ザイフ流出事件の犯人を追跡
いま日本の仮想通貨が狙われている。2018年9月、国内の大手交換サイト「Zaif(ザイフ)」で、約70億円分の仮想通貨が盗まれた。同年1月には、やはり大手の取引所「コインチェック」が不正アクセスを受け、約580億円相当の仮装通貨が流出したばかりだった。
とにかく被害額が大きい。しかも犯人が捕まらない――それが仮想通貨を狙った事件の特徴だ。
しかし、ザイフの事件は、日本のサイバーセキュリティを考える上で転換点になるかもしれない。事件の発覚直後から、国内のセキュリティ専門家ら6人のホワイトハッカー(サイバー攻撃に対処するIT技術者)チームが水面下で結成され、犯人を追跡していた。そのメンバーの1人で、一般社団法人「日本ハッカー協会」理事の杉浦隆幸氏に話を聞いた。
——チームでどのように追跡したのですか?
杉浦 追跡の手段は、仮想通貨のネットワークに「わな」を仕掛けることでした。犯人の端緒をつかむため、事件から約1カ月間、じっと動向を見守ってきましたが、仮想通貨の取引データのログ(履歴)を解析することで、ついに犯人が接続したと思われるIPアドレス(ネット上の住所)が特定されたのです。
今回、ザイフで盗まれたのはビットコイン(約42億円)、ビットコインキャッシュ(約21億円)、モナコイン(約7億円)でした。追跡チームでは、このうち流通量が少ないモナコインに目をつけました。仮想通貨の取引は、ブロックチェーンの取引履歴を共有・管理するため、「ノード」(結び目)と呼ばれる送金窓口のコンピューターに必ずアクセスをしなければなりません。流通量が少ないということは、その「ノード」が少ない、ということになります。
「日本ハッカー協会」理事の杉浦隆幸氏
——それが「わな」になるわけですか?
杉浦 そうです。盗んだ仮想通貨を別の口座に移すためには必ず、どこかのノードにアクセスすることになります。だから自分たちで新たなノードを作って、そこにアクセスしてきた取引のログを取って分析することを考えたのです。モナコインのノード数は200前後。チームで新たに220近くのノードをネットワーク上に作ることができたので、半数以上のノードが私たちの仕掛けた「わな」になった。犯人が送金手続きのため接続してくれば、接続元のIPアドレスが逆探知できるかもしれない。場合によっては、個人まで特定できる可能性があります。
そして事件から約1カ月後、犯人が盗んだ仮想通貨の送金を再開した際に「わな」にかかった、というわけです。特定したIPアドレスは欧州のものでした。ただ、私たちにできることには限界がある。判明した情報は、金融庁や警察当局に提供しました。
サイバー犯罪に対応するために、こうしたチームが作られるのは珍しいことです。活動に資金がかかるし、そもそもその技術がある人間が少ないからです。ただ、今回の取り組みによって、匿名性が高いとされる仮想通貨で犯人特定の可能性が出てきたことは、今後、同様の事件の抑止や警告につながる成果だと考えています。
2020年東京五輪は「本番前」が危ない
いま日本では、セキュリティ人材の不足が懸念されている。経済産業省の推計では、2020年には必要な人員数に対して約20万人もの人材が不足すると指摘されている。防衛省ではサイバー防衛に従事する人員を今年度末までに150人規模に拡充し、さらに19年度には一部を外部委託して220人まで増やす計画だというが、米国や中国など海外に比べ大きく後れを取っているといわれる。
実際、脅威は日に日に大きくなっている。情報通信研究機構(NICT)が運営する観測システムで、2017年に観測されたサイバー攻撃関連通信は約1500億パケット。実に、観測が始まった05年の500倍である。これは、そのまま日本が攻撃された数ではないが、サイバー攻撃がいかに日常的になっているかがよく分かる数字だ。
日銀が17年に国内計411の銀行や信用金庫に対して実施した調査では、その半数が2年以内にサイバー攻撃を受けたと答えた。最近でも、公的機関や企業が狙われたケースは枚挙にいとまがない。
——どのようなところが狙われているんでしょうか。
杉浦 まず、誰もが常に攻撃にさらされていると思っていたほうがいい。攻撃の目的はそれぞれです。特定の企業の機密情報かもしれませんし、IDやパスワードを盗むだけという場合もあります。対処としては、常にシステムを最新にアップデートしておくことです。
逆に言えば、当然のことながら、旧式のシステムは攻撃されやすい。例えば5年前のシステムのまま、更新していないようなところは危ない。中小企業では資金的に厳しいでしょうが、サポートが終了したウィンドウズXPなど旧式のシステムが狙われたら防げません。こうした企業では、重要な情報を仕分けして、できるだけオフラインにしておくことです。
