2015年2月24日

インターネットがビジネスから日常に及ぶあらゆる場面に広がるにつれ、サイバー犯罪は増加している。その被害額や社会に与える損失は無視することができないほど大きくなっている。本稿では、単一経済圏を形成している欧州におけるサイバー犯罪の実態とその取り組みについて報告する。

1.欧州のサイバー犯罪の様子

サイバー犯罪の定義は不明確であるが、国連はコンピューターおよびネットワークを介し行われる違法行為という考え方を採用している。ビジネスの場面から個人的なコミュニケーションまで日常のさまざまな事象がインターネットを介して行われることが多くなるにつれ、サイバー犯罪が増加している。その結果、サイバー犯罪には非常に多岐にわたるケースが存在し、その実態を捉える統計も正確なものは存在していないのが現状である。しかしながら、サイバー犯罪の年間被害額は、全世界合計で約2900億ユーロ(およそ39兆円)に上ると言われており、今日マリファナやヘロインなどの麻薬売買より利潤性の高い犯罪とみられている。サイバー犯罪はさまざまな犯罪の中でも近年急激に増加しており、例えば2009年にはフランス企業の約3割が過去1年間にサイバー犯罪の被害にあったと申告するに留まっていたが、2012年には企業の半数がサイバー犯罪の被害にあったと申告している。違法なサイバー攻撃が企業活動に及ぼす被害は、単に営業活動を妨害することによる経済的な被害にとどまらず、信用を失い場合によっては詐欺メールを送信するなど企業自身が知らないうちに違法行為の一部に加担してしまうことによる訴訟リスクも存在する。

2.インターネットの安全を守るEU各国の取り組み

欧州のデジタル市場においてその安全性を確かなものにすることは、デジタルビジネスの発展に欠かせない要件である。国境を超えて発生することの多いサイバー犯罪の対策では、欧州諸国が連携した対応をとらなければ、近隣諸国の安全対策や法制度の不備により自国のビジネスが損害を受けることも容易に発生する。デジタル社会に向けた欧州政策「Digital Agenda」の中でも、デジタル社会の「信頼と安全性(Pillar3)注1」に取り組んでいる。ただ、犯罪対策は各国の異なる法規制を背景に、それぞれの事情に応じて進める必要があるため、その足並みは必ずしも一様ではない。EUでは、各国事業の進捗状況を公開し、それぞれの国のインターネットの安全性に関して、どのような対策がとられているのか、知ることができるようになっている(表1参照)。

  • 注1インターネットの安全性を確保するためにサイバー犯罪に関する対策を実施している事業は、以下の通り。
    • Digital AgendaのAction40:有害コンテンツの警報ホットライン整備
    • Digital AgendaのAction41:サイバー犯罪の警報プラットフォームの設置
【図】

表1:Actionの進捗状況一覧表

例えば、ネット上の有害コンテンツ取締(Digital Agenda:Action 40)では、ラトビアの取り組みが模範的事例として紹介されている。ラトビアの違法コンテンツホットライン「Latvian Safer Internet Centre(Latvijas Drošāka interneta centra:ラトビア語)」は、国立インターネット安全センター(the National Safer Internet Centre)と子供の権利擁護検査委員会(The State Inspectorate for Protection of Children's Rights)により設置され、子供の権利擁護委員会がヘルプライン(116111)の運用を担当している。違法コンテンツの通報は「Latvian Safer Internet Centre」のオンラインフォームから匿名で送ることができ、2010年には警察組織との制限のない協力に関する合意が結ばれている。これにより、違法性の疑いがある通報に対し法規制当局との緊密な連携の下、取り締まりが可能となっている。この他、「Latvian Safer Internet Centre」サイトでは、子供や青少年に対してインターネットの安全性を周知するだけでなく、保護者および教職員に対しても周知事業を実施している。加えて、平均で年二回程度のキャンペーンも継続的に実施している。また、オンラインを安全に利用する方法について教育カリキュラムに組み込み児童生徒に指導している。また、「Latvian Safer Internet Centre」サイトでは、教育機関が活用できるよう資料なども提供している。ラトビアにおけるインターネットサービスプロバイダー(ISP)業者自身におけるインターネット利用の安全性確保に関する取り組みでは、ラトビアの情報通信電子商取引法によって、ISPは利用者に対し暴力や猥褻な内容を含む有害なコンテンツへのアクセスを防ぐことができるフィルターを、無料でインストールできると伝えることが義務化されている。さらに現在「Latvian Safer Internet Centre」は、違法コンテンツの排除に向けてISP業界団体と協力の覚え書きについて協議している。

