それはサイバー攻撃ではないかもしれない ～ NRIセキュア “デジタルクライム” 対策研修開講

　NRIセキュアテクノロジーズ株式会社は5月13日、「サービス不正利用対策研修」コースを新設し、デジタルサービスの不正利用リスクに特化したセキュリティ研修を7月に開始すると発表した。

　この研修は、同社が提供する情報セキュリティ研修プログラム「セキュアEggs」の一環として実施される。近年、デジタルサービスの多様化に伴い、その仕組みを悪用した不正決済や不正送金などの新たな詐欺・不正行為が増加しており、企業にとって喫緊の課題となっている。NRIセキュアは、これらのリスクを「デジタルクライムリスク」と定義し、独自のリスク分析フレームワークを開発・提供してきた。

　「デジタルクライム」とは、サービス仕様上正しいシステムの挙動をしているが、その挙動を悪用する行為を指す。NRIセキュアは、以下の4つの不正行為を代表的なパターンとして整理している。

1. デジタルサービスの仕様上の脆弱性への攻撃
　例：QR決済サービスにおいて、悪意のある者が自ら作成したアカウントに第三者のクレジットカードを紐付けて決済を実施する

2. デジタル技術を用いた詐欺行為
　例：著名人のDeepFake動画を作成し、一般人を自社サービスに誘導する

3. 陳腐化した既存技術への攻撃（デジタル技術活用）
　例：3Dプリンタなどを用いて高度な偽造身分証を作成し、その身分証を用いて金融サービスの契約を締結する

4. 犯罪行為を最終目的としたサイバー攻撃
　例：フィッシング攻撃などにより認証情報を窃盗し、他人のアカウントを犯罪行為に利用する

　これらの不正行為は、システム的には仕様通りの挙動であり、従来のサイバー攻撃とは異なるため、NRIセキュアはこれらの行為を「デジタルクライム」と定義し、サービスの企画・設計段階からリスクを正しく理解し、対策を行うことの重要性を強調している。なお、国連ではサイバー犯罪を、ランサムウェア攻撃やマルウェアなど犯罪実行にコンピュータが必要になる「サイバー固有犯罪」と、従来型の犯罪がオンラインで実行される「サイバー利用犯罪」の2つに大きく分けて定義している。

　新設される研修コースは、基礎編と実践編を合わせた2日間のプログラムで構成されている。基礎編では、デジタルクライムリスクの全体像を把握し、サービス利用者および提供者のセキュリティを確保するために必要な視点や、デジタルクライムリスクを分析する手法と対策を講義とハンズオンで学ぶ。実践編では、デジタルクライムリスク分析で押さえておくべき脅威事例や、実践的なリスク分析のポイントを学び、演習を通じてサービス仕様の理解、リスクシナリオ抽出、リスク値算出・対策検討を行う。

開催日時は2025年7月28日（月）から7月29日（火）の2日間、オンラインで実施される。参加費は早割価格が145,000円（税込159,500円）で、通常価格は160,000円（税込176,000円）となっている。定員は20名で、最少催行人数は10名。

元の記事を読む