2015年4月、世界195カ国が加盟する世界最大の警察機関「インターポール（ICPO＝国際刑事機構）」に、サイバーセキュリティに特化した組織が開設された。IGCI（INTERPOL Global Complex for Innovation）と名付けられ、インターポール本部があるフランスのリオンではなく、世界をこれまで以上に巻き込んでいくという意気込みで、シンガポールに本部は設置された。

IGCIでは、設立当初から民間企業とも協力を行い、日本企業とも交流を続けてきた。そのうちのひとつが、東京に本部を置くセキュリティ企業「サイバーディフェンス研究所」だった。同研究所は、上席分析官の福森大喜氏をIGCIに派遣した。

福森氏は、世界のハッキング大会などでも活躍した、日本屈指のハッカーとして知られる人物だ。

著者は2016年にシンガポールのIGCIを取材で訪れている。職員らと話をしている中で、福森氏がサイバー犯罪捜査で非常に高い評価を受けていたのをよく覚えている。

当時、福森氏は「日本にいた頃、サイバー攻撃を受けた企業に行って調査を進めていくと、運がいい場合には、ほぼ間違いないというレベルで攻撃者にたどり着いたりします。でもそれ以上は何もできないというもどかしさがあった」と語っていた。日本には捜査に制限があるために力を発揮できなかったーーそういう側面も、福森氏がインターポールに入った理由に挙げられる。

その福森氏が、約8年半にわたる勤務を終えてインターポールを離れることになった。そこで、「日本には帰国しません」と語る福森氏に、これまでのインターポールでの経験について話をしてもらった。

＊＊＊

Q：インターポールではどのような捜査をされていましたか？

情報などの捜査を行うインテリジェンスがメインです。

Q：ダークウェブや、地下のフォーラムの監視を行ってサイバー犯罪者の動向を見ているのでしょうか？

そうですね。ダークウェブでのやり取りをクローリング（ダークウェブを巡回して情報を拾い集める方法）するというより、アトリビューション（サイバー攻撃者を特定すること）です。あと、集大成的な感じで僕がこれまでずっとインターポールでやってきたことを全部プログラムに落とし込んで、自動でアトリビューションや、攻撃者を見つけられるようにもしています。

Q：これまでも自動プログラムを作ったりしてきたのでしょうか？

マルウェア解析をしろと言われても、手動でやるよりも、自動化して行わないと数が増えてきた時にどうするかという話になってきます。僕の仕事は基本的には常に自動化と隣り合わせですね。

ある程度のスキルがあるエンジニアやハッカーであれば、自動化というのはやります。例えば、ハッキング大会とかに参加しても、手動で見つけることもやりますが、それと同時に、ハッキングでも自動化というのは必ずやって、そうしないと競争では相手より先に上回れないのです。自動化で時間を節約して、空いた分の時間で、他のさらに難しいことをやっていくというのは基本的なスタンスですね。

Q：インテリジェンスでは、ダークウェブや、匿名メッセージアプリなどのチャンネルなどもチェックしているのでしょうか？

はい、見ています。チャットのアプリは色々ありますが、ソースコードを改造して、IPアドレス（インターネット上の住所）を抜き出せないか、という試みなどをやっていますね。

（山田注）チャットのアプリというのは、無料通信アプリのテレグラムなどのことを指す。こうしたアプリには、犯罪グループが「チャンネル」を設けて、メッセージを発信している。またランサムウェア攻撃集団によっては、一般には知られていないチャットアプリを使って、被害者などとコミュニケーションをしている。

Q：EU（欧州連合）の警察であるユーロポール（欧州刑事警察機構）では、2020年12月に、色々な国を絡めてダークウェブで活動していた犯罪グループを一斉摘発といったことをやっています。

ユーロポールもいろいろ手広くやっていて、犯人をちょっと泳がせて監視するというようなことをやっています。ただある程度、世界各地にあるIPアドレスは特定できるので、あとはどこの国がその話に乗ってきて、捜査協力をするのかという問題になります。

Q：ユーロポールの一斉摘発では、オランダが中心となってやっていたという話でしたけど、オランダはサイバー捜査が進んでいるのですか？

そうですね。特に3〜5年ほど前は、オランダはかなり力を入れて、アグレッシブに活動していました。今はあまり聞かなくなりましたが、もしかしたらオランダの国際的なサイバー捜査の担当者が変わったからかもしれないですね。

