先週茨城県警がサイバー犯罪をしていたと思われる人物を検挙し、そのアジトからサーバーなどのデジタル機器を押収した。約6,500万件のID・パスワードのセットのほか、新しい「リスト攻撃」のためのツールが当該サーバーから見つかったという。
https://headlines.yahoo.co.jp/hl?a=20200117-00000009-ibaraki-l08
「リスト攻撃」というのは、ひとつのID・パスワードのセットを入手したら、その組み合わせをいろいろなサイト(通販だったり、オンラインバンクだったり、アダルトサイトだったり・・・)にぶつけてみて、うまくログインできたら乗っ取り成功という手法。サイトにぶつけていくのも自動化できるから、お茶を呑んでいるうちに「当たり」をひくことも十分可能。
今回の新しいツールというのは、当該ID・パスワードのセットを使っている人のメールなどインターネット利用の履歴や通信内容から、使っている公算の高いサイトを自動抽出する機能があるという。まあ、確かにこれならまぐれ当たりよりはヒットする可能性が高い。
だから「ID・パスワードの使いまわしは止めましょう」と警察などは注意喚起をするのだが、実際ID・パスワードがどんどん増えてわからなくなってしまう人も多いだろう。妥協点としては、一定額以上の金銭をあつかうなど重要なサイトは個別のパスワード、その他一般は標準パスワードにするくらいだろうか。
何度も「サイバー空間の(刑事)法体系が不十分だ」と主張している僕だが、今回は県警と日本サイバー犯罪対策センター(JC3)の協力で、「Real Cyber Inspection」がうまく行った例だと覚えておきたい。JC3の役割や設立趣旨は下記にあって、産学官の情報共有や海外連携を通じて、犯罪の実態解明・犯罪者の追跡特定・驚異の軽減や無効化を計るというものだ。
https://www.jc3.or.jp/index.html
JC3のは一般財団法人でTOPも大手ITベンダーの幹部が務め、会員企業もデジタル関連企業が名を連ねている。しかし求められるのはサイバー空間での捜査能力。いかに法的根拠が弱いからと言っても、このような機関は「警察庁の一部署」にすべきではないでしょうか?今後この組織の出番は確実に増えるのですし・・・。