Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

日本の「Real Cyber Inspection」

 先週茨城県警がサイバー犯罪をしていたと思われる人物を検挙し、そのアジトからサーバーなどのデジタル機器を押収した。約6,500万件のID・パスワードのセットのほか、新しい「リスト攻撃」のためのツールが当該サーバーから見つかったという。

 

https://headlines.yahoo.co.jp/hl?a=20200117-00000009-ibaraki-l08

 

 「リスト攻撃」というのは、ひとつのID・パスワードのセットを入手したら、その組み合わせをいろいろなサイト(通販だったり、オンラインバンクだったり、アダルトサイトだったり・・・)にぶつけてみて、うまくログインできたら乗っ取り成功という手法。サイトにぶつけていくのも自動化できるから、お茶を呑んでいるうちに「当たり」をひくことも十分可能。

 

 今回の新しいツールというのは、当該ID・パスワードのセットを使っている人のメールなどインターネット利用の履歴や通信内容から、使っている公算の高いサイトを自動抽出する機能があるという。まあ、確かにこれならまぐれ当たりよりはヒットする可能性が高い。

 

    f:id:nicky-akira:20200118134255j:plain

 

 だから「ID・パスワードの使いまわしは止めましょう」と警察などは注意喚起をするのだが、実際ID・パスワードがどんどん増えてわからなくなってしまう人も多いだろう。妥協点としては、一定額以上の金銭をあつかうなど重要なサイトは個別のパスワード、その他一般は標準パスワードにするくらいだろうか。

 

 何度も「サイバー空間の(刑事)法体系が不十分だ」と主張している僕だが、今回は県警と日本サイバー犯罪対策センター(JC3)の協力で、「Real Cyber Inspection」がうまく行った例だと覚えておきたい。JC3の役割や設立趣旨は下記にあって、産学官の情報共有や海外連携を通じて、犯罪の実態解明・犯罪者の追跡特定・驚異の軽減や無効化を計るというものだ。

 

https://www.jc3.or.jp/index.html

 

 JC3のは一般財団法人でTOPも大手ITベンダーの幹部が務め、会員企業もデジタル関連企業が名を連ねている。しかし求められるのはサイバー空間での捜査能力。いかに法的根拠が弱いからと言っても、このような機関は「警察庁の一部署」にすべきではないでしょうか?今後この組織の出番は確実に増えるのですし・・・。