Q：やっぱりそこは人なのですね。

やっぱり僕はどの国も担当者が大事だと思っています。例えば、日本では、サイバー空間でもおとり捜査はダメだと基本的には言われていますが、ものによってはできるという話も耳にします。法律の壁に委縮して、そういうスレスレの捜査には手を出さない警察官がほとんどですが、時々、尖っている警察官が現れて、「ちょっとこの法解釈は攻めることができるんじゃないか」みたいな感じになったりします。そこで成功しているのがドイツやオランダの例だと思います。

Q：日本でもそういう人いるのですか？

日本でも、雑談レベルで「やりたいね」といった話は聞くのですけど、ただ成功例がもちろんないですよね。あるいは尖る方向を間違えているというか……。

Q：すごい人は自発的に皆さんやっているのですか？

これもどこの組織にも言えることで、やれと言われた仕事を最低限だけこなしている人もいれば、常に限界に挑戦して勉強してやるような人もいるということです。

Q：また、匿名通信の「ドット・オニオン」（「co.jp」「.com」のように、ダークウェブでは「.onion」が使われる）では、実は、匿名を「破れる」「破れない」という議論があります。実は、アメリカ当局は、ユーザーを特定できるのではないか、と。

技術的には特定できません。技術的に暗号化されているシステムが破られるかというと、もちろんそれはできないのですが、ユーザーが色々なところでミスをしていることもあります。それが、利用者がバレる一番の基本ですよね。そこからさらに潜入捜査という作戦もありますし、犯罪チームの中で喧嘩別れして情報を漏らす人もいます。

Q：最近、ランサムウェアが猛威を振るっていますが、有名なランサムウェア集団である「ロックビット3.0」などのランサムウェアは、いまだに、誰も暗号を解くことは技術的にできないのでしょうか？　

著名なランサムウェアであれば、解読はまずできません。数学的に暗号を解除するというのは考えられません。

Q：いま世界的に見ると、サイバー犯罪捜査ではやはりアメリカが抜きん出ている感じですか？

やっぱりFBI（連邦捜査局）は強いですね。情報もたくさんもっていますし、GoogleやAmazon、Appleといった企業にインターポールで接触する際も、結局はFBIを経由しないとリーチできません。あと、アメリカはヒューミントなどスパイ活動のようなことをやったり、電話の盗聴で得た情報なども組み合わせて捜査できるので、やっぱり強いですね。

（山田注）ヒューミントとは、人的なスパイ活動のこと。人を使った情報収集や工作を行うことを指し、一方で電話などの盗聴やコンピューターのハッキングなどはシギントと呼ばれている。

Q：福森さんはインターポールで8年半過ごされましたが、仕事の内容は最初から基本的には変わらなかったのでしょうか。

最初はマルウェア（ウィルスなど悪意ある不正プログラムのこと）のテイクダウン（解析・捜査）みたいなことをやっていましたが、最近あんまりそのマルウェアのテイクダウンはやらないです。マルウェア単体で問題になるというよりは、犯罪グループとして問題になっていて、そのグループをどうやって捕まえるかという方向にシフトしています。

Q：マルウェアがそんなに重要でなくなっているということは、前よりも簡単に調査できるということですか？

あまりマルウェアを深く解析して得られるものが少なくなっているということですね。10年ほど前はマルウェアの中に中国の痕跡が残っていましたということがありましたが、そういう痕跡を調べる手法というのが知れわたってしまい、そうすると、わざとロシア人が中国の情報を埋め込んだりするようになった。ということで、あまりそこを突き詰めていっても、本当に中国なのか別の国が埋め込んだのか結局わからないのですね。そこで中国が出てきたからといって、何なんだということに今はなっていますね。

（山田注）東日本大震災と福島原発事故のあと、日本の官僚宛に、実行するとマルウェアに感染する文書ファイルが添付されたメールが発見されましたが、そのマルウェアを調べると、中国語の環境でプログラムされたことが判明した。ただ現在ではそうした情報は無意味になった。

Q：全般的にサイバー犯罪を仕掛けているのは、やっぱりロシアが圧倒的ですか？

そうですね、ロシアがほとんどですね。BEC（ビジネス・イーメール・コンプロマイズ）は、ナイジェリアとかが引き続き多いです。

（山田注）BECは、仕事の取引先や上司などを装って振り込め詐欺などをメールで行う犯罪のこと。

Q：ランサムウェアが凄まじく広がっているのは間違いないのですよね。

一部、廃業するグループもあります。例えば、FBIが捜査か何か動いているという噂が流れて、廃業しましたというグループもいる。しかし、ご存じの通り、廃業しましたというのは嘘で、名前を変えて活動を続けるっていうのは少なくない。でも見ていると、ものすごく増えていますね、爆発的に増えているんじゃないでしょうか。

