「 日 経 デジ タ ル コア 集 中 勉強 会 ・ セキ ュ リ テ ィシ リ ー ズ第 4 回 」 会期:2002年8月26日(月) 会場:日本経済新聞社本社11階B会議室 8月26日、日本経済新聞社本社11階B会議室にて、「日経デジタル コア集中勉強会・セキュリティシリーズ」の第4回を開催した。 通算4回にわたって行った勉強会の最終回では、現在増加の一途 日経デジタルコア集中 勉強会・セキュリティ シリーズ(8月26日、 日本経済新聞社本社) をたどるハイテク犯罪の現状と対策について、警察庁 生活安全 局 生活安全企画課 セキュリティシステム対策室・立崎正夫氏 によるスピーチと、参加者による活発な討論が行われた。 スピ ー チ 「ハ イ テ ク犯 罪 の 現状 と 対 策」 【スピーチ】 立崎 正夫氏(警察庁 生活安全局 生活安全企画課 セキュリティシステム対策室) 【討論】 内田 勝也氏(中央大学研究開発機構 情報セキュリティ研究ユニット 専任研究員) 高木 寛氏(jTRUSTc, inc 代表取締役) 高木 浩光氏(産業技術総合研究所 グリッド研究センター セキュアプログラミングチ ーム長) l 古川 泰弘氏(情報セキュリティ アナリスト) l 前川 徹氏(早稲田大学 大学院国際情報通信研究科 客員教授) l l l 【司会】 坪田 知己(日本経済新聞社 日経デジタルコア事務局代表幹事) ※このページのレポートは、会議での発言を元にデジタルコア設立事務局で編集しました。 立崎 正 夫 氏( 警 察 庁 生 活 安全 局 生活 安 全 企画 課 セキ ュ リ ティ シ ス テ ム対 策 室 ) 司 会( 坪 田 ) セキュリティシリーズの勉強会も4回を迎え、今回で最終回とな る。これまで住基ネットをはじめとして、さまざまな情報セキュリテ 立崎 正夫氏 ィに関する問題点などについて討論を行ってきた。昨今、これらに絡 む事件や犯罪も多い。さらに、このような事件に対する日本の取り組 みは遅れていると言われ、抜本的な見直しが必要とされている。そこ で、今回の討論を1つの文書にとりまとめて社会的に公表しようと思う。 今回は、警察庁でハイテク犯罪にリーダーとして携わっている立崎氏に、現状や問題点 などをお話しいただく。 立崎 氏 ハイテク犯罪の現状と対策をテーマに話をする。現状については前回でお話しされてい るので、今回は今年8月21日に今年上半期に数字が公表されたので、その紹介にとどめる。 それに加えた、政府の取り組み、法制面の整備、警察の取り組み、国際的な連携について 話をさせていただく。 ハイ テ ク 犯 罪の 現 状 ここ最近は増加傾向を辿り、毎年約4割増しぐらいの状況となっている。 ハイテク犯罪は3つに分類できる。データを対象にした犯罪、ネットワークを利用した 犯罪、不正アクセス禁止法違反の3つに分けているが、現在その中でもっとも多いのがネ ットワークを利用した犯罪だ。 特に今年目立ったのが、青少年が被害者になるような犯罪の増加。中でも出会い系サイ トに関連した犯罪が急激に増えていることが目立つ。その他はオークションでの詐欺など が多い。また、不正アクセス禁止法違反についても去年の2倍に増えている。 ネットワークに対する脅威として、犯罪には関係しないがコンピューターウィルスやア クセス集中によるサイト攻撃などにも注意が必要だ。これらには業務妨害罪が適用できな くもないが、実際のところ検挙は難しい。また、スパムメールなどもこれに準ずるだろ う。 出会い系サイトに関係した事件の検挙数は昨年下半期から今年上半期にかけて2.6倍の増 加だ。これに関連して殺人・強盗などの凶悪犯罪も起きている。都道府県警察で受け付け ている相談件数を集計すると、平成11年が約3,000件、12年が約12,000件、13年が約17,000 件というように、増加の一途である。14年は前年に比べてそれほど増えていないのだが、 それは受理体制が追いついていないという背景があると言われている。 ハイテク犯罪の特徴として、次のような点が挙げられる。 ・匿名性が高い 現実社会では本人確認が容易であるが、サイバースペースの場合は「なりすまし」や 「架空の名前」が可能となってしまう。実際に誰が行った犯罪かを特定する現実社会との 橋渡しが困難。また、ネットカフェや匿名メールを使われてしまうと、そこまで特定でき ても誰が使っているのかがわからなくなる。 ・無痕跡性 現実社会ではさまざまな証拠が残るが、サイバースペースの場合はファイルや資料履歴 程度しか残らない。その上、ファイルには犯人に関する情報は含まれていない。ログの消 去・改ざんもできてしまう。また、第三者のサーバを踏み台などに利用することによって 追跡を困難にする場合もある。 ・被害者の不特定多数性 ホームページ、電子掲示板等は容易に不特定多数の者に情報を発信することができる。つ まり、これを犯罪に悪用された場合、広域にわたり不特定多数の者に被害が及ぶこととな り、被害が瞬時かつ広域に及ぶこともある。 ・場所的無限定性 ハイテク犯罪に国境はなく、捜査には複数の国が関係することになる。国内で県境をま たいだだけでも「どこの警察が捜査する」という問題もあるが、国境を越えてしまうとな おさら捜査協助の問題、法律の違いなどの問題が生まれてくる。 政府 の 取 り 組み IT基本法をもとにつくられたe-Japan計画では、重点計画5分野に 「安全性と信頼性の確保」という柱が立っていて、警察関係の政策な ども書き込まれている。 情報セキュリティ対策については、有識者からなる会議があり、具 会場風景 体的な行動計画やガイドラインが作成された。この中にはNIRT(緊急 対応支援チーム)も置かれている。サイバーテロなどが発生した場 合、このチームを中心に対策を進める。 法制 面 の 整 備 不正アクセス禁止法は平成12年に整備された法律で、他人のIDやパスワードを無断で使 ってアクセスする行為を犯罪としている。それまで諸外国にはあったが日本にはなかった ことで注目されていた。単に行為を処罰するのではなく、防御側の対策も盛り込んである ことが特徴である。 不正アクセス行為とは簡単にまとめると、「アクセス制御機能を有する特定電子計算機 等に」、「電気通信回線を通じて」、「他人の識別符号または当該アクセス制御機能によ る特定利用の制限を免れることができる情報もしくは指令を入力して動作させ」、「当該 アクセス制御機能により制限されている特定利用をしうる状態にさせる行為」ということ になる。 具体的な例としては、「ネットワークを利用して他人のIDやパスワードを使って無断 でアクセスする行為」「セキュリティホール攻撃」などについて処罰を行うことになる。 他にいわゆる「ID屋」と呼ばれる、人のID・パスワードを勝手に他人に教えることも助長 行為として禁止されている。 警察 の 取 り 組み 日本の警察は都道府県を単位としているので、それを中心に対策を 行っている。ハイテク犯罪取締りのために専門の部課を設ける段階で はないが、プロジェクトとして人間を集めて行っている。また、有識 者も集めて捜査員として活躍してもらっている。 具体的な取り組み には、情報セキュリティ意識の向上、産業界との連携の強化、不正ア 会場風景 クセス対策、なりすまし対策、違法・有害コンテンツ対策、インター ネットを利用した詐欺事案等の対策がある。 これらの中でも、情報セキュリティ意識の向上が防犯的な意味でももっとも大切と考え ている。多くの人がネットワークに潜む脅威を認識しないでコンピュータを使っているの が現状だからだ。産業界との連携の強化では、官民協力が重要であろう。 また、警察に おけるサイバーテロ対策については、現在サイバーフォース(現場に急行して対策をする チーム)を設け体制を立てている。 また、企業に対しては、ハイテク犯罪の被害にあったら、例えば「コンピュータを警察 に持って行かれ、業務が止まってしまう」「企業イメージが下がる」といった懸念を持っ ている方も多いが、そのようなことはなく、捜査ではハードディスクのコピーを使用する し、プライバシーも必ず守られるので安心して欲しいと対応をお願いしている。 国際 的 な 連 携 最後に、国際的な取り組みとしてG8とハイテク犯罪対策について紹介する。95年あたり からサミットプロセスでも対策を話し合うため、リヨングループが設置され、さまざまな 活動が行われてきた。今年の5月には司法内務閣僚で合意文書が発表されている。 国家的な義務はないが、以下のような連携が考えられる。 ・テロ・犯罪捜査における国境を越えたネットワーク通信追跡のための勧告を行う ・安全保護のために必要ならば、ビジネスの必要性はなくてもデータを保存しておく必要 があるのではないか ・犯罪が起きた後にデータを保全しておく、改ざん・消去などをされないようにしておく こと ・特にヨーロッパなどではデータについてプライバシー保護制度などもあるが、それらに ついても考えるべきだということ 以上のような内容でデータの保存などについての議論が行われた。 