ビットコインの真のユースケースとランサムウェアの経済
つい先日ビックカメラでビットコインでの支払いが始まったというニュースや、Airレジがビットコイン支払い対応、など一般層でもビットコインの認知がさらに広がり、支払い手段としてのビットコインへの注目も集まっています。個人的にもこれは非常に素晴らしいことだと思っており、ビットコインの一般への浸透、イメージ向上などにも大きな一歩でした。業界関係者の人たちも多数受付開始日にビックカメラに集結し、記念にSNSなどで報告している人も多数いました。
(本人たちの許可をとらず勝手に掲載!問題あれば後で取り除きます…)
ただし一方で、実際にビットコインを使ったことのある人ならわかると思いますが、ビットコインを日常的な支払い手段として使うというのは今の時点ではあまり現実的ではありません。テレビの特集などでビットコインで送金が安くて早い、という説明が繰り替しされていますが、ネットワークの状況次第では一回の送金に数十円の手数料がかかり、支払いの承認が完了するのに数時間~数日以上かかる場合もあります。銀行送金より速くて安いというのがPRポイントの一つだったはずが、国内の送金であれば銀行の方がビットコインより速くて安いような状況にすらなっています。
他にも「ビットコインは価格変動が激し過ぎて支払い手段として使い物にならない」「手数料が高すぎてビットコインは日常の支払い手段として不適」という批判の声も多いですし、これらの指摘は必ずしも間違いではないです。ビットコインは国境をまたいだ送金にはスピードやコストで強みはありますが、少なくとも日常用品の支払いに使えるレベルにはまだ達してないですし、高い手数料を支払ってユーザーがビットコインを使う理由もあまりありません。
では、ビットコインは支払い手段としてもいまいち、やはり今の時点では結局投機としての需要しかないではないか、と思うかもしれませんが、これは間違いです。
一般的にあまり語られることは多くないですが、単純な支払い手段としてではなく、匿名性、検閲耐性、改ざん不能性などを利用した裏のユースケースがビットコインには存在し、それらの領域で実際にビットコインが使われ、ビットコインへの実需を作りだしているという事実があります。今回はその中でも特にビットコインがランサムウェア業界を確立してしまったという話を紹介します。
ランサムウェアとビットコイン
ランサムウェア(Ransomware)という言葉をニュースや記事などで最近目にしたことがある人も少なくないと思いますが、簡単に言えば企業や個人のパソコンやシステムを乗っ取り、そのデータやシステムの開放を条件に身代金を要求するサイバークライムです。企業もしくは病院や図書館などの公共機関などのシステムが乗っ取られ、ハッカーの支払い要求に応じざるを得なかった展開も数多くあるようで、しかも、ランサムウェアの被害はむしろ加速しているようです。今後も被害数や規模、攻撃対象となる領域も増えていくと予想されます。
しかし、そもそもランサムウェアという言葉自体大抵の人にはあまりなじみがない(なかった)言葉ですが、なぜここ最近立て続けにこのような事件をニュースなどで聞くようになっているのでしょうか?簡単に調べてみると、ランサムウェア自体は1989年くらいまで歴史はさかのぼるようですが、業界の本格化、高度化、一般化はやはりここ数年のトレンドのようです。
逆に言えばなぜ今までランサムウェアの被害がそこまで広がってなかったのでしょうか?大きな理由の一つとして、ランサムウェアを使用するハッカーにとって、安全に確実に脅迫の支払いを受け取るのが難しかったという背景があります。
例えば、映画やドラマなどで、物理的に誘拐した人質との引き換えの支払いのシーンなどを見たことはあると思いますが、身代金を現金で受け取る場合、犯罪者にとってこのポイントが非常に大きなリスクとなります。
では、デジタル上で支払いを受けとればもっと簡単で安全なのではないかということで、過去にも様々な方法が試されてきたようです。銀行振込、Payapal、電話番号を利用した様々な送金システムの利用、匿名プリペイドカード、などなど…。ただし共通の問題点として、それらの送金システムは基本的に口座の開設や支払いの受け取り時に本人の身分確認を必要とするものがほとんどで、身元がそこから割れてしまう大きなリスクがハッカーにはありました。また、後日支払いが無効にされてしまう可能性、もしくは国境をまたぐ(特に小中規模の)送金要求が難しかったり、なども挙げられます。
