ここから本文です

続発するハッキング事件が暗示する本当の「脅威」とは

ITmedia ビジネスオンライン 9/29(木) 7:27配信

 現在、世界的にハッキング事件が頻発している。

 9月13日、世界反ドーピング機関(WADA)が、ロシアのハッカー集団によるハッキング被害に遭い、五輪選手などの医学的情報が盗まれた。日本の柔道女子57キロ級の松本薫選手をはじめ、テニスの米国人ウィリアムズ姉妹やスペイン人ラファエル・ナダルなどの情報もインターネット上に公表された。

【盗まれた情報は……】

 さらに9月21日には、タックスヘイブン(租税回避地)として知られるカリブ海のバハマで設立された17万5000社ほどの企業情報ファイル130万点が何者かによってリークされたことが判明。その「バハマリークス」と呼ばれるファイルの中身が報じられて話題になった。ハッキングの可能性も指摘されており、ハッキングでタックスヘイブン関連の書類が盗まれて暴露された「パナマ文書」に次ぐスキャンダルになりそうだと、日本でも報じられた。

 9月22日には、米インターネット大手ヤフーが2014年に国家的なサイバー攻撃に遭い、少なくとも5億人分の顧客情報がハッキングで盗まれたと発表している。

 これら以外にも、8月半ばには、米NSA(国家安全保障局)の「サイバー兵器(ツール)」がNSAの関連組織からミスで盗まれているし、米大統領選でもロシアのハッカーが米民主党を襲い、幹部らのやり取りを含む電子メールを盗んでいる。

 とにかく枚挙に暇がない。

 以前、この連載でも、国家などが主導するハッキングというサイバー攻撃(WADAや米民主党のケースはロシア政府の関与が指摘されている)によって、他国の政治家などの情報を盗んで暴露することで、内政を操作することもできてしまう危険性があると指摘した。

 だがハッキングがますます横行する今、それとはまた別の懸念が、欧米のサイバーセキュリティ専門家らの間でいくつか取りざたされている。

●民間企業から「盗まれた」もの

 まず「バハマリークス」だが、このケースはともすればデータ搾取行為やハッキング犯罪を正当化しかねないものである。少し詳しく見てみたい。

 「バハマリークス」の130万におよぶファイルは、もともとドイツの南ドイツ新聞が入手したものだ。それが国際調査報道ジャーナリスト連合(ICIJ)に提供され、ICIJと連携している世界各国のメディア関係者が協力して内容を暴露している。2016年4月に公表された「パナマ文書」と同じパターンである。

 「パナマ文書」は当時、どう流出したのか。パナマの法律事務所「モサック・フォンセカ」が、何者かによるハッキング被害に遭って大量のデータが盗まれた。タックスヘイブンでペーパーカンパニーの設立などに協力をしていた同事務所は、「ハッキングは欧州から行われたという証拠を持っている」と主張している。

 ここではっきりしたいのは、情報が「流出」したのではなく、ハッキングという犯罪行為によって民間企業から「盗まれた」ものだということだ。言うまでもないが、何者かが意図的に他人のPCやネットワークに入り、情報を獲得する行為は犯罪である。他人の家に侵入して物を盗むコソ泥と同じである。

 今回の「バハマリークス」では、ICIJは情報の入手経路について、詳しく述べていない。だがおそらく、今分かっているデータの入手経路から見て、「パナマ文書」と同じような形で「盗まれた」情報ではないだろうかと考えられ、

事実、知人の米サイバーセキュリティ関係者もハッキングを指摘していた。そうでなかったとしても、誰かが盗み出したのは確かである。つまり、犯罪行為で盗まれた情報の可能性が指摘されている。

 そもそも今回の「バハマリークス」は、情報を公表する大義がよく分からない。盗まれた情報だったとしたら、なおさらである。

●公表する価値がある情報なのか

 ICIJは今回のリークによって、バハマで設立されている企業のデータをまとめたタックスヘイブン検索サイトを立ち上げている。実は、この企業データはバハマに行けば合法的に見ることができるという。にもかかわらず、ICIJは「(バハマで)企業の登録情報を検索するのに少なくとも10ドルかかる。これは検索料金を徴収しないよう促している国際的な企業の登録協会の勧告に矛盾する」ために、ICIJのサイト内で情報を勝手に公表すると主張している。

 検索に料金が……という理由は説得力がないし、そんなことはジャーナリスト団体がするべきことなのだろうか。ICIJはジャーナリスト組織と自称する活動団体だということなのか。さらにいうと、130万点におよぶ企業情報のリークによって、バハマ政府は最大で1300万ドルほどの損害を受ける可能性がある。

 それはともかくとして、その検索サイトにアクセスするとこんな言い訳がましいメッセージが現れる。「私たちは、ICIJのタックスヘイブン・データベース(同連盟の立ち上げた企業検索サイトのこと)に含まれている人や会社、その他の組織が、法を犯していたり、または不適切な行動をしていると主張したり、ほのめかしたりする意図はない」。

