国内屈指のホワイトハッカーが警鐘 ガラパゴス化する日本のサイバーセキュリティ

国内屈指のホワイトハッカーが警鐘 ガラパゴス化する日本のサイバーセキュリティ

守井浩司氏

 ネット空間で暗躍するハッカーたちは連日、最新テクノロジーを駆使したサイバー攻撃で各国の経済活動を危機に陥らせている。企業秘密や個人情報を“人質”に取り、法外な身代金を要求するのだ。日本を狙う彼らの実態と処し方を、国内屈指の専門家が解説する。

 ***

 サイバー攻撃では、自分たちがどんな攻撃を受けたのか、何が原因なのかを個人や企業で判断することは困難です。ようやく「サイバーセキュリティ」という言葉こそ定着してきましたが、一方でその必要性を正確に、現実に即して理解している経営者や企業の担当者は極めて少ない。残念なことに、技術的にも2世代前の“遺物”を使っているイメージがあります。

〈世界中を一瞬で結ぶインターネットは、電気やガス、水道などと同様に、国民生活に不可欠な生活インフラと化している。その重要性は年々増すばかりだが、それを悪用したサイバー攻撃は日々、巧妙かつ悪質に進化し続けている。〉

 私は2005年に、サイバーセキュリティを担ういまの会社を立ち上げました。企業やメディアがサイバーセキュリティの重要性を認識しだしたのは、ごく最近ではないかと思います。当社のサイバーセキュリティ事業において多くの顧客に支持されるサービスは、「セキュリティ診断」と「フォレンジック」の二つです。

 セキュリティ診断は、事故につながる脆弱性や設定の不備などを事故が起こる前に調査するもので、フォレンジックは実際に事故が起こった場合に、その事故の経緯や盗まれた情報が存在するかなどを調査するもの。その他で柱となっているものは、「監視業務」です。事前に講じた対策で、外部からの攻撃を正しく抑制・無害化できているか、被害が発生していないかを確認するもの。監視業務は24時間態勢で行っています。


■復旧させる代わりに金銭を要求するウイルス


〈守井浩司氏が代表を務めるレオンテクノロジー(本社・東京)は、言うなればホワイトハッカー(サイバー攻撃からの防御策を講じる専門家)の集団だ。大手金融機関や運輸関連の企業をはじめ、業種を問わず幅広い顧客を持ち、日々、グローバルなセキュリティサービスを提供している。守井氏によると、ここ数年で最も相談が多いサイバー攻撃は「マルウェア」を利用したものという。

 マルウェアとは「不正に有害な動作を行う、悪意をもって作られたソフトウェアやコード」の総称で、「ウイルス」「ワーム」「トロイの木馬」「スパイウェア」「キーロガー」「ボット」などがそれに当たる。中でも近年、世界中で大きな被害をもたらしているのが「ランサムウェア」と呼ばれるものだ。

 これは「身代金(Ransom)」と「ソフトウェア(Software)」を組み合わせた造語で、コンピュータを機能不全に陥らせ、それを復旧させる代わりに金銭を要求するウイルスの一種。独特な名前は、誘拐犯が人質と引き換えに金銭を要求する手口に似ているからである。〉


■五輪のドローンもハッキングの対象になり得た


 この手法で世界中の個人や企業から金銭を要求するハッカーたちにとって、先の東京五輪は自分たちの存在や技術の高さを世界中にアピールする格好の“舞台”でした。実際に、多くの組織や企業が先のオリンピック・パラリンピックの開催に乗じた攻撃の被害に遭っています。

〈世界中のハッカーたちは、東京五輪を利用することを計画していたという。およそ数十億人が視聴する一大イベントである五輪は、ハッカーにとっても自らの力量を喧伝できる打ってつけの機会だからだ。守井氏はネットワークやシステムの停止だけでなく、物理的な攻撃が実行されることも懸念していた。〉

 東京五輪では開会式のほか、サーフィンやスケボーなどの競技会場でもドローンが活用されました。数十台のドローンがパフォーマンスをしたり、競技を空撮するなど大活躍でしたが、とくに撮影用のドローン一式は、1台で16キロもの重量があります。ドローンには、位置情報を撹乱するような攻撃であるGPSスプーフィングなどのハッキング手法が懸念されており、その動きが乗っ取られれば、競技を妨害するだけでなく、選手や競技関係者の頭上に落下させることも可能でした。

 ドローンのプロペラはかなりの高速で回転しているので、人間の指くらいは簡単に切り飛ばしてしまいます。本体の直撃を免れても、プロペラが人間の身体に接触しただけで大ケガは避けられません。そのドローンも、ハッカーたちの攻撃対象になり得たのです。