一方、違法コンテンツ対策で、不備があるとされている国はいくつかある。オーストリアは、ISPサービス利用者の違法な利用活動を宣言するためインターネットアクセスを制限するというサービスがなく、ISP業界の取り組みが遅れていると言われている。また、2006年に設立されたブルガリアの有害コンテンツのホットラインは、法規制当局との連携がない点で不十分である。同ホットラインは、NGOにより運営されており、教育省や運輸省の他、情報技術関係団体など利害関係のある組織から承認を受け、連携をとることができるが、法規制当局との連携が弱く実際の取締効果が期待できない。エストニアでは、児童生徒が安全にインターネット上でコンテンツにアクセスできるようなISPの自主的な規則や枠組みなどの取り組みがない。スロバキアの通報ホットライン(The Stopline.sk)は、設置されているが、その設置は、内務省との合意契約に基づき実施されているだけにとどまり、設立根拠となる法規制は存在しない点に改善が必要である。スロベニアは、オンラインの安全性に関する教育が小学校カリキュラムに組み込まれていない点が不十分である。ただし、The Slovenian national Awareness Centreの実施する小学生向けのワークショップが開催されている。残念ながら、実施部隊のリソース不足で一部の小学校で実施されているに過ぎない。

サイバー犯罪の対策(Digital Agenda:Action 41)においては、スイスや英国は、必要なサイバー犯罪対策の整備がある国とされている。例えば、英国の場合、ナショナルアラートプラットフォームとして「NAF(National Action Fraud)」がある。同プラットフォームは、さまざまな言語でオンライン詐欺被害の通報をすることができ、通報された被害は速やかに警察へと送られることになっている。通報された情報は、全てNFA(National Fraud Authority)を含むさまざまな組織に送られ、NFAは毎年詐欺被害について報告書をまとめるとともに、Annual Fraud Indicatorを発表している。

一方、サイバー犯罪対策が遅れていると言われている国もある。オーストリアは、サイバー犯罪のナショナルプラットフォームは存在するが、オンラインで市民がネット犯罪を通報できるサービスを提供していない点が不足している。ただし、将来的にオンライン通報サービスを用意する計画はある。ベルギーも、サイバー犯罪の通報サービスの整備が遅れている。eCopsという通報サービスは存在しているが、これはオンラインでサイバー犯罪を通報できるが、実は最終的に通報を警察に届けるためには、被害者が指定された最寄りの警察に届け出る仕組みであることから、現実には通報の手間がかかりすぎて、効果的な通報サービスとなっていないことが課題となっている。オランダは、公式にサイバー犯罪統計というものはないが、The National Cyber Security Centre(NCSC)が3から5年の範囲内でマクロなサイバー犯罪のトレンドを示す報告書がある。また、暗殺やサイバー戦争に関わるようなサイバー犯罪に関する統計の整備は困難であると考えている。この他、エストニアは、オンライン選挙や国民IDなどで電子サービスの先進国として有名だが、サイバー犯罪対策では、EUが指定する対策の整備はできていない。エストニアではサイバー犯罪に対応するナショナルプラットフォームはなく、「web constable」という通報システムを導入している。通報手段はfacebookなどのSNSやメール、ショートテキストメッセージなどさまざまな方法で警察にサイバー犯罪被害を通報することができる。また、児童ポルノなど違法コンテンツの通報は、「vihjeliin.ee」サイトを介して送る。統計についても、「web constable」と「vihjeliin.ee」からいくつかの統計データをとることはできるが、サイバー犯罪の傾向を分析し対策を検討するまでのデータを入手することはできない。ポーランドも、サイバー犯罪の対応は整備が遅れている。サイバー犯罪のナショナルアラートプラットフォームもないし、市民が容易にサイバー犯罪を通知する仕組みもない。唯一CERT(Computer Emergency Response Team)が四半期ごとに公表する報告書からサイバー犯罪の様子を一部知ることができる。

