この一ヶ月あまり、「国税庁」を装い、未納税金支払いの名目で個人情報をだまし取ろうとする偽メールや SMS(ショートメッセージ)が大量に送信され、盛んに注意が呼びかけられている。もしかするとこの記事を読んでいる人の中にも、実際にこのメッセージを受け取ったり、受け取って不安になっている人の相談に乗った人もいるのではないだろうか。
今や仕事でも日常生活においても、メールや SMS、LINE などのコミュニケーションツールは不可欠な存在になっている。だからこそサイバー攻撃者はそこに目を付け、巧妙なフィッシングメールやマルウェア付きメールを送って受信者をだまし、個人情報を盗み取ったり、次の攻撃に悪用しようとし、国税庁に限らず、他にもさまざまな組織・企業をかたったフィッシングメールが飛び交っている。
長年にわたってこうした脅威に対峙し、対策を試みてきたにもかかわらず、なかなか被害はなくならない。それどころか、かえって増加しているような状況だ。そんな脅威に負けることなく安心・安全なインターネット環境を実現するには、技術はもちろん、啓蒙・啓発や制度などさまざまな側面からの取り組みと、何よりコミュニティとしての連携が必要だ。
そんな問題意識に立って、メッセージングセキュリティの業界団体である JPAAWG(Japan Anti-Abuse Working Group、ジェーピーアーグ)ではさまざまな活動を展開するとともに、定期的にカンファレンス「General Meeting」を開催してきた。そして 2022 年 11 月 7 日と 8 日に「JPAAWG 5th General Meeting」が、出島メッセ長崎とオンラインでのハイブリッド形式で開催される。その背景と狙いを、JPAAWG会長の櫻庭 秀次 氏(IIJ)のほか、TwoFive の末政 延浩 氏、クオリティアの平野 善隆 氏、Vade Japan の関根 章弘 氏に尋ねた。
ちなみに、JPAAWG とは、メッセージングセキュリティに関して、オペレーター、ベンダー、識者などが集まり、課題や対策を議論し、業界標準を策定する国際組織 M3AAWG(マアグ)と連携して活動する日本のワーキンググループ。その設立趣旨などの詳細は以下の記事もご参照いただきたい。
●複数の要因を背景に、増加の一途をたどるフィッシングメール
今、インターネットやメールを巡る「治安」は、残念ながら良いとは言えない。「すでにニュースになっているとおり、2022 年 2 月ごろから日本国内でもフィッシングメールが顕著に増加しています。また誘導の方法として、eメールだけでなくショートメッセージや LINE など、そのほかの通信手段に広がっていると感じます」(関根氏)
平野氏も「最近のフィッシングメールは本当に巧妙です。自分はいろいろなフィッシングメールを目にし、見破る自信があるつもりですが、それでも引っかかりそうになったことが何回もあります」と述べた。
一例としてフィッシング対策協議会がまとめている報告件数からも、増加傾向は明らかだ。報告ベースであるため必ずしも実態に即しているとは限らないが、誘導先のドメインや URL件数が増えていることからも、全体として拡大を続けていることは想像に難くない。また海外に目を転じると、米FBI が BEC(ビジネスメール詐欺)の被害が過去最悪になっているとするレポートを公表している。
「フィッシングメールの内容はますますこなれ、一見して本物と見分けが付かないようなメールが盛んに送られるようになってきました。かつては日本には言語の壁があったため、海外で主流だった手法がやってくるまでに時差があったのですが、日本語を理解するプレイヤーが増え、グローバルとの差がなくなっている危険性を感じます」(櫻庭氏)
フィッシングメール増加の背景の一つとして、AI/ML技術の進歩に伴う機械翻訳の精度向上が挙げられるだろう。「技術の進歩によって攻撃者がメリットを受けている可能性はあると思います」(関根氏)
また、新型コロナウイルスを機にリモートワークが広がったことで、メールや SMS を攻撃手段として使うことの優位性が高まったという要因もありそうだ。「以前は不審なメールを受け取ったら、隣の人に『こんな変なメールが来たんだけど』と気軽に聞けましたが、リモート主体になるとそうした環境がなくなるのも影響しているかもしれません」(櫻庭氏)
加えて、デジタルトランスフォーメーション(DX)によって、それまで窓口や店舗で行っていたさまざまな手続きのオンライン化が進んだ。こうしたさまざまな要因が絡み合って、「犯罪の起こる場所が、現実世界からだんだんネットの上に広がってきているように思います」と末政氏は指摘した。
●スピーカーからの一方向ではなく、議論を通してよりよい対策を
これまで何年も、何十年も多くの人がインターネット上のセキュリティ対策に取り組んできたにもかかわらず、残念ながら状況は芳しくない。そんな中でも、状況を改善するためにできることは何だろうか——それを、ネットワークを支える通信事業者やサービスプロバイダー、それらを利用する企業の IT担当者やセキュリティ担当者、さらにはメールをビジネスツールとして扱っているマーケティング担当者など、幅広い立場のステークホルダーが集まり、議論するための場が、JPAAWGのGeneral Meeting だ。
「JPAAWG General Meeting は、スピーカーが一方的に話すのではなく、来場者とコミュニケーションし、議論していく場だと考えています。情報を共有し、互いに成長していくための場だと捉えています」(櫻庭氏)
2018 年の第 1 回開催以来そのコンセプトを貫いてきたが、直近の 2 回は、新型コロナウイルスの影響でオンライン開催となった。場所を問わずどこからでも参加できるという利点があった一方で、若干もどかしい部分もあったという。
「オンライン会議ツールも改善されてはいますが、どうしてもリモートだと、挙手ボタンを出してもらい、司会から指名するという手順が必要で、敷居がちょっと高くなっているのかなと感じます」(櫻庭氏)。全員がディスカッションに参加していく趣旨のオープンラウンドテーブルも同様で、参加者の様子をうかがいながら話を振ることが難しく、話し手が限定されるきらいがあった。
それに対して今回は、出島メッセ長崎というリアルの会場と組み合わせたハイブリッド開催となる。久しぶりに顔を合わせ、直接議論できる場を設けることで、「今の標準技術やシステムは適切なのか」「隣の会社はどんな対策に取り組んでいるのか」「どこまでやれば十分なのだろうか」といった事柄を率直に話し合い、共有する場を提供する。しかも、それぞれの分野のエキスパートも集まっていることから、ベンダーからの一方的な情報発信ではなく、公平に情報を得て、判断できることが特徴だ。
さらに櫻庭氏は「セキュリティの分野ではどうしても、何か起きたり、攻撃を受けた後にどうするかという後手の話が多く、インターネット上のアプリケーションシステムをどうしていくべきかを検討し、攻撃を予防していくための議論の場はあまりありません。JPAAWG はそこにフォーカスし、興味のある人に集まって議論をしていきたいと思っています」と述べ、フィッシングメールが猛威を振る今だからこそ積極的に集まり、意見交換してほしいと呼びかけた。
●JPAAWG 5th General Meetingは、20以上のセッションで構成される。
プログラム詳細はこちら。
●JPAAWGは、電気通信事業者やセキュリティ関連事業者、関連する団体など、活動主旨に賛同する新しいメンバーの参加を歓迎する。詳細はこちら。