Q：日本は2022年1月〜6月で、前年比80%増えていると言われています。

僕が見ているのは被害者側というよりも、どのグループがどういう名前に変わったとか、どう分裂したか、ランサムウェアの検体も集めたりしているので、どのグループがどう動いているのかというのを追いかけています。グループ名はめちゃくちゃ増えていますね。

Q：分裂したほうが攻撃する側から見ると摘発されにくいのでしょうか？

捕まりにくいですけど、喧嘩して相手の情報を暴露してみたいな話も結構出ているので、ちょこちょこ捕まったりもしています。ただ捕まったりしているのは一番下っ端のアフェリエイター（連携しているハッカー）だけということが多い。ただサイバー攻撃を行うのにプレイヤーが増えています。クリエイター（マルウェアのプログラマー）もいますし、イニシャル・アクセス・ブローカーという役割の人もいます。ランサムウェア攻撃の中でも、もの凄く分業が進んでいて逮捕されるのは一番下っ端というような構図が出来上がっているっていう感じを受けています。

（山田注）イニシャル・アクセス・ブローカーとは、サイバー攻撃を行う際に、不正アクセスで攻撃する手段を提供する人たちのこと。例えば、ターゲットに決めた企業などの、クレデンシャル情報（IDやパスワード）やセキュリティの欠陥などを提供（売買）する。

Q：私が欧米の情報機関の関係者らへ取材したところでは、ロシアのグループで捕まる人たちは末端の人たちですが、上に行けば行くほど情報機関が絡んでいるという分析をしていました。福森さんの感触はいかがでしょうか？

そうですね、一番ボスというのは結局わからないですよね。今、ロシアとウクライナは戦争のような状況になっていますが、アメリカのFBIなども、捜査でロシアから情報をもらうということもこれまではあった。それがインターポールとしてもロシアに連絡しづらくなっているというのもあります。アメリカもロシアと、戦争の前までは情報などギブアンドテイクで「取引」してうまくやっていたのです。でも戦争になって、その辺も疎遠になっているというか、なかなかリーチできなくなっちゃっていますね。

Q：ウクライナへの侵攻が始まってからロシアの動きは増えている感じですか？

犯罪は増えていると思います。ランサムウェア攻撃が増えているのも、（ウクライナ侵攻で）ロシア人の技術者の仕事がなくなってしまい、犯罪グループに加わっているからじゃないかとも思います。

Q：日本は捜査などでロシアと協力できていたりするのですか？

私の知る限りでは、そういう話は聞かないですね。

Q：日本では4月から、警察庁にサイバー警察局というのが設置され、サイバー特別捜査隊もできました。国際的な捜査をするときに仲間に入りやすくなるようですが、サイバー警察局発足によって何か変わったり感じたりということはあります？

窓口はできましたけど、始まったばかりでまだ実績がないという状況だと思います。今はインターポールの「サイバーフュージョンセンター」にも日本人はゼロです。先ほどのアメリカとロシアの関係のように、本当にコアな部分はギブアンドテイクで成り立つので、ギブできる情報や技術が集まってからがスタートラインじゃないでしょうか。

（山田注）IGCIのサイバーフュージョンセンターは、世界中から集まるサイバー攻撃などの脅威情報を集め、官民の橋渡し的な役割を担っている。さまざまな情報を分析した上で、世界各国に情報を提供している。以前は、日本人捜査官が参加していた。

Q：勤務を始めた8年半前と比べて、サイバー犯罪をするグループの技術力も格段に上がっていると思いますか？

技術的に第一線にいるロシアなどは、さきほども言った通り、エンジニアがマルウェアを解析してこういうところに中国の痕跡が残っているというように分析をしていることをもちろん知っています。だからこそ、わざと別の国のせいにするために変なメッセージを入れてきたりします。匿名インターネットの「ドット・オニオン」でも、ユーザーを突き止めるためにいろいろやっていますが、わざと嘘の情報を入れてきます。そういう感じで、捜査員などをもてあそんでいるという感じはあります。

