ネット犯罪対策運用サミット CeCOS II Tokyo 特集 APWG 事務総長 Peter Cassidy氏インタビュー | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

ネット犯罪対策運用サミット CeCOS II Tokyo 特集 APWG 事務総長 Peter Cassidy氏インタビュー

特集 特集

フィッシング詐欺などのインターネット犯罪対策の米団体 Anti PhishingWorking Group(APWG)が5月26日、27日、東京でネット犯罪対策運用サミット「CeCOS II Tokyo(Counter-eCrime Operations Summit II Tokyo)」を開催する。アジアで初の開催となる「CeCOS II 東京」実施にあたっては、経済産業省の設立したフィッシング対策協議会がバックアップする。

そこでSCAN編集部は、APWG 事務総長であるPeter Cassidy氏にメールでインタビューを行った。

(1)あなたはどういう名前で、どういう組織で、どういう仕事・研究をしていますか?

Peter Cassidyです。APWGの事務総長をしています。APWGはCeCOSの主催をしています。

CeCOS II は、APWGが主催する電子犯罪対策のための年次サミットです。電子犯罪から企業や消費者を保護するための知見や貴重な経験を持つ専門家と、電子犯罪捜査の責任者の双方を一同に集めることに注力しています。

一方で、この包括的なカンファレンスは今まで、特定の専門家にとっての顔合わせ、意見交換、特殊な情報のシェアを行うための場となっていて、電子犯罪の課題に対して十分な時間を割いていませんでした。

そういうわけで、この会議の目的は、明確に運用や実務に焦点を絞り、全世界で運用に関わる人や犯罪科学捜査に関わる人の間で有用なアイディアを相互交換する、ということを目指しています。

CeCOSは今後アメリカでは開催せず、世界各地で開催するよう、APWGでは計画しています。電子犯罪を食い止めるには運用上の実践がいかに重要か、という見識を持つ数多くの専門家を一同に集めるためです。

今回開催地に東京を選んだのは、日本の企業会員がいたことと、2005年から経済産業省や他省庁とやりとりをしてきたことがその理由です。中でも重要な理由は、何か事件が起きてから動くということではなく、日本の政府や産業界が前向きかつ積極的に電子犯罪の脅威に立ち向かう取り組みをしていたことが挙げられます。

また、APJのメンバーが持つ専門性もさることながら、カンファレンスの運営をサポートしようとするAPJの意欲も大きな要因になりました。

(2)あなたがその仕事・研究を進める上での、いま一番の課題はなんですか?

APWGは、産業界と法執行機関の団体で、フィッシング、ファーミング、メールスプーフィング、その他消費者や企業への直接攻撃により引き起こされる詐欺行為や個人情報の盗難(なりすまし)を撲滅することに注力しています。金融、オンライン小売、ISP、法執行機関、セキュリティソリューションプロバイダ、リサーチ会社などから専門家が集い、専門知識や経験談、データの交換をしています。また時には、そういったナレッジから特殊な要素を取り除いて産業政策のコンセプトをまとめたりすることも行っています。

われわれAPWGは、公的機関のパートナとして日本フィッシング対策協議会と何年も一緒にやっています。このパートナーシップのきっかけは、APWGに参加している日本の会員企業が私たちを紹介してくれたことから始まっているんですよ。

日本フィッシング対策協議会は、日本の産業政策において、関係機関すべてをとりまとめていて、重要なポジションを占めていますね。

(3)CeCOS II Tokyoであなたが行う講演は、誰に聞いて欲しいどういう内容の講演ですか?

フィッシングの標的は、いまや家計、預金口座、クレジットカードという範囲を越えて、年金(退職金)口座や大企業の口座にまで拡大しています。フィッシャー(フィッシング詐欺師)と電子犯罪集団は、こうした大きな口座にアクセスするために、ますます野心的になり、より多くの侵入技術やソーシャル・エンジニアリング技術を使うようになっているんです。

ついには、大企業の株価やデリバティブを操作するため、証券口座の支配を強めています。これは株式市場にとって危険なことです。電子犯罪集団が操作している株式市場を持つ国全体が危険だということなんです。

簡単な解決法や答えなんてありません。つまるところは、認証技術やトランザクションレベルの不正検出システムと結合したデスクトップ上の技術や、犯罪行為からwebを遠ざけておくための産業政策の変更などがすべて、オンライン犯罪を対処可能な範囲まで抑制することに貢献していくものだからです。

(4)ここ半年の間に実際に起こった犯罪事例で最も強く印象に残っている事件は何ですか? また、何故最も強い印象に残っているのですか?