 個人情報をインターネットで勝手に公表することで訴訟問題になりかねない、と考えるとこういう対処は不可欠なのかもしれないが、そこまでして公表する価値がある情報なのか。「パナマ文書」でも指摘された通り、タックスヘイブンにペーパー会社を作っても違法でない場合がほとんどで、必ずしも、よく言われる「税金逃れ」ともならない。「バハマリークス」のケースでは、EU(欧州連合)の元副委員長やコロンビアの元大臣が、企業の役員をしていたことが判明している程度であり、現在のところ、それ以上に価値のある情報はほとんどなさそうだ。

 ならば、リーク、または、盗まれた企業データを公表することに、「検索料金」がなくなる以外でどんな公益性があるのか。だいたい、ジャーナリズムが行う公益性のある報道なら、「言い訳がましいメッセージ」は必要ない。

 要するに、「パナマ文書」も「バハマペーパー」も、基本的にWADAや米民主党などのハッキング事件と大して変わらない。ウィキリークスや元米軍のチェルシー・マニング、元CIA職員のエドワード・スノーデンらが行ってきた「内部告発」とは性質が異なる。誰かが民間企業や行政組織(バハマの場合は法人登記部門)からサイバー攻撃などで情報を盗み、ジャーナリスト組織がもっともらしい理由をつけて公表しているだけに過ぎないと考えられるからだ。

 犯罪行為で盗まれた可能性が高い、公益性の低い情報を「ジャーナリズム」として公表するICIJの行為は、どこかの犯罪者がハッキングで情報を盗む行為を助長しかねないのである。

●ハッキングによる暴露で、こんな懸念も

 また今回の「バハマリークス」もそうだが、ハッキングによる暴露が横行するようになることで、こんな懸念も生まれる。

 国家や犯罪組織が背後にいるハッカーが、盗んだ情報を「改ざん」「捏造(ねつぞう)」しかねないという可能性である。彼らは、ハッキングにより盗み出した情報を、本物の内部文書としてメディアなどにリークし、その文書の中に偽情報や改ざんした情報を、さも本物であるかのように見せて入れ込むこともできる。そうすれば、国や企業を揺るがすような情報操作を行えるし、当事者がどれだけ否定しても火消しは容易ではない。

 またそうした行為は、民間企業にとっても脅威となる。米ヤフーのサイバー攻撃事件でも、顧客情報が盗まれたこと自体が不安材料となり、現在進められている米通信大手ベライゾンによるヤフー買収が遅れる可能性が高くなっている。ベライゾンはヤフーを約50億ドルで買収することに合意していたが、今回のハッキングで再交渉が行われることになると報じられ、買収額が減るのは避けられないと見られている。

 ハッキング自体でそんな大打撃を受けるのに、不利な偽情報が事実にように出回るなんてことがあれば、その影響はさらに甚大である。

 現在のところ、ヤフーハッキングの犯人は「国家的なハッカー」というらしい。だが今後は、企業の買収交渉などを有利に運ぶためにハッキングが行われる可能性だって出てくるかもしれないし、企業価値をさらに下げるために本物に見せた偽情報をリーク情報に入れることも考えられる。また、ハッキングで企業の評判を落とすなどして、株価を操作しようとする輩も出てくるかもしれない。

 こうした懸念を考えると、盗まれた情報をリークする側には重大な責任があることが分かる。基本的にサイバー空間の特性として、ハッキングでリークされるデータは莫大な量である場合がほとんどだが、盗んだ犯人も、暴露する側のメディアや活動家団体も、それらのデータをきちんとすべて精査しているのかという疑問が生じる。内部文書の一枚一枚が本物であると確認作業をしているのだろうか。

●犯罪者の片棒を担ぐのに利用されるかも

 この問題は、元CIAの内部告発者であるスノーデンがNSA(米国家安全保障局)の機密情報を暴露した際にも浮上している。170万枚の機密文書を盗み出したスノーデンは、自分が告発している内容すべてに目を通したのかと一部で指摘された。つまり、何を暴露しているのかちゃんと分かっているのか、と。

 スノーデンは2015年に、米コメディアンのインタビューで「実際にすべての書類を読んだのか」と問われているが、はっきりと答えることができなかった。スノーデンは非常に曖昧(あいまい)な返事で明確な回答を避け、「リークした書類の内容はすべて『把握』している」と語るに止まった。

 ハッキングによるリーク情報はさまざまな問題をはらんでいる。サイバー攻撃によって盗み出された情報を、鬼の首を取ったかのように何でもかんでも拾ってありがたがって報じるのではなく、まず慎重にその背景を見極めなければならない。

 さもないと、犯罪者の片棒を担ぐのに利用される、ということになってしまう可能性があるのだ。


(山田敏弘)

最終更新:9/29(木) 14:55

ITmedia ビジネスオンライン

TEDカンファレンスのプレゼンテーション動画

信用履歴が(まだ)ない人のためのスマートローン
TEDフェローのシヴァーニ・シロヤのスタートアップ企業InVentureでは、携帯電話のデータを使って個人の信用情報を作り上げることで、新興世界に眠っている購買力を目覚めさせようという事業をしています。「クレジット・スコアのようなシンプルなもので、自分の未来を自分で築き上げる力を人々に与えることができるのです」 [new]