昨年１２月１１日（火）放送の「ワールドビジネスサテライト」（テレビ東京）で２０１８年の１０大セキュリティ事件について取り上げていたので、そのリスク対応策とともにご紹介します。　

被害額が５８０億円相当に上ったコインチェックの仮想通貨流出事件や漫画が無断でインターネットに公開された海賊版サイト「漫画村」、そしてフェイスブックの個人情報流出事件など、昨年はインターネット上のセキュリティに関して数多くの事件が起き、被害も拡大しました。

昨年１２月１１日、こうした中から昨年注目度が高かったトップ１０が発表されました。

いったいどんなリスクが潜んでいるのでしょうか。

ウイルス対策ソフト大手、マカフィ（東京都渋谷区）は昨年１２月１１日に昨年注目された１０大セキュリティ事件を以下の通り発表しました。（詳細はこちらを参照）

【1位】コインチェック　秘密鍵を流出し、580億円相当の仮想通貨「NEM」が流出（2018年1月）

【2位】佐川急便をかたるフィッシングメール。不正アプリをダウンロードすると個人情報を盗まれ、さらなる犯行の発信元として悪用される（2018年7月〜）

【3位】海賊版サイト「漫画村」が社会問題に　一部では、利用者のデバイスを仮想通貨マイニングに利用（2018年1月）

【4位】アダルトサイトの閲覧を周囲に暴露すると脅して、仮想通貨の支払いを要求する「性的脅迫（セクストーション）」の手口を使った詐欺メールが出回る（2018年10月）

【5位】「アラート:あなたのアカウントは閉鎖されます。」という件名でAmazonの偽サイトへ誘導する、Appleをかたるフィッシングメールが出回る（2018年6月）

【6位】Facebookでインシデント相次ぐ　機能テスト中のバグで1400万人が意図せず投稿を「全員に公開」（6月）、2,900万人分の個人情報が流出（9月〜10月）

【7位】ルーターへのサイバー攻撃が相次ぎ、パソコンやスマートフォンでネットが使えなくなる不具合が多発　NTT、ロジテック、バッファローの機種で被害を確認（2018年3月〜4月）

【8位】JALがビジネスメール詐欺（BEC＝Business E-mail Compromise）により、偽の請求書メールにだまされ約3億8000万円の被害に(2017年12月）

【9位】ツイッター 偽アカウントを一斉削除 対象は数千万件規模に上るとみられ、一部利用者のアカウントからは急激にフォロワー数が減る可能性が（2018年7月）

【10位】「重要 : 必ずお読みください」というタイトルでフィッシングサイトへ誘導する、セゾンNetアンサーをかたるフィッシングメールが出回る（2018年3月）

この中には個人だけでなく大企業も被害に遭いました。

８位のＪＡＬのビジネスメール詐欺事件では、未だに犯人は捕まっていません。

また、社会問題となった３位の海賊版サイト「漫画村」の事件では、その後「漫画村」は閉鎖されましたが、同様のサイトが次々と登場し、いたちごっこになっています。

実はこの事件、裏では全く別の犯罪が進行していたのです。

「漫画村」のサイトには仮想通貨のマイニング（参照：アイデアよもやま話 No.4033 ロシアが世界最大級の“仮想通貨鉱山”に！？）をするウイルスが仕込まれていて、サイトを閲覧した人のスマホやパソコンが勝手にマイニングに使われていたのです。

こちらも犯人は未だに捕まっていません。

そして１位は、仮想通貨交換業者、コインチェックから約５８０億円相当の仮想通貨「ＮＥＭ（ネム）」が流出した事件です。

この事件をきっかけに毎月取引されるビットコインの量は６兆円から１兆円まで減りました。

この事件でも未だに犯人は捕まっていません。

マカフィーの櫻井 秀光さんは次のようにおっしゃっています。

「攻撃を仕掛けてくる時に自分の身元を隠ぺいする工作を必ずやってますし、ほぼ攻撃者の特定を行うのは難しい。」

「非常に資金力を持った攻撃者が増えて来ていて、より洗練されたツールであったりとか、より組織的に攻撃する・・・」

以上、番組の内容の一部をご紹介してきました。

個人のみならず、企業や公共団体など標的にした迷惑メールやウイルス、あるはサイバー攻撃などの犯罪は社会的に広範囲で広がりつつあり、かつ進化し続けています。

しかもその被害は大きく、個人情報や企業の機密情報の流出、あるいは高額にのぼる金銭的損害です。

また実害に至らないまでも、実際に犯罪に巻き込まれてしまうと、その対応でかなりの時間と労力を取られてしまうことがあります。

勿論、かなりの金額の被害を受ければ、大変なショックを受けることになります。

また、知らない間に自分の個人情報が犯罪者側に渡ってしまうと、どんな使われ方をするか分かりません。

ところが、こうした犯罪は、冒頭のマカフィが昨年発表した１０大セキュリティ事件でも、その多くは未だに犯人は捕まっていないといいます。

その背景には、マカフィーの櫻井さんのおっしゃるように、攻撃者の特定が非常に難しいという現実があります。

要するに、個人、企業、公共団体、あるいは取り締まる当局側における、サイバー攻撃リスクに対する対応策、あるいはコンティンジェンシープランがきちんとなされていないのです。

それに対して、サイバー犯罪はサイバー関連の高度な技術さえれば、従来のパターンの犯罪に比べてとても効率的、かつ効果的にお金や機密情報を手に入れることが出来ます。

こうした状況だからこそ、極めて優秀な犯罪者グループは取り締まる側に比べて知力に優れ、捕まることなく、犯罪を続けられるというわけです。

こうした状況は今後とも続くと思われます。

そこで、取り締まる当局に望みたい対応策は、サイバー犯罪においても銃刀法違反やクルマの運転時の一時停止違反のように、実際に犯罪に結びつかなくてもリスクがあるだけで取り締まれるような法律を適用することです。（参照：アイデアよもやま話 No.3928 大手企業でも被害に遭う振り込め詐欺！）

その際の罰則ですが、犯罪者側から見て、万一逮捕された場合の刑罰の厳しさから考えて犯罪を実行するのはメリットがないと思わせるような罰金、あるいは懲役刑であることが必要です。

なお、将来的なサイバー犯罪のリスク対応策として、どんなサイバー犯罪グループにも対抗出来るようなＡＩを駆使した最強のサイバー部隊の登場が待たれます。

そのためには当然世界的に見てもかなりの優秀な人材や資金が必要になります。

一方で、こうしたサイバー犯罪の発生は万国共通です。

ですから、国際的な機関として、世界各国の協力体制によるサイバー部隊に向けた取り組みが喫緊の課題と言えます。