参考

3.サイバー犯罪捜査を実施するための人材育成とツール開発

ECTEG(European Cybercrime Training and Education Group)は、EU加盟諸国により構成された組織である。欧州域内のサイバー犯罪捜査に関する訓練を連携して行うため2007年に立ち上げられた。2009年には現在のECTEGに名前を変更し、EUにおけるサイバー犯罪捜査に関する法規制関係者の教育を担う。ECTEGにおいて受講できるコースは、リナックスの調査ツールやインターネットやワイヤレスなどさまざまな通信方法別の調査方法や、携帯機器の科学捜査の基本など、さまざま用意されている。ECTEGが提供するコースは全て法規制関係者のみに厳しく受講を制限しており、例えば、2014年に開講されたオープンソースのIT科学捜査ツールに関するコースでは、リトアニア、ノルウェー、ドイツ、スペインから法規制関係者が参加している。

また、サイバー犯罪の取締には、常に進化し続けるその手口に応じた捜査ができる人材育成が必要である。UCD CCI(Centre for Cybersecurity & Cybercrime Investigation)は、法規制当局と民間企業が深い連携をとりながらサイバー犯罪の教育訓練およびデジタル犯罪の科学捜査に関する研究およびツール開発を行う。UCD CCIが提供するコースの多くは、オンラインで受講することができ、業務を遂行しながら常に最新の知識を身につけることができるよう考えられている。例えば、サイバー犯罪を取り巻く変化の激しい法規制にあわせ、2013年にはECTEGのためコース内容を刷新している。

参考

4.欧州全域のサイバー犯罪捜査をするEC3(The European Cybercrime Centre)

サイバー犯罪ほどさまざまな意味でボーダーが無関係な犯罪はない。電子認証や電子署名が可能になり、ビジネスだけでなく日常生活の中で移動体通信からのインターネット接続が普通となる今日、インターネットを介して発生する犯罪は、容易に国境という枠を超える。サイバー犯罪は、数百人に上るような多数の被害者と世界中のさまざまな場所にいる容疑者が関与し、自国内に閉じた警察機構だけで対応することは難しく、法規制当局の国境を越えた連携捜査が必要となっている。こうしたサイバー犯罪被害の広域化を背景に、EU理事会注2は、欧州におけるサイバー犯罪対策の中心的存在となる組織、EC3(The European Cybercrime Centre)をEuropean Police Office(通称Europol(欧州刑事警察機構))内に設立し、2013年1月に活動を開始させた。EC3は、欧州加盟各国や欧州連合の7機構注3がサイバー犯罪捜査の実施能力や分析能力を高め、国際パートナーと協力できるよう支援するものである。

  • 注2閣僚理事会と呼ばれることもある会議で、欧州議会よりも強い権限を持ち、既存の欧州法を置き換えることもできる。
  • 注3欧州議会、欧州理事会、理事会(旧閣僚理事会)、欧州委員会、欧州連合司法裁判所、欧州中央銀行、会計監査院の7機構

2013年1月から運用を開始したEC3は、さまざまな分野の専門家を揃え、犯罪捜査に役立つ情報を収集し、EUにおける広域犯罪の解決を促進している。分析結果は、Europol全体で共有され、EC3は、サイバー犯罪における欧州の情報ハブとして機能している。加えて、常に最先端のデジタル科学捜査ができるよう務めるようにするだけでなく、さまざまな社会分野の専門家コミュニティを用意し、サイバー犯罪への対策を講じ、これを防ぐことにも務めている。EC3が設置されているEuropolは、これまでも犯罪捜査におけるサポートやコーディネート、専門的知識を提供するなどの役割を果たしていたが、部署ができることで、積極的な連携が可能となる。

