サイバー犯罪(警察庁が今年上半期の状況を発表)


日経新聞の18年8月17日夕刊に、警察庁が今年1〜6月におけるサイバー犯罪の発生と検挙状況を発表したとの記事がありました。ITを利用した詐欺、不正アクセス、児童売春、商標法違反などをサイバー犯罪と定義しているようですが、金融に関連するフィッシングなど不正アクセス禁止法違反の認知件数は383件で対前年66件の増加、フィッシング件数は102件ということです。検挙人数は63人で昨年前半より5名増加しています。

もう少し、詳しい内容は警察庁のサイバー犯罪対策サイトで閲覧できます。

http://www.npa.go.jp/cyber/index.html

これを見ると、フィッシング件数は確かに102件なのですが、事件数としては4件です。つまり、4件の犯罪行為によってIDセフトされた数が102件ということです。数字には気をつけないと、とんでもないミスリードとなります。検挙された63名の内、20才代が22人、30代が19人と大半を占めるのは予想通りですが、14歳と61歳も一人ずついます。犯罪行為を誰が気付いたかという認知件数では、利用者180、警察活動174と殆どを占めます。それに対して、アクセス管理者からは26件と極めて少ないところに、この種の犯罪摘発の難しさが現れています。アクセス管理者には、ユーザーからの問い合わせや苦情が相当な数で寄せられていますが、司法当局に届け出るほどの、根拠や証拠がないのが大半です。また、安易な告発は、善意の関係者の権利を傷つける恐れもあります。ある大手ネット業者の話では、その会社だけで警察庁の発表した件数の10倍以上は不法(?)行為があるようです。警察のサイバー犯罪対策係も頑張っていますが、警察だけで対応できることではありません。アクセス管理者やユーザーの協力が不可欠です。

不法行為を発見するのは圧倒的にエンドユーザーです。ところが、発見者とのコンタクトポイントが整備されている銀行はありません。コールセンターのヘルプデスクか支店に通報を受けますが、サイバー犯罪に精通した担当者は配置されていません。支店やコールセンターも迷惑かつ当惑するでしょうが、たらい廻しにされる顧客の不安と怒りも相当なものでしょう。暗証番号を32桁とかOTPを採用するのも良いですが、もっと基本的な手当てが必要だと思います。折角、人手不要のチャネルを導入したのに、防犯用の専門行員を張りつけたのでは意味がないと思う銀行もあるでしょう。しかし、効果ある対応がとれない金融機関は、ネットサービスから撤退せざるをえない時が来るでしょう。

肝心のエンドユーザーに対する啓蒙活動や情報提供も、充分とは言えません。危険を感じれば全く使わなくなる人か、自分だけは大丈夫という人が大半です。金融機関としては、いたずらに顧客に恐怖感を持たすことは避けるべきですが、安易に安全性を保証することもできません。その迷いがサイト設計に現れています。それなりの注意メッセージが貼られていますが、どれだけの人がキチンと読んで理解するでしょうか?また、警察庁など関連する行政機関のサイトをアクセスして、サイバー犯罪の動向に注意する人がどれだけいるでしょうか?官報と同じで、マスコミが報道した時に仕事で関係する人が、その時だけアクセスする程度でしょう。日銀もネット犯罪に関する注意メッセージを積極的に掲示していますが、見るのは金融関連のセキュリティに携わる人くらいなものでしょう。7月に決済機構局が「インターネットバンキングの安全性を巡る現状と課題」というレポートを日銀レビューシリーズの欄で発表しています。極めて良く整理されて判りやすいレポートなのですが、気付いた人は殆どいないでしょう。何故かは、皆さんが自分でアクセスしてみて下さい。恐らく、当該ページにたどり着かないと思います。メニューページにも案内はなく、厳重に格納されていますので。時間のない方は、下記でご覧下さい。

http://www.boj.or.jp/type/ronbun/rev/rev06j14.htm 

サイバー犯罪対策は、関連組織が個々別々に対応していたのでは効果を期待できません。関連するソリューションも機能限定でバラバラです。犯罪者側の組織的かつ変幻自在な手口に比べると余りに脆弱な状況です。日本では、米国のようなひどい状況にはなっていませんが、今のうちに実効性のある防犯態勢を準備しておくべきです。金融界は、過去のように仲間内だけで考えるのでなく、ネット業者やセキュリティ関連ベンダーと密な協力関係を構築すべきです。協会レベルでの検討は、時間の浪費であり、実効性も期待できないというのであれば、参加を希望する金融機関と企業、役所だけで任意の団体を作っても良いでしょう。ネット取引が代替不能なまでに普及する前に、態勢を整備しておくべきです。技術的対策は何時でもできますし、終着点もありません。