スマホで読めて真の実力者になれる「世の中取扱説明書」

スマホで読めます。通勤時間や隙間時間に忙しいビジネスマンや時間を持て余している学生さんなどに読んでもらいたいです。真の実力者になりましょう。

書評・レビュー「サイバー犯罪入門」

どうも、「世の中取扱説明書」です。

 

書評・レビュー「サイバー犯罪入門」というタイトル記事です。

 

 

 

読者ターゲット。(記事を読んで欲しい人)

この本に興味ある人。

 

ゴール。(この記事を読んで得られること)

この本を買うか、読むかの判断軸がある程度持てる。

 

では書いていきます。

 

「サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実」 800円でこの質が手に入る日本は凄いと思う。サイバー犯罪を知りたい人は必読の本。僕もサイバー系はそこそこ読んできたが初耳情報も多かった。セキュリティ従事者も一般層も読んだ方がいい。

 

買い推奨。

  

以下、気になった箇所を抜粋します。(要約もあります)

 

中小企業だからといって、狙われない理由はない。なぜなら、六次の隔たり」理論があるからです。「人は自分の知り合いを6人以上介すと世界中の人々と間接的な知り合いになることができる」という仮説であり、知り合いの知り合いを6回たどれば世界中の人と繋がれます。

 

あなた自身が重要な情報を持っていなかったとしても、あなたの友人やそのまた友人を何人かたどっていくことができれば重要な情報を持った人物にたどり着ける可能性が極めて高いとうことです。もしあなたに情報的な「価値」がなかったとしても、あなたには「利用価値」があるのです。P39〜40。

 

被害者がインターネット・バンキングに正しい方法でログインした後で、ブラウザが乗っ取られている、ということ。そのためにインターネット・バンキングのパスワードや通信の暗号化をどれだけ強力なものにしても防ぐことができない可能性が高いのだ。銀行のシステム側から見ても正しい手順でログインされたパソコンからの通信のため不正な操作であることに気付きづらい。P45。

 

国際刑事警察であるインターポールでも実はできないことがある。それもかなり重大なことができないのだ。

 

なんとインターポールには捜査権どころか逮捕歴がない。人気アニメ「ルパン三世」の銭形警部(同作品内では、インターポールの捜査官という設定)は「ルパ〜ン、逮捕する〜」と叫びながらパトカーに箱乗りしてルパン三世を追いかけているが実は銭形のとっつぁん」にそのような権限はない。そのため実際にルパン三世を追いかける場面では実は現地警察を引き連れているのである。

 

IGCIでのサイバー犯罪対策においても銭形警部と同様に、現地警察との連携が非常に重要となってくる。しかし必ずしも全ての国家が国際規模のサイバー犯罪の捜査に協力的なわけではない。

 

また政府が背後で関与しているようなサイバー犯罪については警察ではなくでの対応となるためインターポールはその案件から引かなくてはならなくなる。せっかく優秀な人材を集めて活動していてもサイバー犯罪の捜査を行うことは一筋縄ではいかないのが実情なのである。

 

しかもいくつもの制約を乗り越えた末になんとかサイバー犯罪の被疑者を検挙するに至っても、有罪判決が下がるのはわずか10%ということが国連薬物犯罪事務所の調査で分かっている。

 

インターネットの世界の「匿名性の高さ」と現実世界の「制約」せいでサイバー犯罪は検挙することが難しい。もし検挙されても罰することが容易ではないため、悪意のある人間にとってローリスク・ハイリターンの魅力的なビジネスとなってしまったのである。P51、52。

 

「難しいことをやり遂げるのがインド人、不可能なことをやり遂げるのがロシア人」という冗談話をロシア人技術者から笑いながらも誇らしげな口調で聞いたことがある。ロシアで用いられているIT機器は80%近くが国外の製品にもかかわらず、一説によると世界のサイバー犯罪収益の50%はロシア系ハッカーによるものであると言われている。

 

しかしハッカー全体に占めるロシア系ハッカー10%程度と言われている。これがいったい何を指すか。ロシア系ハッカーは非常に優秀なため同業者同士の中でもその能力は卓越しているということだ。P53、54。

 

ちなみに今のスマホぐらいの性能があれば8桁のPINコード(1億パターン)は10秒もあれば解析できてしまうものなのだ。P83。

 

話を戻すが航空機というのは新旧あらゆるシステムが相互に接続しているため、比較的ハッキングを行いやすい。P84、85。

 

