目に触れないところに作られたのだ。目の触れないところとは、特殊な操作をしなければ見ることができないという意味である。さらに一般のマッチングサイトやウェブであるならば、誰がアクセス、つまり閲覧したか、調べればわかるのだが、この地下に潜った闇サイトはわからないのである。今ではダークウェブと呼ばれ、国際化している。ありとあらゆる違法なものが各国の言語で取引されているのである。犯罪者同士の結託だけでなく、違法薬物や盗品、銃器なども取引されている。ダークウェブは違法だが、犯罪と無縁な一般人は無関係なのだろうか。アクセスしなければ、直接犯罪に巻き込まれることはないのだろうか。いや、そうではない。ダークウェブでは過去に流出したパスワードやクレジット番号等の個人情報や企業の秘密情報も取引されている。特に企業の様々な情報は大きな、そして組織的な詐欺を引き起こす可能性がある。
3.企業規模に関わらず情報漏洩対策の見直しを
先に紹介した航空会社に対するビジネスメール詐欺では、取引先になりすまして、航空機リース料の請求メールを送られ、騙されてしまったのだ。メールもほとんど本物と見分けがつかず、請求書も本物に酷似した従来通りの形式で、発信者も従来の取引先の名前とメールアドレスが表示されていたそうだ。もちろん騙されて振込手続きを行い、それを許可した人の責任は免れないが、必ずしも強く非難できないであろう。サイバーセキュリティ対策を行っている大手企業ですら騙されるのである。あなたの会社の詳細な取引情報がダークウェブで売られているかもしれない。それを利用して巧妙な振り込め詐欺に遭うかもしれないのだ。会社の取引情報も含めて、ありとあらゆる情報の管理を厳しくすることはますます重要になってきているが、それでもダークウェブに流出し悪用される可能性がある。振り込め詐欺に注意するのは高齢者だけでなく、会社も注意しなければならないのである。
ダークウェブで企業の秘密情報が売買されている可能性があるのだ。もちろん、新規プロジェクトの情報や製品開発情報といった極めて機微な秘密情報の可能性もあるのだが、何気ない企業内、あるいは取引先とのメールが売買されている。そのメールには契約書や請求書、領収書、納品書の類が添付されていることもあり、取引相手との詳細なやり取りが記載されている。そのような情報を基にして、ビジネスメール詐欺をはたらき、企業を、そして担当者を信用させ、偽の取引、つまり詐欺を行うのである。では、このような情報はどこから漏れるのだろうか。一概には言えないが、マルウェアによる情報搾取が多いようだ。多くの企業が、「私の会社はマルウェア対策を行っており、かつ情報漏洩が起こった事実はない」と言うことだろう。しかし、昨今のマルウェアの大きな特徴はそのステルス性、つまりマルウェアに感染したことも、そのマルウェアが発症し、情報漏洩や感染等を行ったことすら察知されないようにすることである。企業の規模に関わらず、マルウェア対策を見直すとともに、自社の情報漏洩の可能性やビジネスメール詐欺についても対岸の火事と考えず、その対策について少なからず危惧することが肝要だ。
森井 昌克 氏
神戸大学大学院工学研究科教授
1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。現在、神戸大学大学院工学研究科教授。情報セキュリティ大学院大学客員教授。
情報通信工学、ネットワークセキュリティ、情報理論、暗号理論等の研究、教育に従事。加えて、インターネットの文化的社会的側面、それを基盤としたネット社会、およびビジネス、ベンチャー起業についての研究、社会活動にも従事。内閣府、総務省、経済産業省、厚生労働省、及びその関連団体の審議会、委員会等の委員を歴任。2018年経済産業大臣表彰。2019年総務省情報通信功績賞。