日経クロステックに掲載された勝村記者の記事中、興味深い論文が紹介されていました。
「サイバー犯罪者が燃え尽き症候群に、明らかになった「退屈な職業」の実態」
※この記事は勝村記者の書籍にも掲載されています。
元の論文はこちら: 「Cybercrime is (often) boring: maintaining the infrastructure of cybercrime economies」
内容は「何かワクワクするようなテクノロジーのおもしろさ」に出会えると思って、憧れのサイバー犯罪業界に飛び込んだものの、実際には現場の地道な作業ばかりで燃え尽き症候群に囚われてしまった、というものです。
記事にもありますが10年以上前からサイバー犯罪はビジネスになり、誰かが作ったツールを誰かのサポートを受けて使えば誰でもサイバー犯罪に手を染めることができる、という参入障壁の低い業界になっていました。
ツールも洗練されてきてサイバー攻撃自体の効率化が進んだことで、攻撃行為は単純作業になってしまい、そこにはクリエイティブさはかけらも無い。アートのような技を繰り出すハッカーのイメージに強い憧れを抱き、法に反することなのにもかかわらず参入してきた若いエンジニアにとっては、そんな現実にブチ当たると確かに燃え尽きたくもなるでしょう。
結局、どんな仕事もそうなんですけどね。基礎的なことがきちんと修められていない人ほど具体的な想像ができず、結果派手な部分にばかり目が行って幻想を抱いてしまう。そして現実を見て幻滅する。そういう例は一般社会でもそこら中に転がっています。
サイバー攻撃が作業と言っていいほど簡単になってしまうと、そこから先はビジネスの話になります。いかにして効率良くお金を稼ぐか。若者が憧れるようなクリエイティビティは経済効率の前には邪魔なだけですね。 普通のビジネスと同じように、少しでも効率良く儲かるところに殺到し、食べ尽くす勢いで商売(サイバー攻撃)をしかけるわけです。ただただ絨毯爆撃的に数をこなすために、無差別的に調査目的の通信データを投げつけて、その反応を見て脈がありそうなところを片っ端から攻撃します。新人がやらされる営業回りみたいなものですね。 そしてどこか弱そうなところを見つけて、入り込みます。
攻撃のカジュアル化が始まってから10数年、攻撃が成功したあとどうするかについても犯罪業界に知見が蓄積されてきました。まずは弱いところに入り、繋がる人や組織を調べて、使えそうな情報があるところを洗い出して収集しまくる。 地引き網のように情報をかき集めてきてビッグデータ的に解析して次の目標を攻撃するときに活かしたり、データを人質にとったり、欲しがる誰かに売りつけたりする。収穫できた情報をどう活かすか。どう活かすにしても誰かがサポートしてくれたり、サービスとして代わりにいろいろやってくれたりもします。
ここまでビジネスとして洗練されてくると、若者の甘い幻想が入る余地などありませんが、攻撃される側にとっては厄介なことこの上ないですね。われわれはどう対抗すれば良いでしょうか。 まずは犯罪者の機械的な攻撃に耐えられるように予防的な定石対策を実施する。これが大前提ですね。ネットワーク的な防御策を講じ、危険を避けるルールや手順を整備し、実際に動けるよう訓練する。このあたりが定石でしょう。
セキュリティのインシデント(事件・事故)ハンドリングを訓練するときは、再現する状況のリアリティが重要になってきます。CYDERのセールスポイントはまさしくリアリティです。
攻撃された直後など、一般的には構築困難と言える事件・事故状況をリアルに再現した環境で、そのときどきのトレンドを押さえたシナリオによる演習を実施します。手前味噌になりますが、そういう演習を定期的に受講するのも予防的対策としては有効でしょう。
すぐに効果がでるものは少ないのですが社会的な対策というのもあります。勝村記者も記事の中で書いていますが、作業になるほど洗練され人間の工夫はほとんど必要無い、サイバー犯罪業界の現状を広く伝えて、人材の流入を防ぐというのはそうした対策の一つです。若いうちから技術のリアルに接する機会を周囲が作ることで、変な幻想を持たなくさせることも大事なことだと思います。そしてこの対策は燃え尽きを促進させる効果もあると思います。犯罪はリスキーな割につまらない、と印象づけたいですね。
