本稿は、Disrupting Japan に投稿された内容を、Disrupting Japan と著者である Tim Romero 氏の許可を得て転載するものです。

Tim Romero 氏は、東京を拠点とする起業家・ポッドキャスター・執筆者です。これまでに4つの企業を設立し、20年以上前に来日以降、他の企業の日本市場参入をリードしました。

彼はポッドキャスト「Disrupting Japan」を主宰し、日本のスタートアップ・コミュニティに投資家・起業家・メンターとして深く関与しています。

〝日本株式会社〟は、コンピュータセキュリティに対するアプローチにおいて、大きな移行期を迎えつつある。これまでは、日本独自の決済システムや日本語が壁となって、国を超えての詐欺や攻撃が低レベルに抑えられていた。

それらすべては変わりつつある。決済システムがグローバルかつ自由になり、ブラウザから誰でも簡単に翻訳ができるようになった今、詐欺は日本でも増えつつあるのだ。

今日はカウリスの島津敦好氏をゲストに迎え、新しい脅威とそれらに対して我々が何ができるかについて説明してもらう。

Tim:

カウリスの製品である「FraudAlert（フロードアラート）」について教えてください。

島津氏：

FraudAlert は、企業の Web サイトやモバイルサイトを承認されていない利用から守ります。ログイン状況のモニターだけでなく、ユーザがログインした後の通常と異なる行動についても確認することで、これを実現します。これらの情報を分析し、リアルタイムで警報を送信するわけです。

Tim:

通常と異なる行動とは、どのようなアクションをいうのでしょうか?

島津氏：

疑わしい行動とは、例えば、いつも Mac を使っているユーザが Windows からログインしてきたりとか、同じ IP アドレスから異なる複数の E メールアドレスでログインが試みられたりとか、ユーザが送金ページへ直行したりとか、そのようなケースですね。多くのファクターの組み合わせを元に、総合的なリスクスコアを割り出します。

Tim:

Web やモバイルのセキュリティは、ユーザ名やパスワードに依存していることが多いですね。IoT の時代に移行する中で、これは変化すると思われますか?

島津氏：

トヨタのような企業と、IoT セキュリティについて協業しています。携帯電話や Web ブラウザはパーソナルなものですが、自動車などのデバイスは友人や家族と共有することがよくあります。つまり、セキュリティに対して、より顧客に特化したアプローチを取る必要があるということです。顧客がこれらのプロダクトを、どのように使っているかをより理解する必要があります。それは複雑なセキュリティモデルですが、最終的にはユーザにとってより使いやすいものになるでしょう。

Tim:

オンライン詐欺はに日本では比較的稀です。どの程度のものでしょうか?

島津氏：

2015年に日本政府が調査したところ、すべての公開会社の3分の1が詐欺で損害を受けたことがあると回答しました。中でもクレジットカード詐欺は30億円に上りますが、これは決して小さな金額ではなく、毎年増大しつつあります。

Tim:

確かに大きな金額ですね。アメリカドルで言えばおよそ2,700万ドル、しかし、昨年アメリカのクレジットカード詐欺は85億ドルでした。日本の経済規模はアメリカの30％ですが、クレジットカード詐欺の件数はアメリカの0.3％です。なぜでしょう?

島津氏：

詐欺にはクレジットカード以外のものもありますが、クレジットカードに限れば、その大きな理由は日本人は今でも現金や他の電子マネーを使う傾向が高いからでしょう。クレジットカード決済が日本経済に占める割合は、アメリカに比べてはるかに小さい。しかし、もっと大きな理由は日本語です。

Tim:

どういうことですか?

島津氏：

詐欺未遂が日本で急速に増え始めたのは2013年です。2013年というのは、Web ブラウザが自動翻訳機能を搭載し始めた年ですね。それ以前からハッカーはサイトにアクセスできましたが、それが銀行のサイトなのか、どこに口座管理画面があるか、ポイントカードをサポートしているのかどうか、彼らは理解できなかった。

Tim:

つまり、言語の違いによって、海外のハッカーが日本のサイトをターゲットにするのを難しくしていたと?

島津氏：

そうです。ユーザに名前をかな入力させるようなシンプルなものでも、アタックからの防衛に役立っていました。ハッカーはそれが何のことかわからないし、入力方法もわからないからです。しかし、これは本当のセキュリティではありません。アタックをしばらく遅らせるだけです。日本企業は長きににわたり脆弱なセキュリティに無頓着で対策を怠ってきました。しかし、自分たちのシステムを守るために、それを迅速に変える必要があります。

＜関連記事＞

• 不正アクセス検知サービスのカウリス、シリーズAラウンドで約1.6億円を資金調達——セブン銀行、ソニー、電通国際情報、リヴァンプから
• 不正アクセス検知サービスのカウリス、取締役副社長に元Uber Japan代表の塩濱剛治氏、社外取締役に元ソニーCEOの出井伸之氏の就任を発表

Tim:

日本政府は、クレジットカードや銀行カードの詐欺について統計を発表していますが、島津さんはポイントカードや航空会社のマイレージカードもターゲットになっているとおっしゃっていましたね。

島津氏：

そうなんです。そういったサイトは、ハッカーにとって格好のターゲットです。現金振込に比べると、ポイントやマイレージの転送には法的な制限がほとんどなく、ハッカーは迅速にビットコインや他の電子マネーに換金し、追跡しにくくしてしまいます。

Tim:

企業がよりよいセキュリティを導入しようとすると、顧客や従業員が不満を言うことはよくあります。これに対する解決策は何でしょうか?

島津氏：

セキュリティを厳しくすると、使いやすさが犠牲になることはしばしばです。時には理にかなったトレードオフもありますが、FraudAlert のようなアプローチの利便性の一つは、ユーザが怪しく無い限り、追加的に何かのアクションを求めない点です。例えば、いつもと何か状態が違うときだけ、二段階認証や確認メールの送信、パスワードの再入力を求めるわけです。

Tim:

インターネットから自分を守るために、個人ができる最もよいことは何でしょうか?

島津氏：

最も重要なのは、パスワードマネージャーをインストールし、同じユーザ名やパスワードをいろんなサイトで使い回さないことです。調査によれば、日本人の70％が同じユーザ名／パスワードを使っているということで、この習慣はすぐにでもやめる必要があります。haveibeenpwned.com を時々訪問し、自分のメールアドレスが最近盗まれたものの中に含まれていないか、確認するのもよいでしょう。

日本では、サイバー犯罪に関する公式の統計結果は、まだ低い数字で推移している。しかし、実際にどれほどの犯罪が存在しているか、そこから知ることは難しい。自社システムが被害を受けたことに気づかない企業も多く、またネガティブなイメージを晒す可能性を嫌ってハックされたことを報告しない企業も多いからだ。

しかし、本当のところ何件の被害があるかに関係なく、島津氏の指摘は役に立つものだった。ハッキングやコンピュータ詐欺は、日本で一般的なものとなりつつある。ハッキングがより簡単になるだけでなく、より人の手を介さず自動的に処理できるようになりつつあり、自動翻訳の普及によって、海外のハッカーは日本のサイトをターゲットにしやすくなっている。日本企業がよりセンシティブなデータをインターネットに配置するようになる一方で、このようなことが起きているわけだ。

FraudAlert のようなプロダクトがそのような問題を解決するわけではないが、被害を減らすことに役立つのは間違いないだろう。