「まさか自分が狙われることはない」その隙を狙うサイバー攻撃の脅威

仕事でもプライベートでも、私たちの生活にはインターネットが浸透している。スマートフォンがなければ日常生活がままならないほどだ。それと同時に、個人も企業もサイバー攻撃の脅威に晒されている。

では、どのような脅威があるのだろうか？サイバーセキュリティの重要性がこれまで以上に叫ばれる一方で、その脅威は見えにくいものかもしれない。

神戸大学大学院 教授で工学博士の森井昌克氏は、その理由を、「自分は攻撃を受けるような立場や資産があるわけではないし、自社も攻撃を受けるような大企業でもない。サイバー攻撃なんてテレビや映画の中の遠い出来事」と捉えている人が少なくないからだという。そんなサイバーセキュリティの現状と向き合い方について、同氏に訊いた。

利用者の増加に伴って、インターネットの世界でも安全性を確保する必要があるという考え方に変化してきました。インターネット元年といわれる1995年以降からですね。ただ、当初はウイルスといってもイタズラのようなものが多かった。2000年あたりから、個人情報を盗んで詐欺に利用するためのものや、企業の機密情報を盗むためのもの、政治的な活動家がその手段とするものなどが出てきました。

さらに大きな変化が起きたのは、スマートフォンの普及とクレジットカードを使ったインターネットショッピングが当たり前になってからだと思います。他人のIDとパスワードを不正に取得して物品を購入するような、金銭を目的とした犯罪組織が増えてしまった。最近では、ランサムウェアを使った犯罪が増えています。

ランサムウェア自体は以前からありますが、ここ数年で増えている背景には、ランサム（身代金）を仮想通貨で受け取ることができるようになったことが影響しているでしょう。仮想通貨が登場する前は、金銭の受け渡しには、金融機関を使うか物理的に接触するかしか方法がありませんでしたが、これは身元を特定しやすい。しかし、仮想通貨の場合、匿名性が高く追跡が難しい。このような事情が、このところのランサムウェア攻撃増加の背景にあるとみています。

デジタル化は、サプライチェーンや業務フローの改善による効率化、労働環境の改善による働きやすさ向上といった企業活動の多くの場面でメリットがあります。同時に、悪いことを考える人にとってもメリットがあるのです。例えば、オンライン会議やオンライン決済が浸透していくことで、インターネットを介して他人が入り込める余地ができてしまいました。

特に、中小企業の多くは、取引先の大企業からデジタル化を要請される一方で、セキュリティ対策が必要といわれても資金は豊富ではないし知識も不足しがちです。さらに、セキュリティ対策自体は、何か利益を生むわけではなく、十分な対策を取らなかったとしてもすぐに被害に遭うとは限らない。そうなると、どうしても対応が後回しになってしまうのです。

そのようなケースもあるでしょうね。日本では「水と安全はタダ」といわれてきましたから、“自分で守る”という意識よりも、“誰かに守ってもらう”という意識の方が強いのかもしれません。さらに、不正アクセスやサイバーテロなどの脅威に対して、「自分たちは大事な情報を持っていないし、重要産業ではない。狙われるわけがない」と考える中小企業も多いですよね。

はい。少し前までは、不正アクセスやサイバー攻撃などの脅威が世界中で発生する中で、日本は比較的安全でした。その大きな理由の一つは、おっしゃる通り言語形態が全く違うから。漢字を使う日本語などの言語圏とアルファベットのみの言語圏では、文字コードが違いますし、同じOSでも仕様が同じではありません。技術的な問題として不正アクセスが難しかったのです。

攻撃者が送りつけてくる言語についても、これまではコストをかけず自動翻訳を使っていました。おかしな日本語のメールが送られてきた経験は、皆さん一度や二度ではありませんよね。ところが最近では、攻撃者が資金を投じて自然な文言を使える環境を整えつつあり、一回読んだ程度では攻撃者からだと分からないようになってきています。

欧米ではもともと“自分の身は自分で守る”という考え方が一般的で、欧米企業には、自社で防御しなければならないという意識が浸透し、セキュリティ対策に力を入れています。それでもランサムウェアの被害が数多く報告されているのが実情です。

一方で、日本は欧米と比べて、前述の通り“自分で守る”という意識が育まれておらず、最近になって、このような日本の意識と脆弱性が海外に広く知られてしまいました。攻撃者も「大企業や政府はそれなりのサイバーセキュリティ対策を講じているようだが、中小企業や個人はセキュリティの意識が低いぞ」と気付き、日本をターゲットにするようになりました。今、フィッシング詐欺で最も狙われている国は日本です。防御していないだけでなく、「信じやすいので騙されやすい」という文化的な側面もあるでしょう。こういったことから、大きな被害が出てきているのです。

攻撃によって停止したのは、B社で受発注を管理しているサーバーでした。工場が爆破されたわけではないので部品はつくれます。しかし、部品の品質保証などもすべてデジタル化していたため、結果としてつくれなくなってしまった。それだけでなく、B社からA社にランサムウェアが感染している可能性もあり、ラインを止めざるを得なかったのです。なお、B社がランサムウェアに感染した原因も、その子会社であるC社からの感染でした。

部品が供給されないA社は、やむをえず、国内10以上の工場を停止することになりました。生産台数にして1万台以上、直接的な被害だけで200億円ともいわれています。

企業は、その脅威を認識しておかなくてはなりません。さらに、ここで私が重ねてお伝えしたいのは、サイバーセキュリティ対策に加えて、BCP（事業継続計画）も備えておくことです。どんなにしっかりとしたセキュリティ対策をとっていても、「万が一」があるかもしれない。その際の対処をしっかり準備しておくことで、ビジネスへの影響を最小限に抑えることができるはずです。

先述の事件では1日工場が停止しましたが、その1日を1時間に縮める方法があったかもしれません。大事なシステムが止まってしまったら、まず何をするのか、どのような手順で復旧させるのか。「サイバーセキュリティ対策をとったから安心」ではなく、その上でBCPを検討しておくことが大切なのです。

そうですね。例えば、人工知能はこれからも発達し、生成AIは今後もっと進化するでしょう。何かを知っているということが優位性につながらなくなります。調べれば分かることですから、極論を言えば何かを覚える必要すらないかもしれない。ただ、サイバー社会には嘘も蔓延しています。何かを調べるときに、本当のことを見極める力が必要になります。

また、基本的にサイバー空間には国境がありません。世界中の人が住民になり得ます。犯罪も同じで、例えば、空き巣に入ろうとした際、調べ回れる家は、1時間でせいぜい数十件。ところが、インターネットの場合、1時間もあれば接続している世界中のPCの脆弱性を調べることができてしまう。技術さえあれば、犯罪のネタを1時間で世界中探し回れるのです。

つまり、“まさか自分や自社が狙われることはない“と考えるのは間違いで、世界中のどこからでも攻撃はやってきます。しかも、弱いところから攻撃されてしまう。不安定な情報革命の真っ只中だからこそ、私たちは、“自分の身は自分で守る”という意識を強く持ちたいですね。その上で適切な対策をとり、万が一の対応も検討しておくべきではないでしょうか。