Langley のサイバーノーガード日記 サイバー私立探偵の必要性について −アリコ事件から推測すること | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

Langley のサイバーノーガード日記 サイバー私立探偵の必要性について −アリコ事件から推測すること

特集 特集

 最近、筆者は表にでない解決を提供する商売のニーズが高まっているような気がしてならない。これだけじゃわけがわからないですね。そうですね。

 日本には、「事を荒立てない」「穏便に済ませる」という風習があり、それはビジネスにも根付いている。会社内で横領や横流しがあっても、警察に届けず、本人を懲戒免職にするような習慣である。

 筆者は、このような習慣はもう廃れていると思っていたのだが、そうでもないらしい。主には三つの要因によって、この習慣は維持されているようである。

 一つ目の要因はもちろん昔からの理由。外部に知られたらみっともない、会社の恥、信用を失う、等々の理由がある。最近では、PマークやらISOやらを取り消されてしまう、といったこともあるかもしれない。

 二つ目の要因は、自分で調べなきゃいけないという事情である。筆者は寡聞にして知らなかったのだが、個人情報を盗まれた場合、警察に捜査を依頼できないんだか、してもやってくれないんだか、らしい。「らしい」というのは、アリコの事件を見てて感じたことだ。

2009年07月24日 顧客のクレジットカード情報が外部に流出(アリコジャパン)
https://www.netsecurity.ne.jp/1_13693.html
2009年09月17日 流出したクレジットカード情報を特定(アリコジャパン)
https://www.netsecurity.ne.jp/1_14005.html

 一連の報道を見ていると調べているのはアリコ自身で、全部調べて犯人がわかってから刑事告訴するということらしい。社内で刑事まがいのことをしなけりゃいけないらしい。これは大変だろうなあ、と思っていたら、案の定、なかなか進まない。警察と違って別件逮捕して、取調室で自白を強要することなどできないから、当たり前だろう。きわめて紳士的に、システム部や総務部が素人探偵をやっているのだろうと思う。警察のような強制力がない以上、「本当のことを言ってくれたら、あなたに関しては穏便に済ませますよ」という交渉も必要になってくるであろう。司法取引みたいなものである。会社としては、犯人を見つけることよりも、真相を解明し再発を防ぐ方が重要に決まっている以上、本当にヤバイ犯人以外は表に出てこないことになる。

 三つ目の要因。おそらくこれがもっとも大きな要因だと思う。それは、メリットがないのである。真犯人を捕まえて、警察につきだし、世間に公表しても、おそらくなんのメリットもない。真相解明と再発防止さえできれば、それ以上、なんでやる必要があるのだろう? いや、本当は秩序ある社会と社会正義を維持するためには必要なんだけどね。だって、その犯人は、味をしめて他でもやるかもしれないでしょ。放置したら犯罪者が得する社会になってしまう。というわけで、企業は「事を荒立てない」「穏便に済ませる」方向に行く。しかし、今のようにシステム部や総務部がやってりゃいいかというとそう言うわけでもない。

 そもそも、サイバーセキュリティの場合、まず捜査が技術的に社内の手に余ることが少なくない。そこでLACとか、サイバーディフェンス研究所のようなプロが外部から招聘されて捜査に当たるわけだが、技術的には外部の力でなんとかなっても、それだけでは終わらない場合がある。というか、筆者のカンではかなり多い。そもそも事件なんか起こるくらいだから管理に隙がある。犯人を特定するための記録や証拠が充分には集まらないケースが想定される。アリコのケースでも決め手になる証拠がなくて困っているらしい。

 目撃情報なんかを集めるのも難航するだろう。サイバーセキュリティの技術は、こうしたことはカバーしてくれない。サイバーセキュリティ上の記録や証拠がない分をカバーするには、周辺捜査などを組み合わせるしかないのではないかと思う。例えば、個人的な借金の有無と金額、生活の変化、人間関係(裏社会やクスリ関係とのつきあいとか)といったことを調べて、あやしい人物を絞り込むのである。古式ゆかしい私立探偵的なアプローチである。

 サイバーセキュリティの技術を持ち、さらに古式ゆかしい私立探偵的な能力を併せ持った人が必要とされているのではないだろうか。ついでに言うと、容疑者と対峙した時に、自白まで持ってゆく話術と胆力(場合によっては本職の裏社会の人と会うこともある)も必要だろう。

 そして、最後に再犯させないような重しをつけるわけである。重しには、公正証書をとるとかいくつかの方法がある。

 もしかしたら、すでにこういう探偵さんがいるんじゃないかと思って調べてみたが、まだいないようだ。調べて出てくるのは、主として技術面をカバーするところばかりである。

 もっとも重要なポイントはどこになるだろうか。筆者は技術的な面は、おおよそのところを理解していれば、そんなに重要な要素ではないと思う。というか、そこを重要なポイントにすると、今ある普通のサイバーセキュリティの会社と同じになってしまう。

 まず重要なのは、対人交渉能力。ようするに、ヤクザや犯罪者と渡り合う胆力と交渉力じゃないかと思う。

 それから、実践的な法律知識。公正証書を作って、いつでも犯人の財産を差し押さえられるようにするような知識である。

 あとお金関係の実戦的な知識。財務諸表から元帳まで金の流れをチェックできるスキルは必要である。個人の借金を調べ上げるようなスキルもここに含めて良いかもしれない。

 という条件で考えてみると、該当する人物はかなり少ない。筆者は、サイバーセキュリティ業界で、20人くらいプロと称して仕事している知人がいるが、この条件に該当するのは2名しかいない。一人は、警察とリアルな犯罪調査を一緒にやったことがあり、もう一人はとある企業で横領犯人をリアルに追いかけて紙を巻いたり、問題のある契約書を取り上げたり、いわばセミプロである。

 人数が少ないということはビジネスチャンスだ。これからの有望業種として、参入しないものだろうか。

 ちなみに、「紙を巻く」というのは、金融関係の隠語で公正証書を作るという意味である。サイバーセキュリティの専門家で、この隠語を知っている人は少ない。

 余談であるが、日本には私立探偵の公的資格がない。アメリカなどいくつかの先進国には公的資格がある。海外の私立探偵の資格を有しているサイバーセキュリティの専門家は、日本にも何人かいるようだが、どうやら下記のような課題があるらしい。

・情報アクセスの違い
 例えばアメリカだと私立探偵は、一般個人ではできない、ソーシャルセキュリティーナンバー、個人クレジットヒストリーなどにアクセスできる。日本ではそうではないので、ゼロから自分で個人の履歴を捜査する方法を構築しなければならない。

・例えば、アメリカでは、合格率が高いので能力が伴わないことも少なくない

・尾行や面接などで必要とされる能力が国によってかなり異なる

 なので、海外の私立探偵の資格を持っていたとしても、あまり利点はないかもしれない。

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×