2007年に、証券口座がフィッシングによりのっとられ、大企業の株とデリバティブを操作するという二つの事件が起こりました。一つはGoogleのプットオプション(金融派生商品のひとつ)で、もう一件はサン・マイクロシステムズでした。ほんの数日の取引だったにもかかわらず、このケースでの損害は80万ドル以上に上ります。株式市場は産業で生み出された国の財産を反映するところですから、大変憂慮すべき事件です。

では、いったい誰がこの手の損害を受けなくてすむのか?とは、リアルな質問です。加えて、もし電子犯罪集団が非標準型デリバティブの価格操作を行ったら、こういった計測は非常に難しいものなのですが、多大なる損害を引き起こすでしょうね。

(5)国際的に見た場合、日本ネット犯罪やその対策に特殊性はあるでしょうか?

日本では、携帯を使ってバンキングしますよね。これは少し状況を変えますね。携帯が第二の認証として利用されうることを示していますが、同時にSMSフィッシングやボイスベースフィッシングの通信チャネルとなりうることも示しているんです。

(6)日本の企業、団体あるいはハッカーグループで注目しているところはありますか? 具体的に教えて下さい

多くの会員企業のリサーチャーが、いわゆる"Rock Phish" と呼ばれている犯罪集団の分析に多くの時間を割いています。ある人は"Rock Phish"をフィッシング・キット(フィッシングを行うための道具)だといい、他にはそのキットの開発者のことだと定義している人もいます。

APWG会員の多くの研究者は、"Rock Phish"のことを、有効なフィッシングプログラムやソフトウェアツールで協力するハッカー集団だと定義づけています。ある推定によれば、おそらく全フィッシングの半分くらいまで関与したのではないかと見積もられています。

"Rock Phish"のスタイルの攻撃は、以下のような共通点が見られます。フィッシングサイトが削除されないようにネット上のどこかに移動させるためDNSレコードを素早く書き換えること、攻撃を完全に押さえにくくするために、おそらく一度に数百の異なったURLを使うことなどです。最先端の犯罪手法の開発者として、APWGの多くのメンバーにとっては興味深いことですけどね。

(7)脆弱性情報は一般に公開した方がよいでしょうか? それとも関係者のみの間とか限られた範囲のみにとどめた方がよいでしょうか? 理由とともに聞かせて下さい。

日本は安全性を重視した文化で、反射的に未承諾メールのリンクをクリックしてしまったり、回答してしまうようなことはないと思います。こういう文化は、ソーシャル・エンジニアリング・スキーム、技術的なsubterfugeフィッシングをかわすことに役立つでしょうね。

こうなると、フィッシャー(フィッシング詐欺師)はもっと賢く、巧妙にならなければいけませんが、おそらく、フィッシャーたちが商売をはじめたり、続けさせることはできないでしょう。

(9)消費者・企業・警察司法・政府・機関団体、などに対して期待することはありますか?

(10)ネット利用者の安全を高め、ネット犯罪を減らす為にいま一番必要なことは何だと思いますか?

基本的な注意こそがとても役に立ちます。何か悪いこと(あるいは良いこと)が起きたと、切羽詰まった口調で伝えてきて、今すぐに個人情報を連絡して下さいという場合には、立ち止まって考えてみて下さい。もし何か怪しいなと思ったら、いつも普通にやっている方法で自分の口座にアクセスしてみて下さい。それでもまだおかしいと思ったとき、電話して下さい。

重要なのは、自分に身に覚えがない連絡等によって、日常的な習慣を変えられることはないということなんです。

本物のソーシャル・エンジニアリング攻撃では、すべてのフィッシャー(フィッシング詐欺師)が、どうにかしてあなたの日常的な習慣を変えようとします。

産業レベルでは、金融機関がすでに不正(詐欺)検出システムを強化し、今後も増強していくことでしょう。また、新しい種類の電子犯罪を記録するためにも改良されていくでしょう。(そのシステムの一部では、デスクトップ上で利用される新しい強固なプロトコルと技術が採用されていますが)同時に、レジストリとレジストラは、電子犯罪者たちによるwebを使った犯罪を活性化させないようそれぞれ定めたポリシーをチェックしています。それぞれのレベルで違った種類のセキュリティが強化され、全体としてこれらを併用していくことが、インターネットをより安全なものにしていくでしょう。一つの組織だけでインターネットを安全にできるわけではありません。だからこそ、APWGがすべての産業部門を一同に集め、協調性を持って全体をコーディネートし、優先順位をつけられるようにしているのです。

【執筆:編集部】

【関連リンク】
CeCOS II 東京 公式サイト
http://www.antiphishing.org/events/2008_operationsSummit_jp.html
参加登録申込
http://shop.ns-research.jp/3/8/11208.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×