国境を超えた捜査を担う「サイバー警察局」の役割とは
こうした状況を踏まえ、警察は具体的にどのような取り組みを行っているのか。阿久津氏は、サイバー犯罪に対する捜査の仕組みについて紹介した。
サイバー攻撃の多くは海外から行われる。犯人は海外のサーバーを通じて日本に攻撃を仕掛け、その被害者から通報・相談を受けたところから警察の捜査が始まる。当然、海外にいる犯人について捜査することになるが、主権の問題で日本の警察は外国に行って捜査をすることができない。そのため、外国に捜査を実施してもらうために「捜査共助要請」を行う。これにより、外国当局がサーバー管理者などから様々な情報を得て、その結果を日本警察に連携してもらい、日本の警察が捜査していくといった連携捜査が可能になるのだ。これが捜査の基本的な流れとなる。この流れからわかるように、サイバー攻撃の捜査においては、外国当局との国際連携が極めて重要なのだ。
そこで、警察庁は2022年4月にサイバー警察局を設置した。この組織は、警察内に分散していた捜査能力、機材、人的・物的な資源を一元的に集約することで、一元的な政策遂行と全国の捜査指導を行うことを目的としている。
また、警察は歴史的背景から都道府県警察が捜査をする制度となっているが、サイバー犯罪における捜査は県境・国境を越えるため、警察庁関東管区警察局に「サイバー特別捜査部」を設置。新たに全国の捜査を推進できるように体制を整えた。設置した当初は「サイバー特別捜査隊」と呼ばれていたが、対応する事案が増加してきたことから、2024年4月にサイバー特別捜査部に格上げされている。
「警察としてはまず、国際連携を通じて犯人を検挙する必要があります。この検挙を通じて犯罪を抑止していくことは警察にしかできない取り組みです。一元化されたサイバー警察局を通じ、産業界や民間と連携して被害防止対策を一層強化していかなければなりません。これがサイバー警察局 サイバー特別捜査部の設置に係る趣旨目的です」(阿久津氏)
国際共同捜査で日本が被疑者検挙に貢献
サイバー特別捜査部では、具体的にどのような国際共同捜査が行われているのか。阿久津氏は一つの事例として、ランサムウェア「LockBit」のテイクダウンについて紹介した。これは、欧州刑事警察機構(ユーロポール)を中心とした国際共同捜査に日本が参画したもので、全国の都道府県警察の捜査情報をサイバー特別捜査部の高度な技術的知見によって一元的に集約し、これを外国捜査機関と共同して分析することで、捜査を推進したという。
その結果、ユーロポールを中心とする外国捜査機関が被疑者の検挙にまでたどり着き、悪用されていたサーバーの閉鎖にまで至った。悪用されていたホームページは、スプラッシュページと呼ばれるページに書き換えられた。これには日本の国旗も表示されており、日本が必要な貢献をしたことが示されたのだ。また、サイバー特別捜査部は、LockBitの復号ツールを開発し、ユーロポールに提供することで、さらなる被害拡大防止に貢献している。
国際連携の他に、海外からのサイバー攻撃の捜査においてもう一つ重要なことがある。それは「通報・相談である」と阿久津氏。「被害者の方からの通報・相談がないと、我々はその被害を認知することができません。認知ができないと捜査もできないため、警察としても非常に重要視しています」と語る。
サイバー捜査は通報・相談を受けて事案を認知すると、まずは犯行状況の保存を行い、アクセスログなどを取得。その後プロバイダーの契約者情報を取得し、回線事業者の提供情報からアクセス端末の場所を特定すると、犯行端末を差押えて解析するといった流れで捜査を行う。こうした捜査の流れを見ても、始まりは事案の認知だ。「事案を認知するためには、被害に遭った方の通報・相談が不可欠です。もし、サイバー犯罪の被害に遭った場合は積極的な通報・相談をお願いします」と阿久津氏は念を押す。