Q：マルウェアのレベルが高くなっているというような変化もありますか？

ランサムウェアはそうなのですが、犯罪グループのエンジニアは色々なグループを行ったり来たりしているので、コードの使いまわしができる。そして、サンサムウェアのプログラムのコードのナレッジというのはどんどん溜まっていて、RaaS（ランサムウェア・アズ・ア・サービス）のプログラムは、もの凄く良くできています。そういう細かいところにも手が届くようなしっかりとしたフレームワークができています。

（山田注）RaaS（Ransomware as a service＝ランサムウェア・アズ・ア・サービス）とは、ランサムウェア攻撃のツールや攻撃ノウハウを利用することができるサービスで、報酬を受け取ってサイバー犯罪者らの攻撃に協力する。

Q：ロシアの能力が高いのはわかりましたが、中国はいかがでしょうか。技術力は以前に比べて上がっているのでしょうか？　中国に関してはどういう印象をお持ちですか？

時々、中国が関わっているケースも扱います。どこの国でもそうですが、レベルの高い人から低い人もいて、捕まるのはレベルの低い人たちなのです。そして、あまり上の方は見えてこないです。ずっと言われているように中国の政府が裏で糸引いてやっているみたいな話も出ていますが、あまり出てこなくなりました。中国政府が、うまくコントロールして見つからないようにやっているのかとも思いますが。

Q：北朝鮮の印象はどうですか？

北朝鮮がらみのランサムウェア攻撃じゃないかというのは時々出てきますが、北朝鮮はあまり活発にランサムウェアをやっている感じはないですね。

Q：そんなに顕著ではないということですか？

犯罪というところではあまり凄い攻撃が来ているなということはないですね。ただ、北朝鮮がインターポールの加盟国ではないこともあって、北朝鮮絡みの捜査をやりづらいというのも関係しているかもしれません。

Q：北朝鮮に限らずこれは国が絡んでいるなということがわかることもあるのですか?

色々なセキュリティ会社のレポートに出ているように、軍関係の施設のIPアドレスから来ていたりだとか、人を調べていったら軍の経歴を持った人がやっているとかということはありますね。

Q：インターポールの組織の中での変化みたいなものはあったのですか？

コロナでロックダウンになって、国に帰ってしまった人もいます。インターポールもポストをどんどん減らしていて、それでやめていって新しい人が入ってこないという感じになっています。今は、シンガポールはマスクがいらなくなったので、最近新しい職員が入ってきたり、人が戻ってきている感じですね。

Q：最後ですが、8年半の間インターポールでやられてきて集大成的なタイミングでのインタビュー取材ですが、インターポール時代はどんな感じだったと言えますか？

ロシアの戦争で色々思うこともあって、例えば、いざと言う時に国連が全然役に立たないという話がありました。じゃあ、インターポールどれだけ役に立つのだろうって。まあ、それは行く前からも散々言われてたことで、分かってはいたことですが。各国の警察が「NO」と言えばおしまいで、逮捕も何もできない。ただ、そこでNOと言われないようにするために何ができるかを考えて、もがいている人もたくさんいるってことは身にしみてわかりました。そこの壁を少しずつ削っては、担当者が変わって新しい壁ができて……の繰り返しというか。そうやってもがいている人や、先に述べた尖っている人とか、そういう人たちと知り合えたことは、他の人には経験できない財産になりましたし、その人たちとは私の出向関係なくやりとりしていますので、当初抱いていたようなもどかしさは多少解消されたと思います。

Q：日本にいても捜査の制限があってそちらに行っても壁があるということなんですね。結局、どこに行っても同じということでしょうか。

そうですね、でもどこか別の国に行っても、ロシアの戦争を止めることができる組織があるわけではないですね。だからどこにいても解決にはならないのですけど、世界どうなってしまうのだろうという感じですかね。

Q：今後のご予定は？

シンガポールに残って、民間でサイバーセキュリティのインシデント対応などを行っていく予定です。

＊＊＊

IGCIは2022年10月、日本のサイバーディフェンス研究所とNECと共同で、「INTERPOL Digital Security Challenge」という演習を実施。世界35カ国から48人のサイバー犯罪捜査やデジタルフォレンジックの専門家が参加して、8件のランサムグループサイトと17件の違法サイトの特定に成功した。日本のサイバーセキュリティのレベル向上にも、こうした世界的な連携を強化することが必要で、民間との協力もさらに進めていくべきだろう。