■狙いは日本企業とインフラ


〈幸いにも、期間中にこうした事態は起こらなかった。その大きな理由の一つは新型コロナウイルス感染症のまん延で海外から実行犯が日本に入国できず、思うように協力者の確保ができなかったことと見られる。また、守井氏は多くの競技が無観客試合とされたことも見逃せないと指摘する。〉

 そもそも、世界中の人々が注視しているからこそ、ハッカーたちは攻撃をしたがります。ところが無観客となれば、そのインパクトは大きく下がる。それがハッカーにとっての動機喪失につながったことは間違いありません。先のドローンの話とも関連しますが、世界中のハッカーたちが情報の収集や交換をする「ダークウェブ」と呼ばれる特殊なサイトでは、こうした手法が議論されていた可能性も否定はできません。

 具体的に予想された攻撃の一つが、「電磁パルス攻撃(EMP攻撃)」と呼ばれるものです。電磁パルス攻撃とは、強力な電磁波によって電子機器などを機能不全に陥らせることを目的とした攻撃です。基本的には核爆発などにより発生するものですが、最近では某国が電磁パルス攻撃を可能にする兵器を開発したのではないか、との報告書も上がっているようです。

 もしそれが本当なら、ドローンはもちろん、携帯電話の基地局の精密電子部品などが標的にされる可能性もあります。電磁パルスは商用コンデンサーに過負荷をかけるなどの通常とは異なる使い方をしても、微弱ながら発生します。これだけではさほど意味は持ちませんが、ハッカーらが原理を応用して携帯電話の基地局や電波塔に攻撃をすることがあれば、スマホでの通話やデータ通信はもちろん、地上波のテレビ放送も途絶えかねません。


■なぜハッカーは公共性の高いインフラを狙うのか


 また、今年5月には、ランサムウェアを使ったサイバー攻撃でアメリカの大手パイプライン会社のシステムが停止し、5日間の操業停止に追い込まれました。仮に同様の攻撃が鉄道各社のシステムに行われれば、チケットの予約が停止したり、運行情報が改竄されて何万人もの利用者に影響が出ることもあったでしょう。とくにネットを利用した新幹線のチケット予約システムは、日本が世界に誇る極めて優秀なものです。もし、それがダウンして混乱に陥るような事態になれば、世界が高く評価している信頼が崩れることにもなりかねません。

 どうしてハッカー集団は、公共性の高いインフラを狙うのでしょうか。それは、何十万人という携帯電話のユーザーや鉄道の乗客を混乱させることに成功すれば、その事実で自分たちの力量を世界中に宣伝できるからです。とくに、旅客業をはじめとする日本の正確無比なシステムは海外でもつとに有名なので、ハッカーのコミュニティ内でも大きく注目されるのです。

 日本には自動車、鉄道、航空、家電などの各種メーカーだけでなく、ゼネコンやメガバンクなど、多くの世界的企業があります。といって、そうした大企業ばかりが狙われるとは限らないのがサイバー攻撃の世界です。


■顔見知りからのメール


 過去に、とある中小企業で実際に起きた例を紹介します。仮にA社としますが、我々のもとにA社から依頼が寄せられたのは去年の夏頃でした。「新製品にまつわる機密が漏洩したかもしれない」というのです。

 きっかけは取引先の担当者からの「やたらと御社から不審なメールが届きます。何かあったのですか」という問い合わせでした。すぐに社内で独自の調査を行ったところ、製造部門の幹部が不審な電子メールを開いていたことが分かりました。

 この幹部によると、メールの差出人は取引先の実在する人物でした。メールには単に「以前の件で資料を確認してほしい」と書かれているだけで、ファイルが添付されていました。それはワードのファイルだったそうです。

 その幹部は私たちに「メールが来るような案件に心当たりはなかったが、相手は顔見知りでもある。だから、とにかくファイルを開けば用件が分かると思った」と話していました。これはごく自然な対応で責めることはできません。ちなみに、このメールは差出人の情報が改竄されており、何者かが取引先の担当者を装って送りつけてきたものでした。

 もちろん、A社が使っていたすべてのパソコンには市販のウイルス対策ソフトがインストールされていました。ところが、その幹部が使用していたパソコンは動きがやけに遅くなったり、開いた覚えのないファイルが開かれた形跡があったり、不自然な動作こそ確認されていたものの、何の異常も検知されなかったというのです。

 結論から言えば、先のメールに添付されていたファイルにはウイルスが仕込まれていました。パソコンが感染した数時間後には、企業内のネットワークへの攻撃が開始されていたのです。

 私たちが調査の依頼を受けた時点では、すでに幹部のパソコンに保存されていた情報をはじめ、A社のファイルサーバーに保存されていたさまざまな情報にハッカーがアクセスした痕跡が残されていました。それこそ、新製品に関する機密データが東欧のとある国に設置されたサーバーに転送されていたのです。


