GMOサイバーセキュリティ byイエラエの福森大喜氏（GMOサイバー犯罪対策センター）

　先日、GMOインターネットグループが開催するエンジニア・クリエイター向けカンファレンス「GMO Developers Day 2024」に参加してきました。 注意喚起「DDoS攻撃は犯罪です！」（出典：警察庁のWebサイト） 　キーノートには「世界1位のホワイトハッカーが集まる『エンジニアの楽園』で働く理由」と題し、GMOサイバーセキュリティ byイエラエの福森大喜氏（GMOサイバー犯罪対策センター）が登壇しました。福森氏はかつてインターポールでサイバー犯罪捜査官として活躍されていた方で、大変興味深いお話を聞けたのでここで紹介しようと思います。 　福森氏は講演の中で、ランサムウェアとは「VPNや『Tor』ブラウザ、仮想通貨、暗号化メッセンジャーなど『1から10まで、匿名化技術が使われる犯罪』です」と述べ、日進月歩で進化する「匿名化技術」の脅威を訴えつつ、インフラ事業者ができることを伝えていました。 　これは裏を返せば、現状の匿名化技術であれば捜査が可能であることを意味します。福森氏が「もし『Telegram』などを使って“闇バイト”をしているのであれば今すぐ止めた方がいい。捜査の手は必ず迫ってきます」と言っていたのが印象的でした。

中学生でも気軽に依頼できてしまうサイバー犯罪が流行中？

　かつて銀行強盗といえば非常に大きな犯罪でした。しかし今や実際に銀行強盗をする人はほぼいないでしょう。検挙率が高くリスクの大きい犯罪である上に、これよりもっと簡単な方法があるからです。それこそが「サイバー攻撃」です。 　3億円の現金を奪うことは本当に大変ですが、デジタルな資産であれば、3億円と30億円の違いは文字通り“0”を増やすだけ。しかし、それはれっきとした犯罪です。サイバーだからといって罪が軽くなるわけではありません。気軽にできてしまうという点が、サイバー犯罪の大きな問題です。 　警察庁の注意喚起によると、“気軽な”サイバー犯罪として最近、“DDoS as a Service”とでも呼ぶべき攻撃が流行しています。これはユーザーが攻撃者に料金を支払い、攻撃先を指定するだけで、被害企業に対してDDoS攻撃が仕掛けられるという代行サービスです。ユーザーの中には未成年者も含まれており、大変憂慮すべき事態だといえます。 　警察庁は、欧州刑事警察機構（Europol）主導の、DDoS攻撃代行サービスを閉鎖させる世界規模での国際共同捜査「Operation PowerOFF」に参加し、この活動に警鐘を鳴らしています。先ほどの注意喚起では、「DDoS攻撃を行うことは、刑法第234条の2第1項の電子計算機損壊等業務妨害罪等に該当し、5年以下の懲役等に処される可能性があります！」という警察庁にしてはややカジュアルな文言が使われており、このメッセージが恐らく未成年者に向けたものであることも推察できます。 　DDoS as a Service的なネットサービスは、サイバー攻撃を目的としているということには一切触れられていません。多くの場合、それはWebサイトの過負荷試験のためであるとされています。しかし実態は同時に複数の端末から特定サーバへの通信を発生させ、DDoS攻撃ができるシステムを時間貸ししているものとなります。 　ランサムウェアグループでは分業化が進み、機能を分担することが多いですが、DDoS代行を利用するというサイバー犯罪者の多くは、高度なツールや高尚な思想を持つものではなく、単に腹立ち紛れで攻撃を実行するということが多い印象です。 　DDoS代行サービスで大きな影響が発生した事例はあまり聞きませんですが、それでもこれは立派な“犯罪”です。これも今なら、全世界の警察機構が協力して犯罪者を追い詰められることが、今回の発表で明らかになっています。 　子どもでも“サブスク”感覚でこのようなサービスに到達できてしまうということも、大人は知っておく必要があるでしょう。報道ではSNSや動画サービスからこれらのツールの存在を知ったということも書かれています。大人が子どもたちを犯罪に巻き込んでしまうのは、本当に悲しいことだと思います。