警察庁生活安全局情報技術犯罪対策課
情報技術犯罪捜査指導室長
警視正 丸山直紀氏

丸山氏：いずれも、インターネットバンキングに係る不正送金事犯の捜査がきっかけになります。ここ数年、インターネットバンキングの利用者が、犯人による不正な送金指示を受けて金銭を失ってしまう事件が後を絶ちません。2015年には1,495件の不正送金が発生しており、その被害額は30億7,300万円にも上り過去最悪となりました。

2014年11月の摘発では、それまで発生していた一連の不正送金事犯を捜査する過程から、中継サーバを使用した犯行が明らかとなり、サーバ管理者等を全国で一斉検挙するに至りました。この時に押収した中継サーバをさらに詳しく調べた結果、更に翌年（2015）11月に別のサーバ事業者らの逮捕へと至りました。この事件の逮捕容疑は不正アクセス禁止法違反でしたが、捜査の過程で複数の中継サーバ上で不正なOSの使用が判明したため、著作権法違反の容疑でも送致しており、現在公判中となっています。

一般社団法人コンピュータソフトウェア著作権協会(ACCS)
専務理事 兼 事務局長 久保田裕氏

久保田氏：一斉摘発のうち著作権法違反については、当協会の会員である日本マイクロソフトが捜査へ協力し、協会も事件に関するニュースリリースを行って広く発信させていただきました。

同社は中継サーバ等で自社製品が不正使用されていることに頭を悩ませていましたし、我々も著作権侵害だけにとどまらず、今回の中継サーバのような各種周辺技術への違法利用に対しても権利行使をしていかないことにはネットをフェアな世界にできないと考えていますので、この度の警察による事件への対応は革新的なものだったと感謝しています。

1800万件ものIDとパスワードが不正入手され、うち178万件の悪用が明らかに

──そもそも中継サーバというのは、どのようなサーバなのでしょうか。

丸山氏：中継サーバとは文字通りネットワーク接続を中継する役割りを担ったサーバです。例えば、日本国内からアメリカの中継サーバを経由してイギリスのWebサイトにアクセスしたとすると、Webサイト側からはアメリカからのアクセスだと認識されます。中継サーバ自体は一般的に普及している技術で、正しく利用されている限り何も問題はありません。

ただし、今回の事件では、この中継サーバが悪用されていました。国内のネット事業銀行では、日本人の口座に対して海外から送金操作があった際には、一度本人確認を行うなど一定の監視・警戒体制が整っています。そのため海外にいる犯人は、日本国内に設置された中継サーバを介してインターネットバンキングにアクセスすることで、銀行側にアクセス元を詐称していたのです。

久保田氏：しかも今回の事件の場合、犯人は他人のIDやパスワードなどを大量に不正入手したうえで、中継サーバを経由して不正送金をはじめとした各種の不正アクセスを繰り返していたわけですよね。

丸山氏：その通りです。中継サーバからは、複数の他人のインターネットサービスプロバイダの認証IDで不正アクセスしていた接続設定のほか、不正に入手したとみられる大手ポータルサイトなどのIDやパスワード約1800万件が発見されており、このうち178万件のID／パスワードは実際に不正アクセスに成功したものでした。

海外にいた犯人は、この膨大な数のID／パスワードを使って様々なWebサイトに侵入し、サイバー犯罪を行っていたとみています。被疑者である中継サーバ事業者らは、自分たちはサーバを貸していただけで何も知らないなどと供述しているのですが、押収したサーバ等の証拠品の解析や客観的状況から判断して、不正アクセス禁止法違反での検挙となったわけです。

久保田氏：中継サーバを悪用したサイバー犯罪としては、他にどのようなものが考えられますか？

丸山氏：一般的に言えば、インターネット・オークションやインターネットショッピング、SNS等への不正アクセスによるなりすまし行為や個人情報の窃取などが考えられるでしょう。

