10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由

2024年12月17日

GMOサイバーセキュリティ byイエラエ株式会社

福森大喜

2002年に国内大手セキュリティ企業に入社後、不正検知システムの開発、インシデントレスポンスチーム、Webアプリケーションのセキュリティ検査などに従事。2006年にはサイバーセキュリティ企業の立ち上げに携わりCTOを務める。世界最高峰のハッキングコンテスト「DEF CON CTF」決勝戦に2009年から5年連続出場した後、2014年にインターポールサイバー犯罪捜査部門に民間からの出向者として世界初登用。サイバー犯罪捜査を行う傍らインターポールに加盟国のサイバー犯罪捜査官の技術的指導にあたる。2016年、2021年には韓国のセキュリティ技術者エリート養成所BoB (Best of the Best) の特別講師も務める。2024年7月より現職。

2024年7月よりGMOサイバーセキュリティ byイエラエにジョインした福森大喜氏は、インターポールサイバー犯罪捜査部門に世界で初めて民間から登用された元・捜査官です。

世界中を騒がせた「バングラディシュ中央銀行8000万ドル強奪事件」の精鋭チームに参加するなど、サイバー犯罪の最前線で長年にわたり戦ってきた福森氏は、なぜ再び事業会社に戻る道を選んだのか?

それは、巧妙化する匿名化技術の前に“ある限界”を感じ、その限界に対する希望をGMOインターネットグループに見出したからだといいます。

本レポートでは、11月29日・30日に開催されたGMO Developers Day 2024より、基調講演『世界1位のホワイトハッカーが集まる「エンジニアの楽園」で働く理由』の発表内容を再編集してお届けします。

銭形がルパンを逮捕できないのは「そもそもインターポールに逮捕権が無いから」

福森:GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)の福森と申します。

私はセキュリティ業界に20年以上身を置いています。実際は「気付いたら20年経っていた」というのが正直なところではあるんですけれども、それだけ様々な業務に従事して参りました。

直近は、民間からの出向という形で合計8年半ほどインターポールに所属しておりました。

福森:……などという話をすると「インターポールって映画の中の組織だと思ってました!」とよく言われます。いえ、冗談じゃなく本当に(笑)。特に『ルパン三世』の銭形警部がいる組織という印象が強いようで。

もちろんインターポールは現実の世界に存在しています。

ただしフィクション作品に登場するような特権的な組織ではなく、「各国の警察同士が円滑に情報共有を行うための連絡機関」というのが実際の役割です。

福森:あくまで手錠をかけるのは地元の警察の仕事。銭形警部が「ルパーン!逮捕だー!」とルパンを追い詰めても逃げられてしまうのは、彼がポンコツだからではなく、そもそも逮捕権を持っていないからなんです。よく練られた設定ですよね。

インターポール時代に私が所属していたサイバー犯罪捜査部門は2014年に設立された比較的新しい組織です。

エンジニアの方はご存知のように、サイバーの世界は日進月歩で新しい技術が登場します。犯罪に使われる可能性がある技術ひとつひとつを研究するには、警察組織だけでは人手も知識も足りません。それはインターポールの方も分かっていたので、サイバー犯罪捜査部門は最初から「官民連携」をコンセプトに据えていました。

そこで私のような民間のホワイトハッカーにも声がかかったというわけです。

インターポールは各国の警察本部からやってきた警察官で形成される組織ですから、私はかなり特殊な立場ということになります。

さて、そんな環境で私が最初に参加したのはボットネット壊滅作戦でした。

福森:ボットネットとは組織化されたマルウェアのネットワークのことで、大規模なボットネットは感染端末とコントロールサーバが世界中に散在しています。1台や2台を警察に押収されたとしても全体への影響は軽微で、引き続き悪いことができる仕組みになっているわけです。

したがって警察側は世界中に散らばった全てのコントロールサーバを同時に差し押さえる必要があります。そこでインターポールがリーダーとなって国際的な作戦を実行するのです。

私の役割はマルウェアの解析でした。このケースでは、設定の異なるマルウェアの亜種が数百種類も出回っており、それらを全てリストアップして解析しなければ、同時テイクダウンは成し遂げられません。

膨大な作業ですから、外部のセキュリティベンダーがいくつも作戦に協力しました。

福森:こちらのスライドは、作戦が成功した際に発表されたプレスリリースです。日本語訳すると「インターポールが世界規模の壊滅作戦を調整」。先ほども申し上げたように、全世界の警察組織を「調整」することがインターポールの典型的な役割です。

ちなみに、インターポールの本部はフランスのリヨンですが、サイバー犯罪捜査部門の拠点はシンガポールにあります。私がシンガポールに引っ越した当初はまだ庁舎ビルが完成しておらず、なんと地域の公民館に集まって作業していました。

公民館にはプールがありまして、このようなシリアスな作戦が展開されている傍らで、地元の子どもたちが元気に遊んでいたことを思い出します。日本を離れてインターポールに参加して最初に学んだのは「建物が期日通りに完成するのは当たり前ではない」ということです。

