先日、セキュリティベンダーのカスペルスキーが主催した、記者向け説明会に参加してきました。そこではサイバー空間における最新事情が語られましたが、気になったのは「セクストーション」と呼ばれる手法の、個人を狙った攻撃の現状でした。

【その他の画像】

 セクストーションとは「あなたの恥ずかしい写真をバラまかれたくなければ、金を支払え」という脅迫メールで、恐らく皆さんの中にも、あなたの名前と「過去に利用していたパスワードそのもの」をタイトルにした、たどたどしい日本語のセクストーションスパムメールが届いている人がいるはずです。

 カスペルスキーによる最新の情報によると、同社が観測している被害額は、2018年11月をピークにやや減少傾向にあるものの、そもそもこのセクストーションにおいて105ビットコイン、19年3月時点のレート換算で約4300万円ほどの経済活動につながっていることは驚きです。

 ただし、このスパムは“はったり”といえるでしょう。メールの内容を見ると、「あなたのPCをハッキングし、PC内蔵カメラであなたがどんなビデオを見ているか記録している」というのです。

 あなたのPCはサイバー犯罪者の管理下にあると脅し、ばらまかれたくなければ身代金を払え――というのがサイバー犯罪者の主張です。しかし、そこまでのことができているのであれば、PC内のどこかにメモしているであろうビットコインの口座情報や、もっと現実的なオンラインバンキングの認証情報などを盗んで、勝手に奪っていく方が簡単なように思えます。実際にはそれができないから、あなたを脅して情報を奪おうというわけです。

 それに、メールに記載されているパスワードも、これまで多くのサービスで漏えいしたものだということに気が付けば、このサイバー犯罪者は「実は何もできない人たちなのでは?」と気付くことができるはず。漏えいされたパスワードブラックマーケットで販売されています。

 セクストーションスパムをばらまくタイプサイバー犯罪者はハッキング能力があるわけでもなく「販売されている情報を基に詐欺を行うしかできない」人たちといえるでしょう。ただし、それもそれなりに実益が上がるビジネスになってしまっているのは問題です。

 私たちを混乱させて判断力を奪い、だましにかかる――つまりこれは、私たちのリテラシー不足を狙った仕組みです。これに対抗するには、振り込め詐欺対策同様、われわれが“知る”必要があります。セクストーションスパムに限っていえば、それに加えてパスワードを使い回さないための「パスワード管理ソフトの利用」が有効かもしれません。

●法律の「グレーゾーン

 ところで、このセクストーションスパムは“犯罪”なのでしょうか。恐らく多くの方が「犯罪以外の何物でもない」と考えると思いますが、具体的にどの法律に違反しているのかパッと言い切れる人は少ないでしょう(恥ずかしながら実は私も法律論は大変弱く……)。こういうことは最近、特にIT周りでとても多くなったと思います。

 例えばいままさに大きくクローズアップされている、「JavaScriptによる無限ループ」を使ったスクリプトが埋め込まれたURLネット掲示板に貼り付けた件などもそうでしょう。実際にはブラウザが利用不可能になる“ブラクラ”ですらなく、タブを閉じれば元通り、何ごともなかったかのように操作可能な内容です。本来はそのURLをここに示して皆さんにも実体験していただきたいところなのですが……。

 今回の無限ループに関する件だけでなく、Web閲覧者の同意を得ない状態で仮想通貨の採掘を行わせることの是非を問うことになった「Coinhive」の件も同様ですが、ネットでは一定数「警察に捕まったから犯罪なのだ」と判断している人がいます。特にYahoo!ニュースへ転載された記事は閲覧数が多く、幅広い読者が読んでいることもあり、コメントとしてそのような考え方が表面化しているのが見て取れます。

 これに関して、法律論や警察のあるべき論に関してはひとまず他の記事に任せることにします。まずは、「このようなことが起きないためにできること」を考えるべきだと思うからです。

 そのためにも、「正しい判断を行えるようになるため、まずは“知る”」ことが大事です。特にJavaScriptによる無限ループに関しては、それがあまり害のないいたずらレベルであることを知らず、「警察が捕まえたからアウト」「自分も引っかかったらイラッとする」という程度の認識しかなければ、正しい判断はできません。

 正しい判断をするために「法律をアップデートし、白黒はっきりさせるべき」と考える人もいるかもしれません。しかし、本当にそれでよいのでしょうか。

 現状、ITに限らず多くの事象は、法律違反である「クロ」、問題のない行為である「シロ」の間に、緩衝地帯としての「グレーゾーン」が存在します。このグレーゾーンエリアは排除すべきものではなく、文字通りの緩衝地帯として運用でカバーする部分になります。

 もし新たな法律でグレーだった部分がクロになってしまうと、多くの人は萎縮し、行動を制限されると感じることになるでしょう。今回の事例でいえば、Webサービスの提供者、開発者がそう感じています。そしてクロを取り締まる立場である警察が、いたずらレベルのものまで捜査する――こんな状態を、喜ぶ人はいるのでしょうか。

 実はいます。詐欺師です。

 彼らはグレーゾーンとクロのギリギリ手前の線の、違法ではない部分をついてサイバー攻撃をしてきます。しかしそれはグレーゾーンなので、警察が踏み込まない可能性もあります。もちろん、いたずらURLと明確な意図を持ったサイバー攻撃を、警察は「同じグレーゾーン」とは判断しないと信じていますが、この“法律は運用次第”な状態を一体誰が喜べるのでしょうか?

 根拠はないけど「捕まったのだから犯罪だ」というコメントをしている人も、それがいつか自分たちの首を絞めることにつながるかもしれません。そうなったときには遅いのです。

●「適切に怖がる」ことの重要性

 そうならないために、どうしたらいいでしょうか。警察を含む“普通の人たち”が、地道に知識を付けていくことが重要といえます。なぜ知識が必要なのでしょうか。それは「適切に怖がる」ことをできるようになるためです。

 最初に取り上げたセクストーションスパムも、文面だけを見たら恐怖におののいてしまいますが、ITのことをほんの少しでも知っていれば、文面に書かれているPCの遠隔操作がいかに難しいかが分かるはず。

 女子中学生が「不正プログラム書き込み疑い補導」という見出しがでてきたとしても、その記事内にある文言を読めば「大した内容じゃないのでは?」と判断ができるはず。知識を付ければ、私たちがどれだけ怖がればいいのか、どこを怖がればいいのかが分かるはずなのです。そのためには、私たちがITセキュリティの話を避けるのではなく、自分ごととして把握する努力が必要でしょう。

 ほんの数年前ならば、そういうリテラシーウイルス対策ソフト任せにすることもできました。しかし、スマートフォンの台頭によって、コンピュータウイルスよりも、特にiOSでは「詐欺的手法」がメインになるなど、新しい脅威が続々と登場しています。

 私たちは未知の脅威がやってくると、「とにかく最大限に怖がる」とともに「誰かにその判断をしてほしい」とも思うのです。その誰かこそが「警察」「法律」となってほしいところですが、残念ながらその警察も適切に怖がることができず、セキュリティベンダーに頼っているのが現状です(良しあしはありますが)。法律もまだIT時代に即したものにはなっていません。だからこそ、私たち一人一人が、少しずつリテラシーを付け、まずは「適切に怖がれる」ことが必要です。

 最後になりますが、その第一歩として、2010年に起こった「Librahack事件」を題材にしたフィクション小説「鼠と竜のゲーム」をお勧めしておきます。Librahack事件から10年近くが経過していますが、状況はあまり好転していないのかもしれません。

問題になったとみられるサイト(iPhoneのChromeブラウザ)