自分の情報を守るためにやるべきこととは

久保田氏：そもそもID／パスワードなどが盗まれなければ、中継サーバを悪用した犯罪行為には至らないということになりますよね。ではID／パスワードを盗まれないように、もしくは万が一盗まれてしまったとしても被害を受けにくくするためには、どうすればよいでしょうか？

丸山氏：まずは、コンピュータやインターネットの世界で身を守るために必要とされている基本的な事柄をしっかりと押さえることです。例えばID／パスワードに関してであれば、簡単に推測できるようなシンプルなものは使用しない、同じID／パスワードを複数のWebサイト／サービスで使いまわさない、パスワードは一定期間ごとに変更する、などですね。他にも、ウイルス対策ソフトやOSなど、ソフトウェアを常に最新の状態に保つようにすることも大事です。残念ながらこの辺りの意識がまだまだ低いかなと心配しています。

そのため国民の皆さんにセキュリティ意識をより広く持っていただくよう、警察としても広報啓発活動に努めています。例えばサイバー空間における防犯ボランティア団体の活動が年々活発化していて、2015年末には団体数224、構成員数は9,406人にまでなりました。ただし、サイバーセキュリティについての啓発活動を力強く展開していくにはまだまだ増やしていく必要があるので、都道府県警察とも協力して進めているところです。

久保田氏：教育や啓発が大切だというのはまったく同感です。当協会が設立以来、最重要視して取り組み続けてきた分野でもあります。
昨年度は、学校や企業団体からの依頼を受けて著作権に関する講演を実施したほか、サイバー犯罪防止のためのイベントを全国の警察と協働して開催してまいりました。
著作権やサイバー犯罪防止に関する教育も、突き詰めれば、どうやって自分の情報を守るのかというところに行き着きますから。
私は、著作権保護とサイバーセキュリティというのは表裏一体の関係にあると考えています。自分の情報が奪われて不正に使用されないようにすることは、他人の情報に対しても、きちんと許諾を得て、漏洩しないよう注意義務を果たさねばいけないという意識につながっていくはずだからです。

丸山氏：まったくその通りだと思います。そういった地道な教育・啓発活動によって国民全体のセキュリティ・レベルをもう少しだけでも上げることができれば、不正送金などの犯罪者も、日本国内への攻撃を諦めるかもしれません。
そのためにも、ACCSさんをはじめとした様々な組織との連携、そして国民の皆さんとの連携を強めていく必要があります。
日本の治安の良さは海外諸国から非常に高く評価されていますが、サイバー空間の安全性においても同様に、他国の模範になるよう、より上を目指していかねばと、兜の緒を締め直しているところです。

久保田氏：会員からの情報によると、本物そっくりの模倣サイトで商品を購入したところ、海賊版製品が送られてきただけでなく、そのサイトからPCがウイルスに感染してID／パスワードが抜かれたり、PCがサイバー犯罪の踏み台に使われたりしてしまったという例があるそうです。
今回の中継サーバ事件もそうですが、著作権侵害とサイバー犯罪が交錯して起こる場面は他にもあろうかと思います。啓発活動とともに、侵害対策についても警察庁さんと協力させていただければと思います。

また、BSAという団体の2015年の調査によると、実は日本の企業・組織内におけるコンピュータソフトウェアの不正コピー率は世界で2番めに少なく、まさに知的財産立国として胸を張ることができる水準なんです。

これは日本人の遵法精神の高さの表れではないでしょうか。セキュリティ対策についても同じく、自分を守るため、そして他の人々を守るためにやらねばいけないのだと一度理解が進めば、世界トップの水準を実現することはそう難しくないと確信しています。

丸山氏：頼もしい言葉です。サイバー空間の安全安心を実現するために、さらに踏み込んだ取り組みをともに進めていきましょう。

久保田氏：ぜひ、協力させてください。

──ありがとうございました。

一覧を見る

• 前の記事へ
• 次の記事へ