Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It
作者: Marc Goodman
発売日: 2015/02/24

たとえば家に空き巣に入られるのと、アップル/グーグル/アマゾン/フェイスブック/ツイッターのアカウントを全て乗っ取られるのはどちらが嫌だろうか。

サンフランシスコ在住のマット・ホーナンは、後者に近い事態を経験した。

Wired誌のレポーターを担当している彼がある日娘と遊んでいると、iPhoneの電源が突然消えた。電池切れと思って充電ケーブルをつなぐと、新規のセットアップを求めるメッセージが表示された。故障だろうか。でもバックアップがあるから大丈夫。iCloudにログインしようとすると、変えていないはずのパスワードが拒否される。困った彼がローカルバックアップからの復元を試みようとMacBookを起ち上げると、カレンダーアプリが「Gmailのパスワードが違う」と通知してきた。そしてすぐにMacbookは再起動して、設定していないはずのログインパスワードの入力を求める画面に切り替わった・・

結局、ホーナンがiCloud/iPhone/Macbook上に保存していた家族との思い出の写真は全て消去されていた。Gmailに蓄積されたメールとGoogleアカウントに紐づくファイルも同様だった。そして、彼のツイッターアカウントから数千のフォロワーに向けて、人種差別・同性愛者差別の暴言がツイートされた。全て、見知らぬ十代のハッカー*1による操作だった。

片手で足りるような数の企業/サービスに、いかに我々が貴重な情報の大部分を預けているか。ホーナンのエピソードはそれを示している。しかし、本書“Future Crimes"の主題は、こうした「現在の」セキュリティ上の脅威に関する警告ではない。「未来の」サイバー犯罪はこんなもんじゃないよ。というのが本書の主旨である。

著者のマーク・グッドマンは、警察など行政機関でテロ対策などを担当してきた情報セキュリティの専門家で、本書が初の著書にあたる。目次は以下の通り。

Contents（目次）

 

PART ONE: A GATHERING STORM（立ち込める嵐）

1. CONNECTED,DEPENDENT,AND VULNERABLE（つながり、依存、脆弱性）

2. SYSTEM CRASH（システムクラッシュ）

3. MOORE’S OUTLAWS（ムーアの「非」法則）

4. YOU’RE NOT THE CUSTOMER, YOU’RE THE PRODUCT（あなたは顧客ではなく製品です）

5. THE SURVEILLANCE ECONOMY（監視経済）

6. BIG DATA, BIG RISK（ビッグデータ、ビッグリスク）

7. I.T. PHONES HOME（I.T. フォン・ホーム）

8. IN SCREEN WE TRUST（スクリーンの御魂のもとに）

9. MO’ SCREENS, MO’ PROBLEMS（スクリーンが多いほど問題も多い）*2

 

PART TWO: THE FUTURE OF CRIME（犯罪の未来）

10. CRIME, INC.（犯罪法人）

11. INSIDE THE DIGITAL UNDERGROUND（デジタル・アンダーグラウンドの内部）

12. WHEN ALL THINGS ARE HACKABLE（全てがハッキング可能になるとき）

13. HACKING YOU（ハッキング・ユー）

14. RISE OF THE MACHINES: WHEN CYBER CRIME GOES 3-D（機械の隆盛：サイバー犯罪が3-Dになるとき）

15. NEXT-GENERATION SECURITY THREATS（次世代のセキュリティ脅威）

 

PART THREE: SURVIVING PROGRESS（生き残るための前進）

16. SURVIVING PROGRESS（生き残るための前進）

17. THE WAY FORWARD（進むべき道）

The Dark Side of Creativity and Innovation

 IoT（モノのインターネット）の本格化、人工知能とロボット技術の発展、3-Dプリンタの普及。こうした技術トレンドは労働や生活のあり方を変えると考えられている。けれど、当たり前の話だが新しい技術には悪用され得るというダークサイドが常につきまとう。著者によれば、組織化された犯罪集団は新しい技術のアーリー・アダプターである。

乱暴に言ってしまうと本書は、それらの新興技術について、「こんな◯◯は嫌だ」と大喜利の定番ネタのように事例を紹介していく本だ。こんなIoTは嫌だ、センサーがマルウェアに感染して誤作動する。こんな人工知能は嫌だ、推論能力で人間を凌駕して人間に危害を加える。こんな3-Dプリンタ技術は嫌だ、データを転送してプリントするだけで銃器を作れるようになり空港などでの武器流入コントロールが無効化する。などなど。大喜利と違って、ネタではなく研究が既に進んでいる現実だけど。

そして、ハードカバー版で400頁以上の本であり扱われている事例は多岐に渡るが、現在の犯罪と未来の犯罪との違いをもたらす主な要素を勝手にまとめると、以下の3点になるかもしれない。