つまり、ランサムウェアというコンセプト/犯罪は数十年存在しながら、産業化しなかった理由は、「支払いシステムの摩擦」により、ハッカーに攻撃をする経済的インセンティブが乏しかったから、とも言えます。
ではこの数年で何が変わったのか?この時点ですでに予想がついてると思いますが、ビットコインの登場により上記のようなハッカーの問題が解消されたことが、ランサムウェア業界の爆発的拡大の主要因になっています。
支払いの受け取りに本人確認などを必要とせず誰でもアクセス可能で、国境などに縛られず世界中どこでもインターネットを通して比較的安価で高速な支払いを実現したビットコインの誕生は、思いがけずランサムウェアのビジネスモデルも確立してしまったことになります。
ビットコインがランサムウェア業界に与えた影響
ビットコインの使用、受け取り自体には本人確認が不要で、かつ国境や営業時間なども無関係にいつでもどこでも送りたい相手に送金が出来るのが特徴です。そしてそれを管理する特定の国家や機関、企業なども存在せず誰でも使用できます。
これにより、ハッカーにとって以下のような革命が起きました
- ビットコインの(半)匿名性などを利用することで、その他の支払い受け取り手段に比べ身元が特定されるリスクが減った
- 支払いを拒否されたり、後からキャンセルされたり変更されるリスクが減った
- 世界中どこからでも少額からの支払い要求が可能になり、よりグルーバルに、単価が低い中小企業や個人PCへの一斉攻撃などへのインセンティブが強まった
- 上記の特性を持つビットコイン及びその他の暗号通貨の検閲や閉鎖は設計上難しく、この手段を利用した長期的なビジネスモデルを構築出来るようになった
それぞれ簡潔に補足すると、
1.よくビットコインは匿名性が高いと言われますが、完全な匿名ではなくむしろ暗号通貨の中では匿名性が低い方でもあるのですが、優秀なハッカーなら様々な方法を駆使して高い匿名性を保ったまま、ビットコインでの支払いの受取と現金などへの換金をすることが出来ます。これは銀行振込やPaypalなどの規制された中央集権的な仕組みと比べ、ハッカーにとってビットコインの大きな優位点となります。
2.ビットコインの特性を「検閲耐性」(Censorship resistance)とか業界内で言ったりすることもありますが、ビットコインは外部からの圧力で送金を拒否したり、変更したりすることが難しいです。誰でもどのような用途、理由でも送金をする自由があるとも言えます。
3.ビットコイン以前は、例えば1万円~10万円程度の比較的小さい金額の要求はハッカーへのリスクに対してメリットが少なかった状態から、ビットコインの出現で身元特定リスクが減少するだけでなく、インターネットを通してどこの国からでも安価で素早い送金が可能になりました。これによりよりグローバルに、規模の小さい企業や個人などへの攻撃インセンティブが強まりました。
4.ビットコインはその設計上外部からの攻撃や圧力による変更が難しいという側面があります。要は潰したくても簡単に潰せないわけです。ハッカーにとっては、この性質のおかげで長期的にビットコインの支払いに基づくビジネスプランを設計できることになります。
端的に言えば、匿名性、検閲耐性などのビットコインの特性を生かすことで、より新しい、より効率的な収益モデルを作れるとハッカーが気づいてしまい、それがここ数年のランサムウェアの被害拡大につながっているわけです。
すでに調査結果も出ており、Carbon Black社の調査によれば、2015年のランサムウェアの企業への被害総額(実際にハッカーに支払われた金額)は、2015年に約25億円だったのに対し、2016年には900億円相当にまで激増しています。そして、2016年に最も猛威を振るった「Locky」というRansomwareの種類の一種は暗号化したデータの解錠キーの引き渡しの支払いをビットコインで要求するタイプのランサムウェアでした。
ランサムウェア業界のビジネス化、本格化の例は他にもいくつもあり、中にはMalware as a serviceなどと言って、他の顧客(ハッカー)にマルウェアのソリューションをパッケージとして提供したり、業者の中には非常にわかりやすいFAQやビットコインの入手方法、身代金の支払いフローをホームページに掲載していたり、数か国語に対応した丁寧なカスタマーサポート部門をつけているところもあるらしいです。非常に良心的ですね笑
(ちなみに金額の値引き交渉にも丁寧に対応してくれるらしく、交渉すれば平均で30%程度値引きしてくれるというデータもあるので、被害にあった人はまずはカスタマーサポートに連絡し、値引き交渉をした方がいいですよ!)
