コンピューターウイルスの歴史をひもとけば、20世紀はオタク的クラッカーの知的好奇心による犯罪、21世紀はしっかりとした組織によるサイバー犯罪の時代と言えるのではないだろうか。ところが、こうした現実にまだ十分に企業・組織が目を向けていない、という警告レポートが登場している。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
企業・組織は、サイバー犯罪者がいかに「冷徹で効率的」なのか、もっと理解しなければならない。英国の大手電気通信事業者であるBTと国際的なコンサルティング会社KPMGが新しい報告書の中で明らかにした。
同報告書のタイトルは「攻撃開始 デジタル犯罪根絶のための結集」(Taking the Offensive Working together to disrupt digital crime)である。この中で、脅威が変化したことを企業は認めなければならない、としている。
鍵となる展開の1つは、サイバー犯罪者の目的が金銭に移行したことだった。サイバー犯罪を専門に扱う組織化された集団は、かつてよりも明らかに組織としての体裁が整っている。
「一般企業に対して継続的な攻撃を行う犯罪集団は、決して組織としてまとまりがないというわけではない」と、報告書では説明されている。また「実際のところ、ビジネスモデルを明確にしつつ金銭目的の詐欺を実行しているため、まるで合理的で実務的な企業・組織であるかのように運営されている」と指摘している。
こういった組織にいる人物をどう評するのか。その1つの考え方としては、市場をかく乱することに熱心な迷惑者と見なすことだ、とBTとKPMGは記している。KPMGでサイバーセキュリティの責任者を務めるポール・テイラー(Paul Taylor)氏は、「クラッカーについて論じる」以上の対策が重要であると発言している。「世界を混乱に陥れている新しい種類のサイバー犯罪者には、クラッカーという言葉では不十分だ」とも語っている。
今日のサイバー犯罪者は、不正ソフトウェアと著しく悪賢い技術だけでなく、ソーシャル・エンジニアリングという名の「ビジネスプラン」で武装しているかのようだ、と同氏は語る。
テイラー氏は、「サイバー犯罪のリスクについての説明には、一般的に洞察力が不足している場合が多い」と、いかに大企業がサイバー犯罪のための対策を行っていないかに言及しながら、「自身の事業に対する攻撃シナリオについて考え、脅威に備え対処するために、サイバーセキュリティ、詐欺の取り締まり、そして攻撃された後のビジネスの回復が、どのように一緒に作用するのかを考える必要がある」と説明した(*)。
* 編集部注 不幸にもサイバー犯罪は今後ますます成熟していくことになるだろう。手口が巧妙化することは目に見えている。その中で、どんな対策をとり得るのか。防御側としてどういった連携をとっていくべきなのか。組織としてしっかりとした対応や対策をとることが求められているのである。