情報を完全に守りきることはできない。それは現実と同じだ。現実と異なるのが、「攻撃者」が圧倒的に優位で、野放しになっている点だ。「被害者」は批判を恐れ、事実を伏せる。それが新たな攻撃を呼ぶ──。
西本逸郎●ラック取締役兼最高技術責任者。日本ネットワークセキュリティ協会理事。

ソニー、三菱重工、衆参両院、在外公館……。この1年だけでも、企業から政府機関に至るまで、あらゆる組織がサイバー犯罪の被害にあった。しかしこれらは氷山の一角にすぎない。衆議院事務局の不正アクセス事件でも調査を行ったラックの西本逸郎最高技術責任者は、「これまでに調査した企業のうち、約半数は不正侵入者が内部を牛耳っていたようだった」と話す。

「クレジットカード情報の流出事件で企業の内部を調査すると、カード情報を盗み取る前に、すでに別の人間が不正侵入していたことがわかります。それが約半数。カード情報を盗めば、痕跡が残る。しかしそれ以前の侵入には痕跡が残されていない。目的ははっきりしませんが、企業内を監視する『スパイ行為』を行っていた疑いが強い」

これまでサイバー犯罪は、自己顕示や金儲けが目的だった。目的が明確であれば対処もしやすい。しかしその陰で目的不明のハッカーが暗躍している。

そもそもハッカーとはコンピュータの仕組みや構造に熟知した人間のことを指す。その豊富な知識を利用してパソコンなどに不正侵入することを「ハッキング(またはクラッキング)」と呼ぶ。ハッキングではコンピュータの「脆弱性(セキュリティの穴)」が狙われる。そのときの道具が「ウイルス」や「マルウエア」と呼ばれる悪意のあるプログラムである。

世界ではじめてのウイルスは、1986年にパキスタンのプログラマーが作った「ブレイン」だといわれる。これはフロッピーディスクを介して感染するウイルスで、不正コピーの警告が目的だった。以後、さまざまな種類のウイルスが出回るが、いずれも作成の動機は自己顕示や好奇心、怨恨であり、「感染させること」が目的だった。

こうした状況は2004年ごろの「ボットネット」の出現で一変する。ボットネットとはウイルスに感染した大量のパソコンを遠隔操作するシステムだ。ハッカーたちはメールの添付ファイルなどを通じてウイルスを感染させ、数百万台ものパソコンを「ボット」に仕立てる。そうしたパソコンを使って、アクセスを集中させて標的のサービスを妨害する「DDoS(ディードス)攻撃」や、大量の迷惑メールを転送する「スパム送信」などを行う。