■日本企業は常に世界中のハッカーから狙われている


 大企業はもとより、とくに中小企業にとっては独自に開発した技術やその情報は社の命運を左右するほど重要なものです。残念なことに、いずれどこかの国の企業から似たような製品が販売されるかもしれません。先の幹部は、私たちが「流出している可能性が高い」と伝えると、肩をガックリと落としました。

 これはあくまでも一例に過ぎません。日本の企業や研究施設が莫大な開発費を投じ、優秀な技術者たちが長年にわたって研究を重ねて生み出した新素材や新技術はハッカーたちの格好の餌食だからです。

 日本にはホンダが実用化したばかりのレベル3の自動運転技術があります。世界中のメーカーはこの上をいくレベル4に向けてしのぎを削っていますが、その研究者たちはホンダが開発したレベル3の技術を喉から手が出るほど欲しがっているはずです。他にも最近は世界レベルで、高度な技術が必要な生体認証システムへの関心が高まっています。日本電気(NEC)が開発したこのシステムも、大きな注目を集めているでしょう。こうした日本企業の“虎の子”は、常に世界中のハッカーから狙われています。それがサイバーセキュリティの世界の現実なのです。


■250億円の制裁金


〈サイバー攻撃による被害は、世界で毎日のように報じられている。日本でも、10月末に徳島県の公立病院がランサムウェアに感染させられて、院内の情報が暗号化される被害を受けたばかりだ。毎日9億回も実施されるという攻撃から、我々はいかにして貴重な情報や財産を守るべきなのか。この点について守井氏は、とくに企業人の意識を大きく変える必要があると指摘する。〉

 大切なのは普段からしっかりセキュリティを施すこと。もちろん、それにはある程度の費用が必要です。ところがいまだに多くの日本企業はサイバーセキュリティに予算を割くことを極端に嫌がる傾向にあります。マーケティングや広告、宣伝には多額の予算を費やす一方で、奪われれば数億円もの身代金を要求されることもある、製品の機密や顧客の個人情報などの保護にはお金を使いたがりません。

 その最大の理由は、情報に関する意識が低いからです。過去には複数の大手企業が数千人から数十万人もの個人情報を流出させたのに、顧客への「お詫び」と称して500円のプリペイドカードを送って事なきを得たような顔をしているケースがありました。このような企業は後を絶ちませんが、背景には経営者や担当者に「目に見える損害を被ったわけではないでしょ」という無責任な意識が、いまもはびこっているからです。

 私見ではありますが、ここまで意識が低い先進国は日本くらいではないかと考えています。EU(欧州連合)では16年に「一般データ保護規則(GDPR)」という個人データやプライバシーの保護に関する詳細な規則が定められました。それにより、情報漏洩事故を起こせば、その当事者に極めて多額の制裁金が科せられることも珍しくありません。実際、18年に約50万人の顧客データを流出させたイギリスの航空会社ブリティッシュ・エアウェイズは、自国の情報保護当局からおよそ250億円もの制裁金の支払いを命じられています。


■頑なに対策を講じない日本企業


 日本でも、来年4月に改正個人情報保護法が施行されますが、これでどこまで日本人の意識が変わるかは未知数です。というのも、日本にはサイバーセキュリティに関する費用を「無駄なコスト」と見なしている経営者や担当者がとても多い。自宅にカギをかけるのと同じように、ネットにも侵入者を防ぐ措置を講じることは当然のこと。しかも、狙われるのは、企業の信用を致命的に傷つけるばかりでなく、その後の経営に計り知れない損害をもたらすものばかり。にもかかわらず、頑なに対策を講じようとしないのが不思議でなりません。

 こうした私の主張は一種の脅しや、或いは宣伝のように聞こえるかもしれません。しかし、これがサイバーセキュリティの世界における常識であり、世界の潮流です。いずれは日本も、情報の流出や収奪を防ぐ取り組み自体が企業価値や信用を高める社会に変わっていきます。サイバーセキュリティ対策は責任ある企業の義務であり、同時にその有無で企業の価値が判断される時代が目前に迫っているのです。

 インターネットが地球上からなくならない限りハッカーの攻撃は続きますし、どんな企業や個人も、その対象になり得ます。一人でも多くの人がサイバーセキュリティの本質と対策の必要性を理解し、一日も早くガラパゴス化した甘い認識を改めてほしい。それが専門家である我々の願いです。

守井浩司(もりいこうじ)
レオンテクノロジー代表。1981年、京都府生まれ。2005年に各種サイバーセキュリティ事業を展開する株式会社レオンテクノロジーを設立。自身も最前線でセキュリティインシデントへの対処に従事する傍ら、サイバーセキュリティの第一人者としてホワイトハッカーの育英や啓蒙活動に尽力している。

「週刊新潮」2021年11月25日号 掲載

関連記事(外部サイト)