追跡！サイバー犯罪組織
コロナ禍の日本を狙う闇

スマホ決済のアカウント情報を盗まれ、不正に使われたという人から話を聞くことができました。宮城県に住む、あやさん（仮名）です。

10月に、5,800円分の利用が4回あったという通知が届きました。使われたのは東京のコンビニ。しかし、その時あやさんは宮城県にいたといいます。

あやさん（仮名）
「意味分かんない。普通に地元にいたので突然に来て『何だろうこれ？』と思って」

その5日前、スマホ決済サービスの会社名で「ポイントを受け取れる」と書かれたメールが届きました。

不自然とは感じず、URLをクリックし、IDやパスワードを入力したといいます。

あやさん
「誰がやったんですかね。全然予想もつかないんですけど。キャッシュレスの安全が確保されていない気がします。ちょっと怖い」

被害に遭ったのは、フィッシング詐欺とみられています。偽のサイトに接続させ、個人情報などを盗み出す手口。去年、国内で確認されたフィッシングメールの報告件数は、前の年の2.3倍と急増しています。

一体誰が、どのようにしてこうした犯罪を行っているのか。サイバー犯罪に詳しい篠田律(おさむ)さんの協力を得て、調査しました。

潜入したのは、中国語でやりとりされる「ブラックマーケット」。盗まれた大量の個人情報がSNSで売り買いされていました。

サウスプルーム　篠田律社長
「ここにずらっと出てるんですけど、こういったやり取りがされていて、1日に何十件、何百件というかたち」

取材班
「全部、魚マークがついているんですね」

篠田律社長
「フィッシングで取ってきたという意味」

篠田律社長
「日本人の情報というものが、ものすごく売買されている」

メルカリやアマゾン、楽天などさまざまなサービスのアカウント情報。

クレジットカード番号は、セキュリティーコードとセットで販売されていました。さらに、免許証、保険証、パスポートの画像まで。こうした情報はフィッシングのほかに、企業への不正アクセスなどさまざまな手口で抜き取られたものとみられています。

篠田律社長
「日本の何万人、何千万人という人数のリストが売買されている。日本人のほとんどの方（の情報）は、もうどこかに抜け出ているはず。私自身の名前も確認したことがあります。セキュリティー上、非常に日本はぜい弱。日本が狙われて、情報が抜かれていく」

取材を進めると、個人情報を盗み取るためのツールまで販売されていることが分かりました。

「このサイトでは、さまざまなスパムページを安く販売しています」

さまざまな企業のサービスの偽サイト。100ドルから200ドルほどで出回っています。本物と比較すると、ほとんど見分けがつきません。

特別な技術がなくても、情報を抜き取ることができるとうたっています。

さらに、サイバー犯罪組織に迫る手がかりとなるSNSのグループを見つけました。クレジットカード情報の盗み方。主催者は中国語を使う人物です。

盗んだ個人情報を使って、カードを偽造する機械などを販売するとしています。犯罪行為に誘い込むかのように、多額の金を見せつけています。

その中に、不正に商品を購入する手口を明かす動画もありました。

「みなさん、こんにちは。きょうは盗んだクレジットカードの使い方をお教えします」

日本のネット通販で、靴を購入していました。クレジットカード情報は日本人のものとみられ、名前や住所、生年月日や電話番号まで書かれていました。

このカードは実際に不正利用されたのか。書かれていた番号に電話をかけてみました。

取材班
「クレジットカードとかが、ネット上に漏れていることが分かりまして」

被害を受けた男性（話）
「つい先日、21日と25日に不正な引き落としがあって、合計3万8,000円ちょっとですね、引き落とされていたんです。えっ？と思ってカード残高を調べたら、3回にわたって使われてました。どこから漏れたのか、私は分からないです」