「バングラディシュ銀行8000万ドル強奪事件」で感じた“サイバー犯罪捜査の限界”

福森:次は2016年に発生した「バングラディシュ銀行8000万ドル強奪事件」についてお話します。

福森:バングラディシュ銀行は、日本の日銀にあたる金融機構の中核です。

当時のバングラディシュの平均年収は15万円ほど。繰り返しますが、月収ではなく年収です。そのような国から日本円にして90億円以上が一瞬で盗まれたというとんでもない事件になります。

日本で起きた有名な現金強奪事件に「三億円事件」がありますが、物理的に盗み出せるお金の限界はまさに3億円くらいだと言われています。現金はかさばりますし、重量もありますからね。

しかし、サイバーの世界にこうした限界はありません。3億円も90億円も労力はほとんど変わらないわけです。

当然ながらバングラディシュ史上初の大規模犯罪で、国内の警察はもちろん、インターポールも何から手を付けてよいかわからない。そこで私を含むインターポールチームが現地に飛ぶことになりました。

バングラディシュに到着すると、外国人が襲われることのないように現地の警察が警備をしてくれました。マシンガンを持った警察に守られながらのフォレンジック作業(※1)。こんな経験をしたことがあるセキュリティエンジニアは珍しいのではないでしょうか。
※1:デジタルフォレンジック:犯罪捜査やセキュリティインシデント対応のために、コンピュータやその他のデジタルデバイスから証拠を収集・分析する手法のこと。

福森:さて、この事件は世界中で大ニュースになり、各国のセキュリティ研究者が次々と協力してくれました。しかし、それでも捜査は大きな壁に突き当たります。インターポール非加盟国のハッカー集団の痕跡が見つかったという調査結果を複数のセキュリティベンダーが発表したのです。

インターポールには世界196カ国が加盟しているのですが、非加盟国にリーチできないという制約を抱えています。

サイバー犯罪には未だこのような“安全地帯”が存在し、技術とは無関係の政治的な制限によって捜査が難航してしまう。それが私が感じているサイバー犯罪捜査の限界のひとつです。

匿名化技術も所詮はインフラの上に成り立っている

福森:さらに、匿名化技術の著しい進化により、技術面の限界も刻一刻と近づいていると感じています。

たとえば、典型的なサイバー犯罪であるランサムウェア攻撃には、1から10まで匿名化技術が使われています。

福森:まず、攻撃者はVPNで身元を隠したままインターネットにアクセスし、ターゲットの機密情報を盗み出す。盗み出された機密情報が公開されるのは、TORを用いて匿名で運営されるWebサイトです。身代金は仮想通貨で要求され、犯人との交渉は暗号化されたメッセンジャーアプリで行われます。

最後のメッセンジャーアプリはまさに日本でホットな話題ですね。闇バイトの蔓延によって「テレグラム」や「シグナル」という名前をよく聞くようになりました。

AIで生成されたディープフェイクも問題です。皆さん毎日のようにオンラインでビデオミーティングをしていると思いますが、画面の向こうにいる相手は果たして本物でしょうか?

福森:このような匿名化技術の進化が続けば、サイバー犯罪捜査が全く通用しなくなる世の中が待っているのではないかと懸念しています。

もちろん各国の警察やインターポールも日々研究を進めていますし、私も引き続き技術的な指導を行っていきます。しかし、現時点で既に重箱の隅をつついてどうにか捜査を行えているような状態です。

5年後10年後には、その重箱の隅すら完全に暗号化、匿名化されてしまうかもしれません。でも、あくまで未来の話です。今、闇バイトに手を出したらちゃんと捕まりますから、会場の皆さんはやめてくださいね。

福森:では、進化する匿名化技術を前に我々は何もできないのでしょうか?

そんなことはありません。どれだけ高度な匿名化技術もインフラの上に動いています。VPNサーバもブロックチェーンもインフラが無ければ成立しないのです。

だとすれば、民間の事業会社――GMOインターネットグループの中からインフラを変えていくことで、犯罪の被害者を守っていく道もあるんじゃないかと思いました。

そのような考えに至ったきっかけは、昨年のGMO Developers Day 2023で語られた、GMOイエラエ代表取締役CEO・牧田誠の基調講演です。

福森:牧田は講演の中で以下のように話していました。

「GMOインターネットグループは日本のITインフラのうち、ドメインの81.2%とサーバの57.7%を提供しています。この国内No.1のシェア率にGMOイエラエのセキュリティ技術を掛け合わせることで、日本全体のインターネットを守ることにチャレンジしています。」

福森:私と牧田は10年前にチームメイトとしてCTFに出場していた昔馴染みです。そんな彼の双肩に日本のインターネットセキュリティがかかっていると言っても過言ではない!

……まあ、今になって冷静に考えると過言な気もしますが、細かいことがどうでもよくなるくらい当時の私はビビっと来ました。

日本のサイバー犯罪対策の過半数に関われるなんて、こんなにやりがいのある仕事は他にないな、と。

これが、私がGMOインターネットグループにジョインした理由です。それにしても、私が本採用になってからまだ2カ月。そんな新人が基調講演を担当しております。ベンチャー企業にはスピード感が必要といいますが、ちょっとスピード出しすぎじゃないでしょうか?