司会 ありがとうございました。 司会 ( 坪 田 ) これより今のレクチャーについて問題点や質問などをうかがいたい。 実際 の 対 応 に関 す る 問題 点 前川 徹 氏 (早 稲 田 大学 大 学院 国 際 情報 通 信 研究 科 客員 教 授 ) 説明の中で触れていたが、警察庁および県警レベルにおける体制について、人数的な問 題、どの程度の評価されているのか、などの状況を教えて欲しい。 立崎 氏 体制については組織的にも人間的にも増やしてきており、以前に比べて良くなった。と はいえ、本部の体制に比べ末端ではまだまだ適切な対応ができておらず、十分とは言えな い。 内田 ト 勝 也 氏( 中 央 大学 研 究 開発 機 構 情 報 セ キュ リ テ ィ研 究 ユ ニ ッ 専 任 研 究員 ) ハイテクセンターに「署に相談をしてくれ」と言われた事例があっ た。それは被害は日本、加害者はアメリカ在住の日本人、というやや こしい事例だった。この事例では、サイトは日本にあってアメリカか ら書き込みしているという状況で、結局サイトを削除するというあい まいな結果に終わったが、そのような場合、対応をしっかりする必要があるのではないだ ろうか。 内田 勝也氏 立崎 氏 確かにその対応には問題があるが、できる限り問題が発生しないように努力している。 海外との問題については、国際協力などを使って検挙したという事例が残念ながらまだ無 い。やはり国境を越えると難しくなる。 古 川 泰 弘 氏( 情 報 セキ ュ リ ティ ア ナリ ス ト ) 企業で不正アクセスがあったとき、警察に行く前に我々のところに 相談がくる。最終的には警察にお願いするのだが、その前の我々が承 った段階で、ログを解析するといったことを行う。しかしその解析に よって犯人にされてしまう、あるいは捜査の妨害となってしまうとい 古川 泰弘氏 ったことにならないだろうか。 たとえば某匿名掲示板では膨大なアクセスがあるのだから、捜査段階になった時点では ログの内容がわからなくなってしまうこともあるだろう。 立崎 氏 犯罪が起きたときには証拠の保全をいかに早く行うかということが重要であるが、現状 だとログを押さえるまでに数日かかる。その間にログが消えてしまっていたり、手を加え られていてしまう。ログのフリーズをいかに早く行うかというのは今の1つの大きな問題 だ。 古川 氏 捜査が妨害されるということはないか? 立崎 氏 犯人が妨害するということはないが、被害者が不用意にファイルに触れ、タイムスタン プが変わってしまうということはある。 古川 氏 公安委員会による援助の概要について、金銭的な負担はあるのか。 立崎 氏 金銭的な負担はない。援助の申し出にあたっては、参考となる書類などを提出すること になっている。内容についてはケースバイケースになる。今、実績では平成13年が10数 件。まだそれほど多いわけではない。 司会 ハイテク捜査に携われる専門家はどれぐらいいるのか? 立崎 氏 特にハイテク犯罪対策課というものがないので、罪名に応じて捜査をする形になり、さ まざまな部署に対応する人がいる状況だ。エンジニアのような人間が支援に入ることもあ る。よって具体的な人数は挙げられない。 前川 氏 海外から捜査協力を求められることがあると思うが、日本としての窓口、県をまたがる 場合のイニシアチブの取り方など、現状とこれからについての議論は行なわれるのか? 立崎 氏 国際捜査協力法に則って行う。窓口は外務省になるが、それを使うと時間がかかるの で、情報のやりとりだけであれば、担当官同士で連絡をとる場合もあるし、G8なら24時間 コンタクトポイントといったものを警察に置き情報交換ができる(証拠のやりとりには前 述のような手続きが必要だが)。また、国としてのFBIのような捜査機関を作った方がよい という議論はあるが、具体的なメドはたっていない。 会場 か ら の 質問 1 事業者が関連する捜査に関して、電気通信事業法の守秘義務との関連は法律上どうなる か、また実効的にはどうなるか。 立崎 氏 電気通信事業法は総務省の管轄で、その解釈となるとさまざまな対立もある。縦割りの 話で大変恐縮だが。現時点ではプロバイダに情報をいただくといった場合、良好な関係で 進んでいると思っている。