「まさか自分が狙われることはない」その隙を狙うサイバー攻撃の脅威
2023年10月9日
仕事でもプライベートでも、私たちの生活にはインターネットが浸透している。スマートフォンがなければ日常生活がままならないほどだ。それと同時に、個人も企業もサイバー攻撃の脅威に晒されている。
では、どのような脅威があるのだろうか?サイバーセキュリティの重要性がこれまで以上に叫ばれる一方で、その脅威は見えにくいものかもしれない。
神戸大学大学院 教授で工学博士の森井昌克氏は、その理由を、「自分は攻撃を受けるような立場や資産があるわけではないし、自社も攻撃を受けるような大企業でもない。サイバー攻撃なんてテレビや映画の中の遠い出来事」と捉えている人が少なくないからだという。そんなサイバーセキュリティの現状と向き合い方について、同氏に訊いた。
インターネットとサイバーセキュリティの歴史
ー 森井先生のご専門は情報通信工学で、インターネットや衛星通信といった通信方式を開発されていると伺っています。さらに、サイバーセキュリティの分野でも活躍され、2020年には「情報セキュリティ文化賞」を受賞されていますね。
私がサイバーセキュリティに目を向けたきっかけは、学生だった1980年代、一部の大学や大企業にインターネットが入ってきたことだったでしょうか。海外の研究者とのやりとりは、エアメール(航空郵便)を使って1〜2週間かけて封書で送っていたのに、電子メールを使えば瞬時に送受信できるようになった。感動しましたよ。
当時は今のようにインターネットは一般的ではなく、セキュリティを心配する声も少なかったのです。学術機関や大企業の研究者が主なユーザーだったので、性善説に基づいて利用されていたこともあるでしょう。
ー 今では、ランサムウェアなどの攻撃は高度になり、多様化し、頻度も上がっています。
利用者の増加に伴って、インターネットの世界でも安全性を確保する必要があるという考え方に変化してきました。インターネット元年といわれる1995年以降からですね。ただ、当初はウイルスといってもイタズラのようなものが多かった。2000年あたりから、個人情報を盗んで詐欺に利用するためのものや、企業の機密情報を盗むためのもの、政治的な活動家がその手段とするものなどが出てきました。
さらに大きな変化が起きたのは、スマートフォンの普及とクレジットカードを使ったインターネットショッピングが当たり前になってからだと思います。他人のIDとパスワードを不正に取得して物品を購入するような、金銭を目的とした犯罪組織が増えてしまった。最近では、ランサムウェアを使った犯罪が増えています。
ランサムウェア自体は以前からありますが、ここ数年で増えている背景には、ランサム(身代金)を仮想通貨で受け取ることができるようになったことが影響しているでしょう。仮想通貨が登場する前は、金銭の受け渡しには、金融機関を使うか物理的に接触するかしか方法がありませんでしたが、これは身元を特定しやすい。しかし、仮想通貨の場合、匿名性が高く追跡が難しい。このような事情が、このところのランサムウェア攻撃増加の背景にあるとみています。
日本がターゲットにされる理由とは?
ー 大企業だけでなく中小企業でもDXが進みつつあります。デジタル化やクラウド化のトレンドは、サイバーセキュリティにどのような影響を与えているのでしょうか。
デジタル化は、サプライチェーンや業務フローの改善による効率化、労働環境の改善による働きやすさ向上といった企業活動の多くの場面でメリットがあります。同時に、悪いことを考える人にとってもメリットがあるのです。例えば、オンライン会議やオンライン決済が浸透していくことで、インターネットを介して他人が入り込める余地ができてしまいました。
特に、中小企業の多くは、取引先の大企業からデジタル化を要請される一方で、セキュリティ対策が必要といわれても資金は豊富ではないし知識も不足しがちです。さらに、セキュリティ対策自体は、何か利益を生むわけではなく、十分な対策を取らなかったとしてもすぐに被害に遭うとは限らない。そうなると、どうしても対応が後回しになってしまうのです。
ー となると、自社や周りが実際に被害に遭って、そこで初めてセキュリティ対策の重要性に気付くこともあり得ますね。
そのようなケースもあるでしょうね。日本では「水と安全はタダ」といわれてきましたから、“自分で守る”という意識よりも、“誰かに守ってもらう”という意識の方が強いのかもしれません。さらに、不正アクセスやサイバーテロなどの脅威に対して、「自分たちは大事な情報を持っていないし、重要産業ではない。狙われるわけがない」と考える中小企業も多いですよね。
ー 長年、日本は言語の壁があるのでサイバー攻撃を受けにくいといわれていましたが、それも変わりつつあるということでしょうか。
はい。少し前までは、不正アクセスやサイバー攻撃などの脅威が世界中で発生する中で、日本は比較的安全でした。その大きな理由の一つは、おっしゃる通り言語形態が全く違うから。漢字を使う日本語などの言語圏とアルファベットのみの言語圏では、文字コードが違いますし、同じOSでも仕様が同じではありません。技術的な問題として不正アクセスが難しかったのです。
攻撃者が送りつけてくる言語についても、これまではコストをかけず自動翻訳を使っていました。おかしな日本語のメールが送られてきた経験は、皆さん一度や二度ではありませんよね。ところが最近では、攻撃者が資金を投じて自然な文言を使える環境を整えつつあり、一回読んだ程度では攻撃者からだと分からないようになってきています。
