米国における成人の3分の2は、政府がサイバー犯罪を行った者を逮捕し告発するのに十分な措置を行っていないと考えている。この数字は、2016年5月に3日間にわたって行われた世論調査で得られた775件の回答に基づいている。これは、連邦政府が「何もしていない」と言っているのではない。政府が行っていることは悪いことばかりではないし、善良な市民がそのような政府を手助けできることもある。

サイバー犯罪は最優先事項なのか

最初に断っておくが、サイバー犯罪者を逮捕・告発する任務にある人たちが怠けていると言いたいのではない。断じてそれは違う。サイバー犯罪を昼も夜もなく調査している連邦捜査官に会ったことがあれば、これはうそ偽りなく、仮にそうした彼らの努力がなかったなら、サイバー犯罪の現状は相当ひどいものになっていたに違いないと思うはずだ。問題は、こうした献身的なサイバー犯罪捜査官がもっと多く必要だ、ということである。悲しいことに、サイバー犯罪が、数ある最優先事項の「1つ」ではなく、本当の意味での「最優先」事項にならない限り、そのような捜査官が十分に確保できるとは思えない。

残念ながら歴史は、サイバー犯罪との戦いにあまり本気で関わってこなかった。2003年6月20日、当時のFBI長官であるロバート・ミュラーⅢ世（Robert S. Mueller Ⅲ）は全米記者クラブの会見で、「テロ対策、諜報戦に続いて、サイバー犯罪が、われわれの次なる最優先事項だ」と述べた。不幸なことに「3番目の最優先事項」は、創生期のサイバー犯罪の芽を摘むに至らなかった。その後わずか数年間でサイバー犯罪は興隆期を迎えることになったが、ちょうどそのころ、大規模な横領事件が世間を震撼させ、そのせいでサイバー犯罪から注意がそれ、対策手段もあまり顧みられなくなった。近年サイバー犯罪は、再び焦点が当てられるようになってきたとはいえ、頻出するテロ事件の恐怖の影に隠れがちなのも事実である。

FBIが所属する米国司法局(DoJ)は、司法長官が指揮している。その最優先事項は、先頃、このように説明された。

「1　 国家のセキュリティを保障する。2 　サイバー脅威をもたらす者を見つけ出し追及する。3　 われわれが仕えるコミュニティーとの関係を強化する。4 　最も弱い者を保護する。5 　犯罪が行われたのが街角であろうと会議室であろうと、法を破った者を確実に捕らえ責任を取らせる」

つまり、ホワイトカラーの犯罪が優先順位を下げ、サイバー犯罪が順位を上げた。しかしこれを見て、こんなふうに思わなかっただろうか。「2 　サイバー脅威をもたらす者を見つけ出し追及する」というのは、「1 　国家のセキュリティを保障する」のに必要なのではないか、と。

そのためサイバーセキュリティ研究は、非常にフラストレーションのたまる仕事となっている。研究者は、もし今しっかりとした対応をしなければ、サイバー犯罪がますます激化すると、何年もの間言い続けている。次の何年かは、サイバー犯罪が激化していったあらゆる道筋の記録を作るのに費やされる。研究者は喉をつぶし、かすれたささやき声で「サイバー犯罪は今や、国家の存亡に関わる脅威となっている」とつぶやくのを、もう誰も聞き取れなくなるまで、続けているのである。

サイバー犯罪への懸念の世代間格差

もちろん、セキュリティ専門家がほっと一息つくためには、たとえわずかであっても楽観的な見通しがなければならない。だから、自分のメッセージが人々に届いたかもしれないという徴候を見つけると、元気が出る。例えば、冒頭で述べた世論調査がそれである。そのGoogleによる消費者調査の詳細を以下に掲げる。

この結果は、希望を与えてくれる。この問題について真摯に話し合い、解決策を練り始めるよう国会議員に訴えてほしいと、セキュリティ専門家が市民に訴えることが、本当にできるという希望である(そう、米国では2016年は選挙の年である)。

しかし、セキュリティの専門家から見ると、これはそれほど楽観的なものではない。また、以下のような回答の年齢層別内訳を見て、この世論調査の結果が本当に言わんとしていることを理解する必要がある。残念ながら、若者は同じものの見方をしていない、というのがその答えだ。18歳から24歳の25%が「コンピューター犯罪は気にならない」と回答しているのを見てほしい。

なぜ、25歳未満の若者はコンピューター犯罪を気にしないのか。これは重要な研究テーマだが、誰かがその研究を始める前に、ただ思い付きを並べることくらいなら今でもできる。1つの仮説だが、若者たちは、家族を養い会社を回さなければならない高年齢層と比べ、同じ責任を抱えてサイバー犯罪の矢面に立つことがない。

今分かっているのは、ESETが2016年3月に行ったランサムウェアに関する世論調査で明らかにした事実である。25歳未満の若年層は、それ以上の年齢層に比べて、サイバー犯罪の中でも特に悪質なこのマルウェアを気にしている者の数が少なかった。全年齢層の30％に対し、1980～2000年ころに生まれた「ミレニアル世代」の34%が、ランサムウェアが何なのかを知らなかったのである。もう1つの仮説は、若者たちが、自分たちが上の世代よりも、サイバー犯罪者に対してずっと良く防御されていると思っているというものだ。ESETがデータのバックアップを取っておく習慣について調べた結果が、これを裏付けている。全年齢層の31%が、データのバックアップを取ったことがないと答えており、これはすでに不安な数字であるが、25歳以下の世代では、それが35%に上がっているのである。

