世界中で暗躍する「ハッカー」たちの知られざる手口とは？

IoTやスマホの進化で新たな脅威も

　個人情報の流出や仮想通貨取引所への攻撃、さらには大統領選挙への介入など、様々なニュースにハッカーが登場するようになった。映画でも様々に描かれるハッカーだが、その実態はどのようなものなのか？　また私たちは、ハッカーの攻撃から、どのように身を守ればいいのだろうか？　サイバーセキュリティに詳しい、日本ハッカー協会理事の園田道夫氏に聞いた。

ゴミから得た情報で組織内部の人間になりすます!?

　――最近のハッキング事件で被害が大きいものには、どういうものがあるのでしょうか？

園田　仮想通貨関係の事件が多いですね。仮想通貨は儲かるということで、いろんな仮想通貨が勃興しましたが、残念ながら、セキュリティの技術者がいないものも多いんです。そもそも最初の設計からして甘いものも多い。見る人が見るとそれがわかるので、そこを突かれています。

　――政府機関ですらハッキングされる事件も起きていますが、ハッカーの技術のレベルは相当高いということでしょうか？

園田　コンピュータを扱うスキルが高いだけでなく、人間を騙すスキルも高いですね。人間を騙すのもハッキングの一部なんです。ソーシャルエンジニアリング（社会工学）と呼ばれて、研究の対象にもなっています。

　人を騙して情報を引き出し、引き出した情報をもとに組織の中の人間になりすまして、大事な情報に迫っていくのです。

　――具体的には、どう騙すのでしょうか？

園田　企業に対してだと、例えばクレームの電話をかけて、親切に対応してくれる社員から情報を色々と聞き出したりします。

　また、上司のフリをして、「このパスワードがわからないと明日の商談がダメになるから教えてほしい」と電話をかける、といったこともよくあります。

　中には、ゴミをあさって、捨ててある文書から情報を得るケースもあります。その情報を踏まえて社内の人間になりすまし、電話をかけたり、メールを送ったりして、社員から情報を引き出すわけです。

　――ハッカーには、どんな人が多いのでしょうか？

園田　色々ですね。愉快犯もいれば、経済的な利益のために攻撃する人もいます。経済的な利益というのは、例えば、犯罪集団が産業スパイをして、得た情報をライバル企業に売る、というようなケースです。

　――犯罪集団というと映画の中の話のように思えますが、実際にいるのですか？

園田　外からあまり見えない「ダークウェブ」と呼ばれるところで、「この会社は簡単に情報が引き出せるぞ」といった情報を交換しているのを、見かけることがありますね。

　また、なかば陰謀説のようなところもあって実態はよくわかりませんが、ロシアや中国、北朝鮮などのハッカーが世界中で情報を引き出しているという話もあります。

　――表の顔は普通の人でも、実はハッカーだということもある？

園田　表の商売よりも裏の商売のほうが儲かるということで、やっている技術者がいるという話は聞きます。

　――IoTが進むと、ハッカーの手口も変わってくるのでしょうか？

園田　私も所属しているNICT（情報通信研究機構）では、日本を中心に世界約30万ポイントに観測点を持っているのですが、そのデータを見ると、ここ数年、IoTがかなり狙われています。怪しい通信のかなりの部分がIoTで占められていると言っても過言ではありません。

　IoT機器は簡単なコンピュータウイルスにも感染してしまいます。有名なのはAnna-senpaiという人物が作ったMiraiというウイルスです。自分でどんどん感染を広げていくのですが、感染を広げて何をするのかは、まだわかっていません。ただ、誰かがスイッチを押すことで、感染したIoT機器が一斉にどこかを攻撃する、というようなことはあり得ると思います。

　――攻撃というのは？

園田　例えば、あるウェブサイトを書き換えるとか、アクセスできなくするといったことが考えられます。あるいは、「そういうことをされたくなかったら、お金を払え」という脅迫ですね。実際、「仮想通貨を振り込め」という脅迫はよくあります。

　お金ではなく、世間を騒がせることが目的の場合もあります。その場合は、内閣のホームページなど、攻撃したことがニュースになるサイトが選ばれます。