欧米ではもともと“自分の身は自分で守る”という考え方が一般的で、欧米企業には、自社で防御しなければならないという意識が浸透し、セキュリティ対策に力を入れています。それでもランサムウェアの被害が数多く報告されているのが実情です。
一方で、日本は欧米と比べて、前述の通り“自分で守る”という意識が育まれておらず、最近になって、このような日本の意識と脆弱性が海外に広く知られてしまいました。攻撃者も「大企業や政府はそれなりのサイバーセキュリティ対策を講じているようだが、中小企業や個人はセキュリティの意識が低いぞ」と気付き、日本をターゲットにするようになりました。今、フィッシング詐欺で最も狙われている国は日本です。防御していないだけでなく、「信じやすいので騙されやすい」という文化的な側面もあるでしょう。こういったことから、大きな被害が出てきているのです。
サイバーセキュリティと同様に重要なBCP
ー 2022年には自動車メーカーのサプライヤーを狙ったサプライチェーン攻撃が注目を集めました。
サプライチェーン攻撃の脅威は以前からありました。自動車にしても電気製品にしても、一つの製品はさまざまな企業が製造する多数の部品で成り立っています。一つでも部品が欠けたら製品はつくれなくなってしまう。何かしらの供給が止まれば、サプライチェーン全体が動かなくなってしまうというのが、サプライチェーン攻撃によってもたらされる脅威です。
2022年の事件は、大手自動車メーカーA社の協力会社(サプライヤー)である企業B社がランサムウェア攻撃に遭い、A社の国内工場が停止したというものでした。B社が供給する部品はB社のみからの供給であり、他社から急遽供給できなかったのです。
攻撃によって停止したのは、B社で受発注を管理しているサーバーでした。工場が爆破されたわけではないので部品はつくれます。しかし、部品の品質保証などもすべてデジタル化していたため、結果としてつくれなくなってしまった。それだけでなく、B社からA社にランサムウェアが感染している可能性もあり、ラインを止めざるを得なかったのです。なお、B社がランサムウェアに感染した原因も、その子会社であるC社からの感染でした。
部品が供給されないA社は、やむをえず、国内10以上の工場を停止することになりました。生産台数にして1万台以上、直接的な被害だけで200億円ともいわれています。
ー まさしく、サプライチェーン攻撃の脅威です。自社への攻撃が、サプライチェーン全体、その先にいるユーザーに対してまで影響をおよぼしています。
企業は、その脅威を認識しておかなくてはなりません。さらに、ここで私が重ねてお伝えしたいのは、サイバーセキュリティ対策に加えて、BCP(事業継続計画)も備えておくことです。どんなにしっかりとしたセキュリティ対策をとっていても、「万が一」があるかもしれない。その際の対処をしっかり準備しておくことで、ビジネスへの影響を最小限に抑えることができるはずです。
先述の事件では1日工場が停止しましたが、その1日を1時間に縮める方法があったかもしれません。大事なシステムが止まってしまったら、まず何をするのか、どのような手順で復旧させるのか。「サイバーセキュリティ対策をとったから安心」ではなく、その上でBCPを検討しておくことが大切なのです。
私たちは情報革命の真っ只中にいる
ー インターネットをはじめとするデジタルの進化はとても速いですよね。そのスピードと現状に、社会のルールが追いついていないともいわれます。
そのような意見を聞くことは少なくありませんが、インターネットが社会に広がり始めて、ほんの20年〜30年しか経っていません。そんな短期間でしっかりとしたサイバー社会ができるわけがない。今、私たちは情報革命の真っ只中にいるのです。
人類が誕生してから、農業革命があり、産業革命があり、そして今、情報革命が起きています。変化の中にいると気付きにくいかもしれませんが、サイバーテロ、不正アクセス、匿名での誹謗中傷など、多くの問題が生じています。私は、短く見積もっても、多くの問題が落ち着くのにあと数十年はかかるとみています。
ー 私たちはまだ、サイバー社会をつくっている段階ということですね。
そうですね。例えば、人工知能はこれからも発達し、生成AIは今後もっと進化するでしょう。何かを知っているということが優位性につながらなくなります。調べれば分かることですから、極論を言えば何かを覚える必要すらないかもしれない。ただ、サイバー社会には嘘も蔓延しています。何かを調べるときに、本当のことを見極める力が必要になります。
また、基本的にサイバー空間には国境がありません。世界中の人が住民になり得ます。犯罪も同じで、例えば、空き巣に入ろうとした際、調べ回れる家は、1時間でせいぜい数十件。ところが、インターネットの場合、1時間もあれば接続している世界中のPCの脆弱性を調べることができてしまう。技術さえあれば、犯罪のネタを1時間で世界中探し回れるのです。
つまり、“まさか自分や自社が狙われることはない“と考えるのは間違いで、世界中のどこからでも攻撃はやってきます。しかも、弱いところから攻撃されてしまう。不安定な情報革命の真っ只中だからこそ、私たちは、“自分の身は自分で守る”という意識を強く持ちたいですね。その上で適切な対策をとり、万が一の対応も検討しておくべきではないでしょうか。