日本人はネットセキュリティ意識が低すぎる 情報を盗まれっぱなしという恐ろしい現実

欧州と日本のサイバー犯罪調査における意識の違いを感じたエピソードがある。それは、私が欧州のデジタル・フォレンジック(コンピュータから犯罪の証跡を暴く手法)のブートキャンプに参加したときのことだ。てっきり、サイバーセキュリティに特化した犯罪捜査についてのトレーニングかと思い参加したが、そこは私がイメージしていたものと全く異なっていた。

ブートキャンプの開始前、”うっかり”一番乗りで教室へ足を踏み入れてしまった私は教官に気に入られてしまい、最前列の席に座らされた（ご想像のとおり、たっぷりイジられた）。

このブートキャンプの授業の中で、今でも鮮明に覚えているのは、教官からのひとつの質問である。プロジェクターに一枚の写真が表示され、彼は生徒にこう聞いた。「この写真が何だかイメージしてみろ！」。

筆者にはきれいな雪山にしか見えない。だが、これは航空機の墜落事故を捉えた衛星写真だった。緊急時に衛星写真を分析した際に、地理や社会的情勢から何の証跡を調べれば良いかを瞬時に判断する必要性がある、ということを示したかったようだ。

その意図もわからず、「ビューティフル・マウンテン！」なんてトンチンカンな回答をした筆者に「山の雰囲気からしてアルプスであることはわかるはずだ。テロの可能性くらい想像できなくてはダメだ」と一笑されてしまったことを覚えている。平和ボケした私の想像力には手に負えないなぁ、などと感じたものだ。

さて、この質問からは欧州の法執行機関においてのサイバー犯罪捜査の根底にある意識が見て取れる。サイバー犯罪は手段のひとつでしかなく、あくまで物理的脅威の一部として捉えられている、という点である。一方、日本の場合は地理や民族的なせいか、今のところ物理的脅威と直接紐付けられている様子はない。不正送金事案等は別として、あくまでサイバー上の脅威として捉えようとしている節がある。このあたりが、欧米と日本のサイバーセキュリティにおける意識の差に繋がっているように思う。

サイバー攻撃の主役はウイルスではない

その結果、被害企業の意識もまったく違うものになる。いまだに「コンピュータウイルスに感染し…」といった被害報告がサイバー攻撃の侵害を受けた組織から報告される。これだけ国家を揺るがしかねない事案が立て続けに発生している時勢に、「報告を受ける側は専門用語が理解できないかもしれない」という配慮からだろうか、"ウイルス感染"という医療関連用語を使ったたとえ話でお茶を濁す、ということがまかり通っている。

ちなみに、コンピュータウイルスの定義は情報処理推進機構によれば、「プログラムに寄生する極めて小さなプログラムであり、自分自身を勝手に他のプログラムファイルにコピーする事により増殖し、コンピュータウイルス自身にあらかじめ用意されていた内容により予期されない動作を起こす事を目的とした特異なプログラム」とのことだ。つまり、コンピュータウイルスが起動すると、勝手に意図しない動作を行うのが特徴なのである。コンピュータウイルスに感染したことで情報が流出したという説明は、主役はプログラム（非人間）であることになってしまう。

しかし、現実はそうではない。サイバー攻撃は犯罪グループが、ある目的を達成するための手段なのだ。つまり重要なのは、背後にある人間の意図をプロファイリングすることなのである。