動画をよく見ると、靴の配送先が載っていました。被害に遭った男性とは別の日本人女性の名前と住所でした。

何かからくりがあるのではないか。私たちは、グループの主催者に接触を試みました。

取材班
「直接話せませんか？」

「ロシアにいる。会えない。そんな危険は冒せない」

不正に購入した商品はどこに送っているのか尋ねると…。

「"収貨人"を手配している。"収貨人"は中国に商品を転送するのを手伝ってくれる」

"収貨人"を介することで、自分の身元が分からないようにしながら利益を上げているのか。私たちは、靴の配送先になっていた都内の集合住宅を訪ねました。

取材班
「SNSで、ここの住所が載っていて、それできょう伺ったんですけど」

中国人留学生
「全然分からない。ちょっと日本語分からない」

出てきたのは、3年前に中国から留学してきたという20代の男性でした。

中国人留学生
「どうして君は、私の住所を」

取材班
「これ、あなたの住所ですよね？」

中国人留学生
「うん。この住所はここです」

取材班
「届け先が、あなたの住所になってる」

中国人留学生
「ありません。分からないよ」

不正に購入された靴を受け取ったかどうかは、確認できませんでした。さらに取材を進めると、"収貨人"は日本全国に存在し、リスト化されていることが分かりました。

リストに載っていた住所の一つに向かうと、そこに荷物を届けにきた宅配業者に遭遇しました。

取材班
「結構、毎日荷物来てるんですか？」

宅配業者
「来てますよ。多いときで4個5個。きょうは5個。名前はいつも来るたびに違う。それでちょっと怪しいじゃないかなと」

電化製品など大量の荷物が受け渡されます。

取材班
「すみません。もしよかったらお話を伺いたいんですけれども」

中国人留学生
「あなたたちは警察？」

取材班
「NHKの者で」

この部屋に住んでいたのも、中国人の留学生だという男性でした。

取材班
「何でここに集まってくるんですか、荷物が？」

中国人留学生
「これ友達の。友達は国際貿易の仕事をしますので、住所、必要ですから」

取材班
「荷物を受け取って、そのあとどうする？」

中国人留学生
「友達来ますんで、荷物いっぱい集めて友達来ます」

取材班
「友達に持っていって？」

中国人留学生
「そのあと僕、分かりません」

取材班
「友達はなぜ、自分の所に送らないでここに送るのか？」

中国人留学生
「そういうことは分かりません。そのこと分からない」

追跡を続けようとしたところ…。

取材班
「全部アカウントごと消されています」

"収貨人"のリストがネット上から消えていました。

井上：ブラックマーケットに迫った記事は、以下のリンクから読むことができます。また、被害に関する情報も募集しています。

では、取材した福田記者に聞いていきます。福田さん、このブラックマーケットの実態、いまどこまで分かっているのでしょうか。

福田陽平記者（科学文化部）：今回取材したこのブラックマーケットでは、いわゆる盗んだ個人情報の売買にとどまらず、偽サイトや偽メールそのものを売っていたり、足がつかないようにクレジットカード情報をどうやって使うか、こういった犯罪ノウハウまでもが売買されているといった実態が分かってきました。
こうした大量の個人情報は通販サイトなどで不正利用されて、商品は"収貨人"を経由して日本や中国で転売されているのではないかと複数の専門家はみています。しかし実態の解明にはまだ至っていないわけです。

保里：なぜ日本が狙われているとみられているのでしょうか。

福田：取材した専門家によりますと、やはり海外に人気で高額で売れる商品が多いことや、日本は通販サイトの種類も多くて利用者も大変多い。こうしたことが狙われる要因になったのではないかとみています。

井上：そして、サイバーセキュリティーの分野で国や警察など、公的機関に政策立案の助言を行っている新井悠さんです。新井さん、このような犯罪の広がりに対して警察はどう対応しようとしているのでしょうか。

新井さん：日本の捜査機関も、こうしたサイバー犯罪に対応して詐欺行為として摘発しています。一方で、やはりサイバー犯罪のサイバー犯罪者そのものは海外に居住しているということがよくありますので、そういった海外のサイバー犯罪者を摘発するために国際的な連携を行って、海外の捜査機関と連携して対処していくというような体制を今強化しています。

保里：私たち個人を狙うサイバー犯罪については、これまで例えばメールの日本語が不自然であるとか、送信元に覚えがないとか、不審な点には気をつけようということは言われてきたと思うんですが、そうした対策だけでは不十分なのでしょうか。

新井さん：そうですね、今は翻訳ソフトの精度がかなり上がってきていますので、日本語の不自然さみたいなものを見分けることがなかなか難しい状況になってきています。これを不自然だと気付くのは、かなり無理な状況なんです。ですので、基本的な方針としては無視するというのが重要になってきます。

保里：ログインなどを求めるメールについては無視。

新井さん：基本的な方針としては無視してください。その上で、どうしてもこれは気になるというものに関しては、公式サイトにアクセスしてみて、そういった呼びかけが行われているかどうか、あるいはアプリからアクセスするということがあるかなと。