運用を開始してから最初の1年間(2013年1月~12月)は、年間でおよそ336万ユーロ(およそ5億円)が必要になると予想されていた。これは、EC3管理チームやDFU(Digital Forensic Union)の雇用費や訓練場所、出張、その他運営費に加え、サイバー犯罪をプラットフォームに報告する標準の開発などにかかる費用である。また、その後の活動費は、より過激な犯罪情報分析と運用サポートを実施していくのであれば、人員の増加が必要となる他、DFUに情報が集まるために必要な費用が増加すると予想されている。例えば、犯罪捜査費については、どのような活動内容を形成していくかにより700万ユーロから4200万ユーロ(およそ9億円から57億円)とかなり幅のある金額が必要になると予想している。

参考

5.サイバー犯罪取り締まりの実績例

EC3が欧州各国のサイバー犯罪捜査を支援し、国際的なサイバー犯罪組織の取締に成功しているという。以下、2014年の捜査報告からいくつか紹介する。

Case1

2014年2月の捜査に引き続き、10月にはブルガリアとスペインの法規制当局はEC3と緊密な連携をとり、ブルガリアにある巨大犯罪組織ネットワークを再び解体した。同犯罪ネットワークは、大規模なATMスキミング、電子支払い詐欺や文書偽造などの犯罪を繰り返していた。犯罪組織摘発の日には、40の建物を捜索し31人を逮捕した。捜査はスペインのマラガとブルガリアのソフィア、ブルガスとシリストラという都市で一斉に行われた。こうした捜査の成功の陰にはEC3のJ-CAT(Joint Cybercrime Action Taskforce)注4の存在があった。

  • 注4J-CAT(Joint Cybercrime Action Taskforce)は、EuropolのEC3とFBI、NCA(National Crime Agency)が立ち上げたサイバー犯罪に対応する組織で、EU加盟諸国と非加盟諸国の法規制当局の連携をとりその解決に力を尽くす。現在メンバーは、USやオーストラリアなどのほか欧州からは、英国、ドイツ、フランス、オランダ、イタリア、スペイン、オーストリアで、議長は英国のNCAのサイバー犯罪ユニットの専門官であるAndy Archibaldが就任している。

Case2

主にルーマニア人で構成されていた国際的なサイバー犯罪ネットワークが、EC3の支援のもとで、ルーマニアとフランスで取り押さえられた。この組織は、マルウェアで国際間の電子支払いシステムに入り込み偽の支払いシステムに誘導しお金をだまし取ったり、スキミングにより入手したカードデータで違法にお金を取引したり、麻薬取引による資金のロンダリングをしていた。この組織が使っていたマルウェアはRAT(Remote Access Tool)で、欧州各国(オーストリア、ベルギー、ドイツ、ノルウェー、英国)で資金移転に使われている不特定多数のコンピューターに入り込んでいた。同サイバー犯罪の捜査では、違法な資金の動きを抑えるため、フランスとルーマニアの法規制当局は緊密な連携の下、違法性が疑われる資金移動の記録を公開する許可を互いの必要に応じて迅速に提出したりすることで、捜査が速やかかつ円滑に行われた。

Case3

Shylockというトロイの木馬形式のウイルスソフトを使った犯罪を検挙した。捜査は、英国のNCAが中心となり、民間の専門家やEuropol、FBI、BAE Systems Applied IntelligenceとDell SecureWorks、そしてKaspersky研究室注5と英国のGCHQ(Government Communications Headquarters)によるジョイント体制により行われた。特に、Shylockというマルウェアの追跡捜査には、Kasperskyの多大な貢献があった。捜査は、EC3を拠点に行われたが、NCA、FBIとイタリア、オランダ、トルコとそれに呼応するドイツ、フランス、ポーランドにある組織と連携しておこなわれた。Shylockは、利用者がリンクをクリックすることによりPCに感染し、PCの残っている銀行口座情報を見つけ出し、これを利用して、口座から不正に資金を犯罪組織の口座に送金させてしまうというものである。マイクロソフトのウィンドウズのPCに感染の恐れがあったが、中でも特にShylockは英国をターゲットにしていた。