すでにものすごい勢いで拡大しているランサムウェアの世界ですが、支払い手段が確立されたこと、今後さらに色々なものがインターネットにつながっていくことなどを考えると、被害額はむしろさらに加速していくのではないでしょうか?例えば、自動運転で車を運転していたらいきなり遠隔で車が乗っ取られ、閉じ込められた状態で「ビットコインで5分以内にこのアドレスに支払わないとこのまま全力で対向車に突っ込むぞ」とか脅される、Sci Fi映画みたいな展開が実際に起きたとしても、驚きはしません。
ビットコイン禁止は意味はあるのか?
ここまで話を聞くと、「何てひどい話だ、ビットコインは禁止されるべきだ」みたいなことを考える人もいるかもしれませんが、ビットコインを禁止したところで何も意味はありません。
例えば、一般ユーザーやビジネスのビットコイン使用や購入を禁止したところで、そんなことはハッカーの知った話ではないですし、彼らはすでに国境を越えて簡単に支払いを受ける手段がこの世に存在しているということを理解しているので、変わらずにビットコイン(もしくはその他の暗号通貨)で支払いを要求してくるでしょう。
ハッキングの被害者の方も、人命や機密、個人のプライバシーなどがリスクにさらされている場合、禁止されていようがなんとしてでも支払い用のビットコインを入手しようとするでしょう。ハッカーへのインセンティブ構造が変わらないのに、ビットコイン禁止などをしたところで、ビットコインの入手にかかるコストを引き上げるだけで、被害者にとっても問題が悪化するだけです。(世界中一律で禁止など出来るなら微妙に話は変わりますが)
むしろ現実的にはすでに逆の動きが起きており、企業はいざという時に備え、ランサムウェアの支払い用にビットコインをむしろ購入し始めている、という報告もあります。
ビットコインの革新性とは?
上記で見た通り、ランサムウェアの支払い要求にビットコインが使われ、それによる被害の拡大もおそらく止まることはないです。ひどい話だと終わらせることも出来ると思いますが、モラルの話を抜きにすればこれはビットコインの真の特徴を理解する上での興味深いケーススタディとも見れます。
今回のランサムウェアのケースで考えると、ハッカーは「誰でも使え」「誰にも管理されない」「誰にも潰せない」ビットコインの検閲耐性とパーミッションレス(誰からも使用の許可を必要としない)な性質を理解して、上手く応用していると言えます。送金のコストやスピードに関しては既存の仕組みや中央主権的なものでもいくらでも改善できますが、上記のような特徴はビットコインが初めて可能にした新しい領域で、ビットコイン(もしくはその他の暗号通貨)にしか存在しない優位性です。「ビットコインに実用的なユースケースがない」という批判もありますが、皮肉なことにランサムウェアの支払い手段と、被害時の支払い用保険というだけでも、絶対になくなることのない需要とユースケースが実はすでに最低でも一つ存在するのです。
ビットコインの根本的な革新性、強みはランサムウェアの例のように、今まで存在し得なかった市場が形成されること、支払いの摩擦や規制や腐敗などにより歪められた市場の最適化と市場価格の再発見と考えると面白いです。
例えばランサムウェアのケースで考えると、元々企業や個人が本来セキュリティーにかけるべき対策コストが不足していたが、支払い部分の摩擦によりハッカーの攻撃インセンティブが低く、結果として被害もそこまで多くなかった。ところが、ビットコインの出現により摩擦が解消され、市場原理により本来セキュリティにかけるべき適正なコストが発見された、といった風に見ることも出来ます。
ビットコインは誰でも参加できて使用に許可も登録も必要なく誰にもコントロールされてないものだからこそ、悪用も含めて予想していないような利用方法が生まれたり、今まで不可能だった全く新しい市場が発見されたり、過剰な規制や腐敗などで歪んだ市場への迂回手段になりえるわけです。