サイバーセキュリティにおける年齢層による違いを示す他の指標が、セキュアオース社（SecureAuth Corporation）がウェイクフィールド（Wakefield）社の協力を得て行った世論調査において見いだされる。それは、「インターネット回線速度と個人のセキュリティのいずれを選ぶのか、公衆Wi-Fiにおけるオンライン行動」を調査したものだった。その結果が示しているのは、全体では、より速いインターネット(43%)ではなく、より良い個人のオンラインセキュリティ(57%)の方を選ぶ、ということだ。ところが、ミレニアル世代の半数以上(54%)が、個人のオンラインセキュリティよりも、アクセススピードの方を改善したいと思っている。公共Wi-Fiに関する次の回答結果が、この世代間格差をさらに強調する。何らかの個人情報を公共Wi-Fiを使ってオンライン上にアップしたことがあると答えた人は57%だったのに対し、ミレニアル世代では、この数字が78%に跳ね上がっているのである。

だが、何をすれば良いのか

あらゆる年代の人たちから尋ねられる質問がある 。それは「サイバー犯罪を減らすために何ができるのか」である。答えは2つに絞られる。簡潔にまとめると、こうだ。

１　サイバー犯罪に関して正しい防御策をとり、サイバー犯罪に関与する犯罪者の対策にかける費用を増やす

２　自分が選出した代議士がサイバー犯罪阻止（犯人を突き止め、逮捕し、訴追すること）をもっと重視するよう働き掛け、リソースを割くように陳情する

最近の動向を見ると、ここに3点目を追加できる。

３　警察にサイバー犯罪を全て報告する。なぜなら警察としては報告されていない犯罪に対してリソースを割り当てるわけにはいかないからである。

この提案に対しては次のような反応が返ってくるであろうことは十分予想ができる。「たとえ報告したとしても、当局は何もしないから、何も意味がない」と。なぜこの第3点目を付け加えたのかを説明しよう。2016年春、国家安全保障担当の司法次官補ジョン・P・カーリン（John P. Carlin）氏は興味深い説明を行っている。彼は司法省の国家安全保障部門のトップに任命されており、国家安全保障サイバーセキュリティネットワークの指揮も行っている。彼は2014年のソニーピクチャーズエンタテインメント社のクラッキングの捜査に携わり、経済・サイバースパイの容疑で中国軍のメンバーを初めて起訴するに至らしめた当事者である。

カーリン氏は「米国企業に対するサイバー犯罪やスパイの脅威が国家安全保障に関わるものとの認識を喚起するため、また中枢の経営陣が企業内のサイバーセキュリティ問題に積極的に取り組むよう後押しするため」、産業界の垣根を越えた国家規模での啓蒙活動も立ち上げた。先ほど紹介した講演もこの啓蒙活動の一環として行われたものであり、そこでの話を基に、全てのサイバー犯罪を報告すべき理由を以下、2点にまとめる。

第1は、警察がどれだけ広範囲にわたってサイバー犯罪が広がっているか記録に残す必要がある、ということである。そうすることで彼らは、もっと多くのリソースを割くようより強く要求することができるのである。

（「ウイルスブリテン2015」に同誌編集者であるマーティジン・グルーテン（Martijn Grooten）氏が書いているように、犯罪と戦うことに積極的に関わろうとしない連邦政府の面々はサイバー犯罪を調査する責任を民間部門に押し付けていることになる。その上、警察の体制をせめて必要最低限のレベルに整えることにすら乗り気でない政治家たちは、サイバーセキュリティ関連の製品とサービスを提供している会社が作成したサイバー犯罪についてのその統計資料を、単なるマーケティング用資料としてあまりにも安易に捨て去ってしまっているのである）

サイバー犯罪を報告すべき第2の理由は、そのことが悪人たちを捕まえる手掛かりになるかもしれないからだ。FBIはクラッキングされた個人や会社からの報告を蓄積しているので、新たな被害を報告していくことでパターンと傾向を求めて「点を結んで線にする」ことができる。

ある零細企業がクラッキングされて個人が同定できる情報が盗まれた、という事態を想定してみよう。その会社はそれをFBIに報告することに決める。そうするとその報告はほかの何がしかの事例と結び付き、それをたどっていくとついにはイスラム国のテロリストたちの関与を世間に公表する、ということがあるのだ。その結果はどうなるであろうか。あるサイバー犯罪者がマレーシアで米国の告発により逮捕されるという事態に至るのである。これは実際にあった話である。

だから、連邦政府はサイバー犯罪と戦うためにもっと多くのことを行ってしかるべきだ。ただ、こうしたことを警察で働く現場の人たちに言う必要はない。彼らはすでに彼らがもっているリソースを使って彼らができる限りのことを行っている。そしてある程度の結果を出している。今こそ政府に対して、人員をもっと割くよう要求すべき時である。