ブラックハッカーの仕事は「つまらない単純作業」、ビジネス化するサイバー犯罪で若年化が進む背景

「ブラックハッカー」といえば、高度なIT技術を駆使して不正行為を働き社会的な騒動を引き起こす愉快犯のイメージだろうか。現在はサイバー攻撃の「ビジネス環境」が整備され、クリエイティビティのない単純作業になっているという。ブラックハッカーの現状と、スキルを持った若者がサイバー犯罪に引き込まれる手口や対策について、情報通信研究機構(NICT)サイバーセキュリティ研究所の園田道夫研究センター長に聞いた。

■高度な技術力が不要になったサイバー攻撃

　――高度な知識や技術を不正な行為に用いる「ブラックハッカー」になるのは、どんな人ですか。

　もともとハッカーは、社会を賑わすことが大好きな愉快犯のような人が多かったのですが、最近はサイバー犯罪のビジネス化が著しく、経済的な利益の追求が主流になっています。

　ハッキングが儲かるようになったことでビジネス基盤が整備され、テクノロジーを悪用したい人や攻撃者の組織と、エンジニアがマッチングしやすくなっているのです。

　金銭のやり取りも仮想通貨で行えるようになったことで、エンジニアは匿名性を保ちながらカジュアルに攻撃者側と接触できるようになりました。

　加えて、表の世界でクラウドやSaaSが普及したのと同様に、裏の世界でもサイバー犯罪をサポートするサービスが普及しています。

　たとえばマルウェア・アズ・ア・サービス(MaaS:Malware-as-a-Service)やランサムウェア・アズ・ア・サービス　(RaaS:Ransomware as a Service)を使えば、高度な技術力がなくてもサイバー攻撃を行えるようになっています。

　――単独で高度な技術力を駆使する、従来のハッカーのイメージとはだいぶ異なります。

　いまや攻撃行為は単純作業で、「ハッカー」と聞いて連想されるようなクリエイティビティはありません。

　ハッキングには多少の『謎解き』の要素があり、「これを解かないと原因を解明できない」という事態が起こりますが、実は多くのサイバー攻撃は、謎解きの前に攻撃が成立してしまいます。「この情報の通りにやったら、なんかファイアウォールを突破できちゃった」と、なんとも機械的な作業になっているのです。

　――ブラックハッカーは犯罪行為である上に、単純作業の退屈な仕事になっていると。

　いくらビジネス化が進んでも、サイバー攻撃でやっていることは強奪なので、もちろん警察に捕まる可能性があります。国際的な協力関係のもとでサイバー攻撃の基盤を停止する「テイクダウン」が実施され、犯罪組織が一網打尽にされることがありますが、そこに関わっていれば当然罪に問われます。

　被害によっては莫大な賠償金を請求され、海外では何億ドル単位の額になったケースもありますから、人生が台無しになりかねません。日本国内の賠償金情報はあまり出回りませんが、法曹関係者からは3000万～4000万円の事例もあると聞きます。

　こうしたリスクと、犯罪行為で稼げるお金を天秤にかけた時、サイバー犯罪はまったく割に合いません。このことは、スキルを持つ若者や子どもたちにも伝えています。

■承認欲求からサイバー犯罪に手を染める例も

　――スキルを持った人材がブラックハッカーの世界に入るきっかけはどのようなものなのでしょう。

　嫌な事例ですが、まだ世の中や社会のことをわかっていない若年層が引っ張り込まれるケースが多々あります。近年のサイバー犯罪は低年齢化が進み、不正アクセスで検挙されるのは14～19歳が全体の28.2％、20～29歳が39.8％を占めています。

　引っ張り込まれる手口としては、闇バイトと同じように「コスパよく稼げる」という情報がLINEなどで友達の友達から回ってくる、というのが1つ。

　もしくは、コンピュータが大好きで精通しているが周囲に理解者がおらず、承認欲求をこじらせて犯罪に手を染めるパターンもあります。自分が勉強していることの難しさやすごさを評価できる大人がいないため、ネットに「こんなこともできるぜ」、「ウイルスくらい簡単に作れる」と投稿してしまう。さらに、それを見た別の若者が刺激されて、サイバー犯罪が連鎖することもあります。

　「大人たちが必死に守っているものを、自分は簡単に突破できた」という若者のノリはありがちですが、それを自慢していると悪い大人に目を付けられてしまうのです。

　また、メディアが取り上げるハッカー像が、実際と異なり怪しい憧れを抱かせるものであるのも問題だと思います。ドラマでも、ブラックハッカーの作業の大半を占める地道で面白くない部分はカットされていますし、逆に正義役が違法行為をしていたりもします。

■若者をサイバー犯罪に加担させないために

　――若い人材がサイバー犯罪の世界へ流入するのを防ぎ、表で活躍してもらうための取り組みには何がありますか。

　セキュリティ業界では、若者をダークサイドへ向かわせないための戦いをずっと継続しており、世界的にもさまざまな工夫を施しています。その1つが、脆弱性を発見する賞金付きコンテストです。賞金額はダークマーケットにおける脆弱性情報の価格を上回るように設定されています。

　誰も見つけていない脆弱性情報は、ダークマーケットで数千万円の高値で買われますが、コンテストではそれを上回る賞金を稼げるうえに、表の世界で堂々と評価されます。「犯罪組織に加担するよりずっといい」という環境を整えているわけです。

　最も有名なコンテストは「Pwn2Own」で、2024年にはテスラ車の脆弱性を発見する「Pwn2Own Automotive 2024」が東京で開催されました。

　その他、自社のシステムやソフトウェアの脆弱性を見つけて報告してくれたら、内容に応じて報奨金を支払う「バウンティプログラム制度」を採る企業が徐々に日本でも増えています。

　――ハッキングやセキュリティに興味がある人たちにホワイトな世界で活躍してもらうには、今後どんな取り組みが必要ですか。

　若い人は、例えばゲームのチート行為を見て「どんな仕組みなんだろう」と、ある日突然スイッチが入ってハッキングやセキュリティに関心を持つことがあります。そうした人の受け皿として、多様なイベントや機会が必要だと考えています。

　私が企画に携わった、IPA(独立行政法人情報処理推進機構)の「セキュリティ・キャンプ」もその1つです。合宿形式で次代を担う情報セキュリティ人材を発掘・育成する事業ですが、好きなことを全力で語り合えると、とても喜んでもらえています。これは話が通じる人が身近にいないことの裏返しでもあるので、「世の中には仲間になれそうな人がこんなにいるんだよ」ということはもっと見せてあげたい。

　またNICTでも、若手セキュリティイノベーターの育成を目的としたプログラム「SecHack365」を用意しています。こちらは1年間かけるハッカソンのプログラムですが、若者にセキュリティの意識を学んでもらうことで、世の中の問題を解決するようなものを作ってほしいと思っています。

　こうしたイベントは、我々が若い頃に「あったらよかったな」というものを作っています。一見するとハードルが高いかもしれませんが、とても楽しい内容になっていますよ。

　とはいえ、まだ数が少なくて取りこぼしもあるので、サイバー犯罪の若年化を考えると学校などでの対応も期待したいですね。