  • 注5ロシアに本拠地を置く、世界有数の情報セキュリティサービスを提供する企業。

Case4

Europolと米国のICE(Immigration and Customs Enforcement)とHSI(Homeland Security Investigations)は、8つの国にある11の異なる法規制当局と協力し、利用者に偽商品を販売している188に及ぶ違法ドメインを取り押さえた。捜査は、ベルギー、ブルガリア、フランス、イタリア、ルーマニア、スペインそして英国と米国のワシントンにあるIPR Centre(the HSI-led National Intellectual Property Rights Coordination Center)が参加した。この犯罪では、偽商品を販売するだけでなく、個人の金融資産情報が漏洩しリスクにさらされていた。偽商品は、ヘッドフォーン、スポーツウェア、化粧製品、靴、贅沢品、携帯電話やその他電子小物などが多かった。

Case5

Botnet型ウィルスであるGameover Zeusという非常に洗練されたマルウェアは、コンピューター対コンピューターで感染し、50万から100万台に感染し、7500万米ドル(およそ89億円)の被害を生じたと推計されている。そして、Gameover Zeusで乗っ取られたネットワークやコンピューターを介し感染が拡大した、身代金要求型ウィルスであるCryptoLockerは、感染したコンピューターにある暗号化されたファイルを解読し、ファイルの鍵をあけてしまう。推定で234,000台のコンピューターが感染し、FBIの試算によれば2か月で2700万米ドル(およそ32億円)の被害総額だった。US以外の捜査に参加した国は、カナダ、フランス、イタリア、日本、ルクセンブルク、ドイツ、ニュージーランド、オランダ、ウクライナ、英国であった。特に重要なサポートを提供したのは、Dell Secureworks、マイクロソフト、McAfeeとSymantecなどの企業で、こうしたマルウェアが再インストールされてしまうことを防いだ。こうした感染型のウィルスは、ネットワーク全体で対応が打てないと、犯罪を防ぐことが難しくなる。連携体制の捜査は非常に効果が高かったと評価されている。

参考

6.変化の激しいサイバー犯罪に備える

2013年8月には、「情報システムに対する違法なアクセスに対して処罰する規定を求めた枠組(DIRECTIVE 2013/40/EU:on attacks against information systems and replacing Council Framework Decision 2005/222/JHA)」が欧州議会で議決された。重要な社会基盤である情報システムへの攻撃に対する罰則を厳しくすることになり、EU各国は、2015年9月4日までに改正に準じた国内法の整備が義務づけられた。また、EUはサイバー犯罪を厳しく取り締まる一方で、その実態を捉え、政策の効果を推し量り政策形成に活用するため、統計指標を整備し始めたところである。2012年から試験的にデータを収集し統計指標とするデータについて検討していたが、最終的な指標のリストは2014年の遅い時期に決定し、その後データ収集を開始する予定である。しかし、現在の実態を捉えることができる統計もない現状で、技術の進展とともに新たな手口が次々出てくるのがサイバー犯罪である。サイバー犯罪への備えが不十分だったことによって、思わぬ罰金を科されることになる多国籍企業は増えており、その負担の重さに最近では悲鳴をあげている。次々明らかになるサイバー犯罪の新しい手口は、その対策の手を、ひと時も緩めることができないことを物語っている。

参考

注釈

  • 本文中の換算レートは、1ユーロ=135円、1米ドル=118円としております。
  • 本文中に記載されている会社名、製品名は各社の登録商標または商標であり、敬称名は略させていただきました。