GMOイエラエは本当に「エンジニアの楽園」なのか?

福森:さて、昨年の牧田の基調講演は「エンジニアの楽園」をどのように作ったかというテーマでした。

GMOイエラエには世界1位クラスのホワイトハッカーがどんどん集まっていて、社外の方から「あそこは楽園に違いない」と噂されている。

でも、どうでしょう? 小説や映画で「楽園」なんて言葉が出てきたら、何か裏があるんじゃないかと勘ぐってしまいますよね。

福森:たとえばこの2枚の画像。左側のような光景が広がっていると思っていたら、右側のようなディストピアが待っていた……なんてストーリー展開はSF作品のお約束ではないでしょうか?

というわけで、最後に「エンジニアの楽園」は本当にあったのか話したいと思います。

そのために、まずはGMOイエラエに所属している「ホワイトハッカー」とはどのような人達なのか説明しなければなりません。

ハッカーの定義にはいろいろあるのですが、私が好きなのはWikipediaのハッカーのページに書かれた一文です。

「常人より深く高度な技術的知識を持ち、その知識を利用して技術的な課題をクリアする人々のこと」

エンジニアの皆さん、どうでしょう? これってエンジニアのあるべき姿を表した言葉だと思いませんか?

このように、本来「ハッカー」という言葉に「悪い人」というニュアンスは全くありません。それがなぜか犯罪者をハッカーと呼ぶ誤用が広まってしまい、仕方なく「善意の」という意味で「ホワイト」と頭に付けている状況が生まれています。

そんなホワイトハッカーの活動のひとつに、先ほど牧田と私が一緒に出場したと述べた「CTFへの参加」があります。

福森:企業のチームがCTFで結果を残せば、技術力を対外的にアピールするチャンスになりますから、GMOイエラエも積極的に出場し、実際に何度も世界一になってプレスリリースを出しているわけです。

しかし相手も世界トップレベルのハッカーです。必ずしも1位を勝ち取れるわけではありません。2位や3位で終わった時、弊社のチームはまるで葬式のような雰囲気になります。

「銀メダルや銅メダルでも十分すごいじゃないか」と思われるかもしれませんが、金メダル以外では自分を納得させられないメンバーがうちには多いということです。

ひとつひとつの負けを糧にして、また次の戦いで勝利を目指す、そのサイクルに自ら身を投じるからこそ、時として世界一になれるのだと思います。

福森:先ほどの画像に戻りましょう。小説や映画で「楽園」という言葉が出てきたら、左側ではなく右側のような光景を疑うと話しました。

まさしくその通り。GMOイエラエに入社しても、ビーチでカクテルを飲みながら片手間で仕事をするような日々は訪れないでしょう。待っているのは、PCに噛り付いて世界トップレベルのエンジニアとバチバチに競い合う毎日かもしれません。

CTFは時に50時間以上ぶっ続けで行われる場合もあります。睡眠やシャワーの時間もろくに取れません。でも、それがいい。何もかも気にせず、自分の技術を試すことだけに集中してみたい。そんなエンジニアにとって、たしかにGMOイエラエは楽園と呼べるでしょう。

そうはいっても、エンジニアではない管理部門の方からすれば「いやいや皆さん大丈夫ですか?」となるわけで、最近ついに出場回数に関するルールができました。

スーパーの特売みたいですね。「キャベツはおひとりさま1個まで」と同じく、うちは「CTFは毎月ひとり1回まで」です。

福森:GMOイエラエのメンバーがCTFで優勝を目指すことは、GMOインターネットグループの社是である「スピリットベンチャー宣言」とも合致しています。

この宣言は弊社のWebサイトでも読めるので、よろしければご覧ください。その中に以下のような一文があります。

「インターネット産業の中で圧倒的“1番”になる。」

なるほど。GMOイエラエは既に1番になっているから、すでにこの社是を体現しているんだな。そう思われた方もいるかもしれません。

でも、スピリットベンチャー宣言にはWebサイトには公開されていない続きがあります。入社後に全文が書かれた手帳をもらうのですが、そこには「圧倒的“1番”」の定義が詳細に記されています。

「2位と3位を足したら逆転される“なんちゃって1位”は真のナンバーワンとは言えない。」

福森:今年の夏に弊社が世界1位を取った際のスコアボードをご覧ください。私たちのスコアは11930。2位が8550で3位が7720。……簡単な足し算ですので皆さん答えはお分かりでしょう。そう。これはGMOインターネットグループの定義では1位じゃないんですね。

GMOイエラエとGMOインターネットグループは現状に満足することなく、今後もまだまだ挑戦を続けていくとお約束して、私の話はおしまいにしたいと思います。ご清聴どうもありがとうございました。

執筆:戸部マミヤ

関連記事

人気記事

  • コピーしました

RSS
RSS