ただし任意というわけにはいかないので、裁判所から令状をも らい提供してもらう形になる。あとから令状を持ってくるからひとまずデータをいただく といったことも行われているが、それでもいくらかの時間がかかる。 会場 か ら の 質問 2 出会い系サイトはネットが犯罪のきっかけとして使われたという定義の場合、どのよう なハイテク犯罪に属するのか。また、サイバーテロとハイテク犯罪は同義の言葉か? も う1点、違法と違法ではないという境目。例えばいつのまにか高い国際通話が請求されて くるといった被害の場合、どこまでが犯罪なのか。警察に相談してよいのか。 立崎 氏 まず最初の出会い系サイト犯罪数とハイテク犯罪の数の差異について。ネットワークを 利用した犯罪との関係として説明すれば、出会い系サイトについては、何らかの形として ネットが関係していれば計数される。児童買春であれば、出会い系サイト関連は400件、ネ ットワークについては100件。つまり単に知り合うきっかけが出会い系サイトであれば含ま れ、一方ハイテク犯罪の方については出会い系サイトを利用して金額や場所を合意したと いう場合にのみ計数される。 サイバーテロとの関係については、サイバーテロという言葉の定義が固まっていないか もしれないが、重要インフラに対する攻撃であり、国民の生活や生命に関係するものをサ イバーテロと考えている。必ずしも明確な仕分けができないかもしれないが、対策として は切り分けて行っている。 違法と違法でないことの境目については、相談窓口が県警にあるので、被害にあった場 合にはまずそこに相談して欲しい。そこで対応できる体制になっている。 司会 前回のレクチャーでこのような問題があった。1つはいかにも犯罪であろう者が捕まえ られないということ。ウィルスを作るという行為、送信する行為が法律でひっかからな い。単にデータを「見る」行為、重要データをコピーする行為も法律でひっかからない。 このようないかにも犯罪と思われる行為が法的に判断できないことについてどのように考 えているか。もう1つは、犯罪の値段が安すぎるのではないかと言うこと。各国に比べて 刑罰が軽いのではないか。量刑の問題はいかがであろうか。 立崎 氏 型どおりの答えになるが、刑法の話は法務省で検討している。この答えでは満足されな いと思うのでもう少し具体的に説明しよう。 ウィルスについてはサイバー犯罪条約などで立法化する必要がある。送って被害を与え れば業務妨害罪になるが、作っただけ、持っただけをどうするか、ということになる。実 情ではウィルスに対する相談も多く、問題意識はある。では罰則として規制が好ましいの かどうかというのはまだまだ議論が必要であろう。例えばウィルスを作るには薬物を作る と同じように免許がいるのか?という話になるかもしれない。ワクチンメーカーにも同様 の問題がある。また、ウィルスとはそもそも何だろうかという議論からはじめなくてはな らない面もある。 いかにも犯罪であろう者の件についてはデータの価値をどう評価するか、同じデータで もPCの中に入っているものと紙に書いてあるものをどう扱うか、といった議論が必要であ り、なかなか難しく進まない面がある。 量刑については例えば不正アクセス行為では立法当時もっと重くと考えていたが、諸般 の事情によってこうなってしまったのかもしれない。 内田 氏 ウィルスを作ることについては、「悪意」があれば犯罪、「研究用」であればそうでな い、ということも考えられる。しかしほとんどに悪意があるのであれば、処罰の必要は当 然あるだろう。 立崎 氏 取締捜査機関の観点では、仮に「悪意があって」という条文があったとして、それを立 証するのが困難になる。取り締まりの実効性がある法律としてはなかなか難しいだろう。 古川 氏 ウィルスの特徴として、「感染能力」「スピード」「破壊力」があるが、これらに「一 定以上」という条件を付けることをすれば、少なくともワームに対しては絞り込むことも できるのではないか。もう1つ、鍵を開けることができる特殊な人たちについて警察が記 録しているように、OSの開発など特殊な技術を持つエンジニアについては自主的な形での 協力グループを作ってもいいかもしれない。 高 木 浩 光 氏( 産 業 技術 総 合 研究 所 グリ ッ ド 研究 セ ン ター セ キ ュ ア プロ グ ラ ミン グ チ ーム 長 ) ウィルスを作ること自体を禁止する場合、ウィルスを作ることが高 度な技術を必要とすると考えられているわけだが、実際にはもっと簡 単である。