1. ネットワークに接続されるデバイス数の大幅な増加

• シスコ社の試算によれば、インターネットに接続されているデバイスの数は2013年時点で130億程度であるが、2020年までに500億台まで増加すると予想される。自動車や住宅に始まって、橋、街灯、医療機器、ペット、家畜などなど。本書によれば、それらが"hackable"でない保証はない。

2. ハッキングの「3-D化」

• 1.とも関連するが、「サイバー犯罪」というのがネット上の二次元のデータ操作だけに閉じたものではなくなる。ハッキングで動かせるものが3-D化する。

3. スクリーンに見えているものと実際に動いているアルゴリズムの乖離

• 株式の高速自動取引（HFT）を扱ったマイケル・ルイスのノンフィクション「フラッシュ・ボーイズ」では、スクリーン上で人間が確認している取引の内容と、自動アルゴリズムによって実際に成立している取引との乖離が描かれている。スクリーンに映っている内容を信じるしかないという脆弱性を、本書では"In God We Trust"（神の御魂のもとに）ならぬ"In Scree We Trust"（スクリーンの御魂のもとに）と表現している。これはスパイウェアなどで現在にも当てはまる特徴であるが、スクリーン数の増加とアルゴリズムの複雑化によって問題がより大きくなり得る。

ちなみに、上の3.に挙げた、スクリーンに見えているものと実際の動作の差異について、本書を読んで驚いた例がある。

ルートキットと呼ばれるタイプのソフトウェアの一部は、スマホにインストールされると、電話の接続先をコントロールしてしまう。モニターに表示されている電話番号と、実際の架電先を別の番号にできるのだ。ある犯罪組織はこのソフトウェアを使用して、金融機関のコールセンターとしてspoofing（なりすまし）を行った。仕組みはこうだ。あらかじめ金融機関のコールセンターの番号を何十件もルートキットに設定しておく。電話の持ち主がタップした番号がもし該当する場合、電話の接続先を変更して自分たちが電話を受ける。本人確認と称して口座情報や個人情報を聞き出したら、「システムがダウンしたのでかけ直す」とか適当な理由を付けて電話を切る（以下略）。

これ、コールセンターを遠い海外に置いて大した教育もしないアメリカだからこそできる手口なんじゃないかと思った・・

Good Cyber Hygiene

さて最後に、こうした未来の犯罪に対して、いったいどのような対策がとられるべきなのだろうか。

本書は巻末付録で「パスワードをどの程度の頻度で変えるべきか」といった具体的な助言もしている。ただ、それよりも個人的に面白かったのは、サイバー犯罪への対処については公衆衛生の考え方にもっと学ぶべきとする提言だ。

外から帰ったらうがい手洗いをしなさい、くしゃみが出て風邪っぽかったら温かくしなさい。親は子どもにそうしたことを言い聞かせる。大学や病院には、避妊についての看板があったりする。しかし、「知らない人からもらったUSBをつないじゃダメよ」という忠告をするパパママはいるだろうか。

本書で紹介されているオーストラリア政府機関の調査によれば、アプリケーション更新を自動にしたり、メール/Webブラウズ時は管理者権限ユーザではなくベーシックユーザを使うといった簡単な設定を幾つかするだけで、標的型の侵入の大部分は防御できるそうだ。物理世界の病気予防と同じように、コンピュータのセキュリティも日常の小さな習慣が重要かもしれない。

さらに、個人レベルだけでなく、サイバースペース版のWHOのような機関を置くべきと本書は言う。教育（公衆への啓蒙など）、監視（大規模な感染が発生していないかの監視）、免疫化（ワクチン配布など）、インシデント対応（問題発生時の専門家派遣や国際協調など）、公衆衛生のこうした対応枠組みはインターネットのセキュリティにも援用できるからだ。

実際、IT技術が高度化して「便利だけど何がどう動いているかはほとんど誰も知らない」という状態になるほど、一般の人にとってセキュリティの問題は人災というよりも病気の流行や自然災害に近い感覚になるのではないだろうか。そこでは、「悪意を持った犯罪者に警察が対峙する」よりも「健康上のリスクに社会全体で対処する」という公衆衛生のイメージが合うのかもしれない。

「風呂入れよ」「頭洗えよ」「風邪ひくなよ」、そんな掛け声に混じって「パッチ適用自動化しろよ」だの「通信は暗号化しろよ」とか言ったりする未来が来る。のかもしれない。いいか悪いかわからないけれど。。

Marc Goodman著“Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It”は2015年の2月にUSで出版され、ニューヨークタイムズやウォールストリートジャーナルのベストセラーに名前を連ねた一冊。日本語版の出版予定は不明。

＊追記：邦訳出てました！

フューチャー・クライム――サイバー犯罪からの完全防衛マニュアル

• 作者: マーク・グッドマン,松浦俊輔
• 出版社/メーカー: 青土社
• 発売日: 2016/02/08
• メディア: 単行本
• この商品を含むブログを見る

 

＊追記：「基本読書」さんでも紹介されていました！このブログよりわかりやすい笑