なので基本的に「IDとパスワードを入れてください」みたいなことが書いてあって、URLが書いてある場合はそこにはアクセスしないというのが重要だと思います。

保里：その上で、もしかしたらちょっと情報が漏れているかもしれないといった不安をおぼえたらどうすればいいでしょうか。

新井さん：そのときは、ぜひ自分が利用しているショッピングサイトとかに自分から電話やメールを使って連絡をしていただいて、そういった情報が本当かどうかというのを自分で確かめるということが大事かなと思います。

保里：すぐに確かめるということですね。

井上：このサイバー犯罪、標的は個人だけではありません。今、社会基盤を狙った攻撃が相次いでいます。

「おとなしくしろ！」

サイバー犯罪組織の活動拠点に踏み込む、ロシアの治安機関。

現金など、およそ8億円を押収しました。拘束されたのは、世界各国の企業を攻撃し、多額の金銭を脅し取ってきた組織のメンバー14人。

攻撃に使用したのは「ランサムウエア」と呼ばれる、身代金要求型のウイルスです。犯罪組織はまず企業に攻撃を仕掛け、社内のネットワークに侵入します。

ウイルスに感染させ、保管されているデータを暗号化。企業がデータにアクセスできなくし、業務の継続を困難にします。

その上で、暗号化の解除と引き換えに多額の金銭を要求するのです。

ランサムウエアを使った攻撃は、日本でも起きました。徳島県にある半田病院。犯罪組織は深夜、院内にある複数のプリンターを動かし、大量の脅迫文を送りつけました。みずからをLockBit2.0と名乗り、交渉に応じるよう要求したのです。

「あなたたちのデータは盗まれ暗号化された。身代金を支払わなければ情報を流出させる」

この攻撃で、会計システムや患者8万5,000人分の電子カルテにアクセスできなくなりました。過去の診察記録や、処方した薬も分からなくなり、病院は機能停止の寸前まで追い込まれました。

病院の責任者
「電子カルテが止まっちゃったんで、ちょっと申し訳ないけど、いつから来とったかというのだけ」

私たちの命にも関わる、ランサムウエアの攻撃。その脅威が明らかになったのです。

病院の責任者
「一番のリスクは、本当に全く分からない患者さんを診るということ。定期的な過去のデータと比較できないと、ちょっとした異常が分からない」

医療のセキュリティーに詳しい専門家には、全国から相談が相次いでいます。専門家は、日本の多くの病院が攻撃の標的にされかねないと指摘します。

医療ISAC 代表理事　深津博さん
「病院だったらきっとやむにやまれずお金を払うだろうと、ハッカー側は考えている可能性が高い。自助努力で（セキュリティーを）担保しろと言われても、できない病院のほうが多いというのが実情」

半田病院を攻撃したLockBit2.0。実は事件の2か月ほど前、取材班は別の犯罪を追う中で、この組織に接触していました。

取材班
「簡単に攻撃できるようなぜい弱性を日本企業に見つけたことはあるか」

LockBit2.0
「もちろんある。ぜい弱性についての情報は、ネット上で数多く公開されている。乗っ取りやすい単純なパスワードも使われている」

取材班
「日本企業が攻撃を受けるようになっているのは、なぜなのか」

LockBit2.0
「見つかったやつは、誰だって攻撃する」

犯罪組織は、どのようにして企業のネットワークに侵入しているのか。取材班は、ゲストの新井さんの協力を得て、複数の組織が活動するネット上の闇の空間「ダークウェブ」に先入。