プログラミングのシステムが簡単になり、アイコンをドラ 高木 浩光氏 ッグ&ドロップするだけでもできてしまう。ワームを作る能力を持っ ている人は多数いると思われる。しかし、社会に対して破壊的な能力を持つワームを作る にはある程度の能力が必要だ。したがって、やはりウィルスの速度に何らかの制限をかけ る、DoS攻撃を仕掛ける、パスワードを固定にして口座番号を変えてアクセスするといった 連続した操作、これらに制限をかければワームにも制限をかけられると考えるがいかがだ ろうか。 立崎 氏 法律では「犯罪行為を行うために作られたプログラム」と定義されているが、影響力が 強いものをはっきりと切り取るというのも1つの方法であろう。その場合、ワクチンメー カーなどで余計なところまで規制しないように配慮する必要があるだろう。 高木 ( 浩 ) 氏 いずれにしろ議論する場が必要だ。 「不正プログラム」かどうかについて、先頃次のような事例があった。mankin.exeとい うプログラムがネットに置かれ、実行するとハードディスクの内容が一瞬で消去されると いう事件があった。これがウィルスということになり実際に登録された。しかしこれがHD を消去するための正規なプログラムかもしれないわけで、不正かどうかということはプロ グラムの説明書などまで見なくては判断できない。プログラムを理解するには、解析する か実行するかしかないわけで、それには技術がいる。 会場 か ら の 質問 3 ハイテク犯罪の問題として、実際に今回のスピーチの中で捜査上の問題として法律とし て枠組みを作る議論はあるのだろうか。 立崎 氏 匿名性については議論のあるところではあるが、法律で規制することではないだろう。 ログの保存も義務づけるものではないだろう。実際にそのような議論は出ている。やはり 法律となると難しい問題はあるが、匿名性についてはログの保存やネットカフェでは誰が 使ったかといった情報の把握に関する要請は行っている。 司会 「通信の秘密」という問題は重要で、日本はかなり厳しく見ている。ウィルスの問題も 含めて、多少枠をずらせれば捕まえやすくなるという議論はあるか。 立崎 氏 個人的な意見ではあるが、やはりログの保存が重要だ。令状がないとログを提出しても らえないといった状況を、もっと改善する必要があるだろう。プライバシーの問題でかな り難しい議論になるだろうが。 高木 寛 氏 ( j TRUSTc, inc 代 表 取締 役 手続き上の問題で、プロバイダと良好な関係があるという話があった。一方、各企業が 持っているサーバはプロバイダが持っているものと同じ機能を持てる。その場合、警察が 「個人情報を出しなさい」と言ってきたとき、どのような対応を行えばよいのか。プロバ イダは、企業のサーバをハウジングあるいはホスティングしているケースもあり、そのサ ーバが犯罪に絡んだ場合、警察はプロバイダに言うのか、それとも企業に言うのか。 立崎 氏 令状には、サーバの置いてある場所、サーバを管理している場所を明記することになっ ている。しかし実際には緊急性や内容によってケースバイケースになるだろう。直接企業 が持っている場合も、実際にデータを持っている場所に請求しないと捜査が進まないの で、管理者だけに言っても解決しないだろう。 高木 ( 浩 ) 氏 不正アクセス禁止法による検挙事例を拝見すると、技術的に高度ではない事件の検挙率 が目立つ。例えば、リマインダー機能でパスワードが見られてしまったという事例があ る。複雑な技術を要する犯罪の公表は行なわれているが、公的な機関が権限を持って「こ のような作り方はよくないです」という発表を行って欲しい。警察庁による、「このよう なリマインダー機能はよくない」という防犯目的の公式なアナウンスこそが有効であり、 他の団体ではできないことではないだろうか。 立崎 氏 防犯的な観点は重要である。特に情報セキュリティ意識の向上はとても大事だ。広報活 動では、個人情報の流出、ウィルスの関係、サイト書き換えの事案などについても広報し ている。まだ必ずしも十分な対応とはいえないが、影響度の高いものから順に各有識者の 協力を得て進めていきたい。 司会 時間が来たので、このあたりで議論を終了したい。長い時間ありがとうございました。
© Copyright 2024 Paperzz