海外のATMでは暗証番号の桁数が5桁や6桁というところもあるが日本の場合は4桁である。4桁ということは1万通りのパターンがあるということだ。(10☓10☓10☓10)。

 

83ページでブルートフォース・アタック」という攻撃手法を紹介したが0000から9999までを一つずつ数字を変えながら1万回試してみればどこかで暗証番号が分かってしまうということになる。

 

であれば4桁を8桁に増やすことができれば1億通りのパターンができてしまうので暗証番号を探すことが1万倍難しくなるというわけだ。とはいえ一つずつ試し始めて最初のほうで正しい暗証番号にたどり着ければ実際には1億回も試す必要はないのであくまでも理論上の話だが。P86。

 

実際、3m離れたところから撮影した写真に写るピースサインの指から指紋情報を抽出できることが国立情報学研究所の研究でも分かっており、なりすましに対する懸念がある。もし指紋情報が盗まれたらあなたは指紋を変えなくてはならない! P88。

 

さらには実際に被害に遭っても気付かないことが多いのである。米国のセキュリティ企業ファイアアイの調査結果(2015年)によると被害に遭ったことに「外部から指摘されてはじめて気付く」場合が3件のうち2件だ。

 

2015年に経産省所管のIPA情報処理推進機構)が企業向けに実施した調査では「攻撃あったが被害なし」「攻撃なし」と回答した企業が合わせて8割を超えていた。そんなはずはない。世界中で1日に3万サイトが不正侵入の被害に遭っているのだ。

 

サーバーやインターネットに接続できる家電などはインターネットの回線に接続するとものの数分で攻撃を受け始める。日本では特にインターネットのコストが安いためハッカーは侵入できるサーバなどを常に探すことができる。まさにハッカー天国なのである。P97、98。

 

既に世界中のウェブサイトの4件に1件CMSを用いているとさえ言われているが2017年にワードプレスのセキュリティ上の弱点が公表された際にはなんと1週間で150万以上のサイトが改ざんされてしまった。公表の1週間前には弱点を修正するプログラムが配布されていたのに、だ。

 

また最近ではバックドアと呼ばれる仕掛けをあらかじめ仕込んだコードライブラリをメーカーに提供する強者も出てきている。この「バックドア」が仕掛けらたコードライブラリを用いて製品を開発してしまうとこの製品にはハッカーがいつでも侵入できてしまう裏口−−すなわち、バックドアが設けられてしまうことになる。

 

同様に一つでもセキュリティの弱いものがシステムを構築する中に存在してしまえばその弱さがシステム全体に引き継がれてしまう、ということもある。もし取引先とのサプライチェーン・ネットワークに一社でもセキュリティの弱い企業があればその企業を「踏み台」にしてサプライチェーン・ネットワーク全体へと影響を及ぼしてしまうのをイメージしたら分かるだろうか。P102、103。

 

サイバー犯罪をしやすい業種としにく業種。

この章の最後では私が独自に分析したものであるがターゲットとして「サイバー犯罪では割に合わないので避けるべき業種」「サイバー犯罪をするのに狙いやすい、おいしい業種」とを紹介したいと思う。

 

まず割に合わないのは「公共機関」「エンターテイメント関連」コンサルティングファームなどの「プロフェッショナルサービス」の3業種である。これらを狙うサイバー犯罪は非常に多い。そのくせ成功率は極めて低いのが実情である。

 

実際、公共機関で情報漏洩などが発生した場合は圧倒的に内部による犯行が多い。案外、ハッキングを行ったりマルウェアを感染させたりするような手法はうまくいっていない。もし公共機関をターゲットとしたいのであれば人間の心理的な隙や行動のミスにつけ込んで、個人が持つ秘密情報を入手するソーシャルハッキングという手法をオススメする。

 

では逆にハッカーにとっておいしい業種はというと「宿泊関連」「サービス業」「不動産」である。これらの業種はセキュリティ対策が他業種に比べて遅れているということもあり、サーバを狙う者にとってもパソコンなどの端末などを狙う者にとってもハッキングとマルウェアの双方で成功する確率が高い。

 

また同業者であるハッカーとの競争率は比較的低いため、まだあなたが侵入を試みる余地はある。公共機関に比べて宿泊施設がどの程度おいしいのか算出してみたところ、およそ100倍おいしい業種であることが分かった。P129、130。

 

ちなみに、経産省によるとセキュリティ事業に従事する人材はあと13万人足りない。P205。以上、ここまで。

  

参考・引用文献。

 「サイバー犯罪入門」