NTTデータ　新井悠さん
「いろんな企業から盗み出されたデータがある。企業側に支払いを要求していく」

調査を進めると、ある文書が見つかりました。1,500を超える企業を攻撃したというハッカーが、その手口を明かしたものです。

「ここからあなたがやることは、すべてあなたの責任だ。しかし、そのリスクが数百万もの大金を生み出すだろう！」

文書で詳しく説明されていたのが、「VPN」への攻撃です。VPNは、外部から安全に社内ネットワークにアクセスするための技術で、コロナ禍で利用が広がっています。

文書では、そのプログラムの弱点を突いて、ネットワークに侵入する方法を具体的に説明しています。徳島の病院への攻撃でも、同様の手口が使われたと見られています。

新井悠さん
「これはアンダーグラウンドの掲示板。主にロシア系」

さらに、コロナ禍という状況を利用し、組織を拡大させている実態も見えてきました。高額の報酬を提示して、サイバー犯罪に加担する人材を次々とリクルートしているのです。

新井悠さん
「1か月あたり、1万ドル。100万円以上の報酬プラスアルファが収入として手に入るということが書いてある」

こうした書き込みは、コロナ禍前のおよそ4倍に増加。IT技術者の取り込みを図っていると新井さんは分析しています。

新井悠さん
「すごい衝撃的。コロナ禍で仕事に影響があったので、サイバー犯罪に加担することで、収入を得ようという人間が増えている」

井上：ぜい弱性があればどこでも攻撃するというようなことを言っていましたけれど、福田さん、具体的にどういうところが狙われているのでしょうか。

福田：病院など特定の業種、これを狙っているわけではなくて、どの企業でも攻撃される可能性があると。犯罪組織というのは自動でセキュリティーの穴を見つけるツールを使って、無差別に攻撃を仕掛けていってるとみられています。今回取材した病院も、こうしたぜい弱性をつかれて結果的に被害に遭ったとみられています。病院は、新規の患者や救急の受け入れを2か月間にわたり停止していたんですが、今月ようやく身代金を支払うことなくデータは復旧されて再開したということです。

井上：身代金でいうと、それを払わないと情報を流出させるという脅しもあったと思うのですが、その点では企業にとって難しい選択ではないですか。

福田：実際アメリカでは9割とか、日本では3割の企業が実際に身代金を支払っていたという調査結果もあります。取材でも、実際に苦渋の決断で支払いに応じてしまったと明かす企業もありました。しかし、こうした企業が支払いに応じれば犯罪を助長するとして、政府、国は支払いというのは厳に慎むべきだと呼びかけています。

保里：ランサムウエアの被害に遭わないために、何が必要なのか。新井さん、まず中小企業も地方も要注意ということですが。

新井さん：やはり被害に遭われた企業の方に実際にお話を伺うと、まず最初に出てくるのは「どうしてうちの会社にこんな攻撃が」というのをまずおっしゃいます。なので、先ほど福田さんがおっしゃられたとおり、攻撃者側は無差別に標的を選んでますので、分野であるとか業種にかかわらず攻撃をしてくるというのが1つの方針になっています。なので、やはり当事者意識を持っていただいて、自分たちも狙われるかもしれないということをまずいちばん最初に気持ちとして持っていただきたいというのがあります。それから先ほどマニュアルにもありましたが、あのマニュアルに記載されていることは、ぜい弱性、ソフトの欠陥をとにかく狙いなさいということが繰り返し書かれていますので、それに対抗していくためにはソフトを更新して、その欠陥がある箇所を埋めていくということを着実にやるということが基本として非常に大事です。

保里：やはり基本はアップデートというところなんですね。

新井さん：その点につきますので、まずそこをやっていただきたいというのがあります。そしてバックアップという手段があります。バックアップを使うことによって、たとえ暗号化されても元に戻すということができるようになりますので、これを実施していくことが非常に重要になります。その上でバックアップを取っていてもそこをさらに暗号化してくるという攻撃者もいたりしますので、そういった攻撃者に対抗していくためにはバックアップを2つ取っておく。

保里：複数。

新井さん：そうですね。取っておくことによって、たとえネットワークを通じてバックアップを取っていたとしても、それが暗号化されてしまったとしても、物理的に切り離されたところに実はもう一つバックアップを事前に取っていたので、それを使って戻すことができたという事例もあったりしますので、そういったことを考えますと2つ以上の手段を使ってバックアップを取って、それを保存しておくということが重要だと思います。

井上：お伝えしているランサムウエアですが、もしも企業が感染したらどうすればいいか、以下のリンクから読むことができます。ご覧ください。

保里：世界的にサイバー犯罪組織の取締りは強化されていますが、さまざまな技術革新も同時に生まれている中で、私たち社会全体でどう向き合っていくべき問題でしょうか。

新井さん：そうですね。このIT技術というものは今いろんなところで利活用されています。そのIT技術を支えているのは、ソフトウエアの技術なんですよね。なので、そのソフトの技術を安全に保つということが引き続き重要になってくるのではないかと思っています。

井上：デジタルの感染も皆さんご注意ください。ありがとうございました。