また、2020年東京五輪でのサイバー攻撃が懸念されていますが、実は、守りやすくもなります。大規模な予算がつきやすいからです。だから、“目立つ”ために五輪を狙うことはあっても、ビジネスとして攻撃してくるのは、防御が強固になる五輪本番よりも前の時点でしょうね。
SNSで世論操作も
こうしたサイバー攻撃には、国家戦略の一部だと疑われるケースもある。冒頭のザイフやコインチェックの事件では、北朝鮮のハッカー集団が関与しているのではないかとも言われた。一方、2018年10月には、トランプ米大統領の私用携帯電話が中国とロシアの情報部門に盗聴されていると、米紙ニューヨークタイムズが報じた。
——実際に国家的なサイバー攻撃は行われているんでしょうか。
杉浦 確証を持って言うことはできません。仮想通貨流出事件の犯人が、仮に北朝鮮のハッカー集団だとしても、たとえば彼らが中国で活動していれば、アクセス履歴からは中国からの不正アクセスとしか見えない。発信元が中国やロシアだったとしても、犯行グループの実態は違う可能性もある。アクセス履歴だけでは、ハッカーの国籍はわからないのです。
ただ、中国やロシアの政府による盗聴などはあり得ます。彼らが軍備拡大を進め、活発な情報活動をしているのは事実ですから。北朝鮮だってそうです。その点で、日本政府は潔白だと言い切れますが、これからの時代、備えは必要です。サイバー攻撃による情報戦や心理戦は高度化し、いまやSNSへの書き込みなども世論操作に使われていますから。
メールを乗っ取られたらどうするか
情報処理推進機構(IPA)が毎年発表する「情報セキュリティ10大脅威」では、個人が対象となった被害の1位は「インターネットバンキングやクレジットカード情報等の不正利用」で、2位が「ランサムウェア(システムの重要なデータや機能を奪い、解除するために“身代金”を要求するもの)による被害」だった。
実際、個人ユーザーにとって最も身近な脅威は、個人情報の流出だろう。2018年10月には米フェイスブックで、外部のハッキングによってユーザーの名前や連絡先など約2900万人分の個人情報が流出したことが分かった。米グーグルも、運営するSNS「グーグル+(プラス)」で、最大50万人分の個人情報が流出した恐れがあると発表した。
——ここのところ、大規模な情報流出のニュースが続いています。
杉浦 個人情報の流出は必然です。個人情報をサイトに登録すれば、そのサイトが個人データを預かるわけです。その段階ですでに流出する可能性があります。むしろ「必ず漏れる」と肝に銘じておいたほうがいいでしょう。
個人を狙った最近の流行は、たとえば、アップルなどからの公式メールを装った「偽メール」です。アマゾンや楽天、あるいは大手銀行などを語るケースもある。これらはリンクや添付ファイルをクリックさせて、IDとパスワードを盗もうとするものです。どこかのサイトに登録させようとするパターンもあります。巧妙にできていますが、アップルなどが公式メールでIDやパスワードを尋ねることはありません。
また危ないのは、同じメールアドレスと同じパスワードの組み合わせで複数のサイトに登録しているケースです。思い当たる人も多いのではないでしょうか。その組み合わせで、ほかのサイトにもどんどん入られてしまいます。
「日本ハッカー協会」理事の杉浦隆幸氏
——パスワードの管理が面倒で、ついつい使い回してしまいます。
杉浦 危険なことです。そこにオンラインバンキングやクレジットカードの情報があれば、現金を引き出されたり、カードが使われたりする可能性もあります。バックアップデータやキーチェーン(ネット上でIDやパスワードを保存・管理する仕組み)の中のデータが盗まれるかもしれません。アマゾンなどのアカウントに入り込んで、商品レビューを書くためだけに使われるケースもあります。レビューで特定商品の評価を高めることが商売になっているのです。
そして、なによりも自分のメールアカウントは絶対に盗まれてはいけない。メールを乗っ取られるということは、そのメールアドレスで登録したサイトで勝手にパスワードを変えられて、自由に使われてしまいます。
ただし、メールアカウントを盗まれたからといって、焦ってアカウント自体を削除することはやめましょう。自分でアクセスできなくなり、さらに面倒なことになります。まずは、すぐに新しいパスワードに変更し、同時に、登録しているサイトのパスワードも即座に変えることです。
取材・文=渋井 哲也
編集=POWER NEWS編集部
バナー写真:Graphs/PIXTA