これは巷で騒がれている、管理者が存在し、使用許可などを必要とする(プライベート)ブロックチェーンと、ビットコインおよびその他のパブリックブロックチェーンと明確に切り分けて考えるべき部分です。ブロックチェーンは様々な領域でコスト削減や効率化に寄与できるのではないかと期待されたりもしますが、使用の許可の必要性やアクセス制限のないパブリックブロックチェーンと比べると、全く新しい市場の形成などは起きづらいといえるかもしれません。似たような状況は、昔のインターネット vs AOL(パブリック vs 許可型)を引き合いによく議論されたりもします。
(ちなみに、プライベートチェーン上では当然ランサムウェアの支払いなどは発生しえないですよね)
ビットコインのようなパブリックチェーンとプライベートチェーンの比較、向き不向きなどはここでは詳しく議論はしませんが、繰り返しになりますがビットコインをその他の技術とコストやスピードだけで比較するのはやはりずれているわけです。
最後に
当然自分は犯罪行為を奨励しているわけでもないですし、むしろ自分も被害者になる可能性もあるので恐ろしい話だと思っています。また、悪用だけでなくビットコインを利用したもっと社会的に有益なサービスが出てくることを期待してますし、事実世界中の起業家などが日夜新たなサービスの開発などに取り組んでいます。悪用は結局なくならないですが、いずれは社会にとっても役に立つ画期的なサービスの価値がネガティブな側面をはるかに上回っていくでしょう。悪用されると言って制限したところで、結局インターネットだって車だってスマホだって日々犯罪に悪用されているわけで、逆に言えば悪用すらされない技術が社会のインフラになるとも思えません。
また、今の時点では支払い手段として不適と言いましたが、ライトニングネットワークなどのブロックチェーンの外でのトラストレスペイメントなどの技術が発達することで、ビットコインを利用した非常に安価で高速なペイメントは遅かれ早かれ完成すると思っているので、そこに関しても楽観的ではあります。
ただしいくらコストやスピードが改善されたとしても、やはりそこが本質的な革新性でもビットコインが抱える本当の課題でもないというところを、ビットコインがペイメント手段として注目され始めているからこそ強調しておきたいです。ビットコインとは突き詰めれば効率的な送金の話ではなく、送金や資産保有の権利、解放、自由に関する革新です。
今後ランサムウェアに関するビットコイン悪用報道みたいなのも多く出てくると思いますが、そんな風に考える人はほとんどいないと思いますが、そのたびにビットコインとは何なのかを考え直してみると面白いかもしれません。
それでは。
***
このブログではトークンを使った実験として、寄付+トークンという切り口で実験をしています。この記事が役にたった、もしくは面白かった場合は、上記の寄付ボタンをクリックして、IndieSquare Walletからビットコインで是非寄付をお願いします!このブログの独自コインCNPCOINをお返しします。
CNPCOINを集めると、CNPCOINを持っている人にしか見れないトークンフォーラムで自分のぶっちゃけ話を読めたり、トークンを使ったブロックチェーンゲームのカードの購入などに使えます!CNPCOINについて詳しくはこちらのページを参考にしてください。(もしくはサイドバーのCNPCOINについてという部分)
また、寄付金額やこのブログのアクセス数の推移により、お返しのCNPCOINのレートは変わっていきます。(初期に応援してくれる人ほどインセンティブがあるようにしています)最初は、CNPCOIN=1円から始めて、2016年8月時点でCNPCOIN=3円のレートでビットコイン寄付に対してお返ししています。