本日の情報セキュリティコラム(2014年2月24日)
本日の情報セキュリティコラム(2014年2月24日)
2014年2月24日
サイバー犯罪へ加担しないために
情報セキュリティラボ チーフセキュリティエヴァンゲリスト
前田 典彦
サイバー犯罪というと、自分とは縁遠い世界の話と感じる方がいらっしゃるかもしれません。サイバー犯罪者は、多くの場合、金銭を不正に得ることを目的としているので、例えばオンラインショッピングやオンラインバンキングといった金銭取引に直結するWeb上のサービスを利用する方々が対象となったり、あるいは、そのようなサービスを普段は利用していなくても、インターネット上のサービスを利用するためのアカウント情報(ログインIDやパスワード)が盗まれることで、思わぬ被害に遭遇したりするということもあり得ます。これらの不正行為には、マルウェア(コンピュータウイルスの総称)が介在したり、フィッシングの手口が使用されたりします。マルウェア侵入の手口として、OSやアプリケーションのセキュリティホールが悪用されることも非常に多いです。
だからこそ、OSやアプリケーションを最新に保ち、ウイルス対策ソフトを導入して最新版へアップデートするなど、定番ではありますが予防の観点からもこれらは非常に大切です。しかし、こういった対策が効かないようなサイバー犯罪への巻き込まれ方が存在します。それが、「マネーミュール(Money Mule)」です。
Muleの意味はラバで、荷物を運ぶ家畜、つまり運び屋の比喩です。したがって、マネーミュールは「金銭の運び屋」ということになります。また、ここでいう金銭は、サイバー犯罪者が不正行為によって得た収益を指します。
サイバーの世界に限らず、犯罪者は、様々な不正手口で収益を得ます。こういった金銭は、そのまま使ったり現金化したりすると、一般的には警察などの捜査機関に見付かりやすいため、マネーロンダリング(資金洗浄)が行われます。犯罪で得た資金とは分からないようにするため、複数の口座を転々とさせ、金銭の出所を隠すのです。マネーミュールは、まさにこのマネーロンダリングを実施する過程で必要なもので、直接の犯罪者ではない一般人が巻き込まれる例が多く報告されています。以前は海外ばかりでしたが、2013年頃から日本語によるマネーミュール勧誘のメールが観測されるようになりました。
多くの場合、日々使用しているメールの中に、短期間で高収入が得られるような内容のメールが届きます。マネーミュールの仕事は、依頼者から自身の口座に資金を振り込んでもらい、依頼者が指定する口座に対してその資金を送金するだけです。送金額は、依頼者から振り込まれた金額から自分の収益分を差し引いた額です。しかし、依頼者から振り込まれる資金がサイバー犯罪によって得られた収益である場合、その送金の手助けをすることは、マネーロンダリング行為に協力してしまうことになります。依頼者は、もちろんそのような説明はせず、手間がかからない高収入の仕事を依頼してくるという体裁をとります。詳しくはこちら(Kaspersky Daily「マネーミュールをご存じですか?」)のブログ記事もご参照ください。
高収益・高収入を謳うメールは、数多く観測されています。その全てがマネーミュールの勧誘というわけではありませんが、いずれにしても労せずして高い利益を得られるようなことは、まずありません。その多くは詐欺か、あるいはマネーミュールに代表される犯罪の加担への誘いなのです。このような勧誘メールは、迷惑メールとして処理できることもありますが、マルウェアが介在していない場合は、ウイルス対策ソフトで防ぐことは困難です。OSやアプリケーションの更新も、対策としては無関係です。まずは、こういった行為が日本人をも対象に行われているという事実を認識して頂くとともに、「世の中、そんなにうまい話はない」ということを強く意識して頂ければと思います。アルバイトや副業といった軽い感覚であったとしても、このようなマネーロンダリング行為への加担は、日本でも犯罪として処罰の対象となっています。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
「攻撃されやすいWebサイトを絶対作ってはいけない」。
事故を転機に、情報セキュリティへの意志を固めた日
システムセキュリティチーム チームリーダー
松尾 秀樹
ネットの時代が来るのに、二度と事故は許されない
2002年10月9日、当時のリクルートが提供していたあるインターネットサイトで個人情報漏洩事故が発生しました。この事件は、全国紙やNHKもニュースで報じたため、ご存じの方も多いのではないでしょうか。当時の私は、「大変なことになった!」と驚きつつも、数日後、緊急対策チームに加わることになるとは、その日は思いもしませんでした。
この事故は、他会員の情報へ簡単にアクセスできる脆弱なサイトだったことが原因です。翌日には修正を完了し、サービスを再開していましたが、他にも危険はないか、至急チェックしなければなりません。こうして、リクルートが持つ全てのWebサイトの脆弱性を一斉に検査する大プロジェクトを開始することになりました。しかし、今日では広まっている安全なWebサイトの作り方、直し方の情報・実績が少なく、改修には高額な費用がかかり、各部門の負担は想定以上に重かったのです。
当時はリクルートがネットビジネスに軸足を移し始めた時期。すでに大量のサイトがあり、検査活動だけではどうにもならないと感じてもいました。「このままでは脆弱なWebサイトが作られ続ける!」「ネットの時代が来るのに悔しい」。情報セキュリティの担当になろうと決めたこの時、同時に私は自分自身の課題と向き合うことになりました。
情報セキュリティへの意識を高め、広めるのが、自分の役割
入社以来システムの製造設計一筋。そんな私がまさかの事故を契機に、多くの部署との連携が必要な情報セキュリティ担当に。最初はただガムシャラで、思うように改修が進まないことに苛立つばかり。「コスト負担が納得できない」「それより優先すべき重要案件がある」と言われる。「悪意ある第三者に攻撃されかねない怖さがどうして理解されないんだ!? 」。
皆さんと真正面から向き合っていくうち、誰もが脅威は十分承知しながら、どうしたらいいか分からずにいることを知りました。リスクを回避する実践的な指標や仕組みを作り、各部門が安心して目標に向かって進む応援をしたい。
それから10年。Webサイト公開前審査の整備や検査体制の構築など、対策を強化するとともに、教本を作成。これをもとに講習会を開催するなど、脆弱性を持つサイトを最初から作らない教育をはじめ、様々な情報セキュリティの教育にも取り組んできました。情報セキュリティに関する意識が社内に浸透する役割は果たせたと思っています。
リクルートグループのネットビジネスはさらに進化しています。私たち情報セキュリティ部門だけでなく、営業もWeb担当者もスタッフも、自分の一番得意な才能を尖らせ、一緒に進む。情報セキュリティのあり方も進化を続けています。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。