世界中で暗躍する「ハッカー」たちの知られざる手口とは？

セキュリティ技術者の育成は喫緊の課題

　――企業や政府などは、どのようにしてハッカーに対抗しているのですか？

園田　これも色々な方法あるのですが、まず、コンピュータがつながっているネットワークを守るためのコンピュータを置いたり、通信を制御するコンピュータを置いたり、サイバー攻撃を検知するコンピュータを置いたりと、防御のためのインフラを整えます。

　防御のための技術を進化させるためには、攻撃の研究をしなければならないのですが、実際の環境で攻撃をするわけにはいきません。演習環境を売っている会社もありますが、非常に高価なので、買える企業はかなり限られます。ですから、先ほど触れたSECCON CTFのようなハッカーのコンテストを開催して、攻防戦を行なうことで、技術を磨いているのです。ハッカーのコンテストは、誰でも参加できるものが年間140大会ほどあります。

　また、待遇を良くすることで、セキュリティの技術者を集める動きも目立ってきています。先日は、自衛隊が年収2,300万円で情報セキュリティの専門家を募集するというニュースもありました。

　あらゆるモノがネットワークにつながるようになっていますから、メーカーなどもIT技術者を必要とするようになり、IT技術者は引く手あまたになっています。そのうえに、仮想通貨などの登場が、それに拍車をかけています。2016年の経済産業省の調査では、2020年には情報セキュリティの人材が約19万人足りなくなるとされています。これは多めに出している数字ではあるのですが、人材の育成は急務です。

　――技術者の待遇が良くなってきているということは、企業にとっては、セキュリティにかかるコストが高くなっているということでしょうか。

園田　コストが高くなっているというよりも、これまで、セキュリティを保険のように考えて、「保険なら、かけなくてもいいか」と考える企業が多かったことが問題です。ハッカーによる事件が増えてきたことによって、被害を受けたときの損失の大きさに、ようやく気がついてきているのです。

　――セキュリティの技術というものは、特別なものなのでしょうか？

園田　特別視されることが多いですね。今、日本にはセキュリティの技術者が20数万人いるのですが、これはIT技術者の1割強です。専門家であるためにはコンピュータサイエンスを幅広く、しかも深く知らないといけないのですが、その点でまだ自分のスキルが不足していると考えている技術者も多いという調査結果があります。

　例えば、ウェブのことだけを知っている技術者よりも、もっと根本的なコンピュータの技術を知っている技術者のほうが、より多くのバリエーションの攻撃に対応できるわけですが、人材の絶対数の不足に加えて既存の人材のスキル不足も課題です。

　　――今後、技術者が増える見込みは？

園田　大学などが毎年輩出しているセキュリティを専攻した学生は毎年多くて数千人で、しかもそのすべてがセキュリティ技術者になるわけではなく、不足しているセキュリティ技術者は数十万人ですから、とても足りません。そこで、大学で新たに学科を設けるなどして人材を育成する動きが出てきたところです。それでも足りませんが。

　――IT技術者はブラックな職種だというイメージがあって、学生の人気は低かったと思います。

園田　今は待遇が良くなりつつあるので、それとともに、IT技術者を目指す人も増えるという、良い循環に入ってきていると思います。

　また、待遇が良くなった企業や業界に、技術者が流れるようになっています。例えば、ある年は監査法人に人材が流れたり、別の年はセキュリティの専門企業に流れたり、という具合です。

　――企業は、どのように技術者を育てているのでしょうか？

園田　ハッカーのコンテストを企業内で開催する動きが活発になっています。勝ち負けのあるコンテストをすると、技術者はとても頑張るんですよ。

　――最後に、私たち一般の人がハッキングの被害から身を守るためには、どうすればいいのかお教えください。セキュリティソフトを入れるだけで十分でしょうか？

園田　本来はそのはずなのですが、最近は手の込んだ詐欺の手口が横行しているので、それにも気をつける必要があります。

　例えば、あるサイトにIDとパスワードを登録していたところ、そのサイトがハッキングされて情報が漏洩した。すると、その情報が使われて、「あなたのパスワードは○○ですね」というタイトルのメールが届く。本文を読むと「なぜパスワードを知っているのかいうと、あなたのパソコンの中に、あるソフトウェアを入れているからだ。見ている動画を全部録画しているから、それを削除してほしければ仮想通貨を払え」というようなことが書いてある。それで払ってしまう、というような手口です。

　また、大手企業の社員が約3億8,000万円もの大金を詐取された事件がありましたが、これも巧妙な騙しの手口にテクノロジーを組み合わせた犯行でした。まず、本物の請求書のメールが添付ファイルで来て、その30分後くらいに、「振込先が変更になったので、さっきの請求書に書いてある口座ではなく、こちらに振り込んでください」というメールが、まったく同じ書式で届いたのです。本物の請求書のメールを、ハッカーがどこかで盗み見ていたのです。

　こうした手法に騙されないためには、様々な手口を知っておく必要があります。人は、何かおかしいなと思っても、自分で自分を騙す傾向があります。例えば、電話口の声がおかしいと気づいても、「風邪なのかな」と自分を納得させてしまうのです。そういうことがないよう、詐欺事件のニュースに注意を向けたり、セキュリティのニュースだけをまとめているサイトや警察、IPA（情報処理推進機構）、JNSA（日本ネットワークセキュリティ協会）などのウェブサイトをチェックしたりして、騙しの手口についての最新情報を仕入れておくべきです。

　――スマホにもセキュリティソフトを入れるべきでしょうか？

園田　ハッカーにとっては、高性能なデバイスほど乗っ取りたくなります。乗っ取ってから、できることが多いですから。スマホは高性能になってきていますし、しかも、オンライン銀行や資産管理サービスをスマホで利用している人も多く、重要な情報が集約されているので、ハッカーの絶好の標的になります。細心の注意を払うべきですね。

　――スマホを使ったキャッシュレス決済も、これからさらに普及することが予想されます。

園田　そうなると、スマホは財布以上の存在になりますよね。市販のセキュリティソフトでカバーできる範囲はセキュリティソフトに任せたうえで、騙しの手口にひっかからないように注意することが、ますます必要になります。