コラム

第167回

セキュリティ対策

　サイバー攻撃とセキュリティ対策の歴史は終わりのないイタチごっこだ。ちなみに、イタチごっことは「同じようなことを繰り返すだけで決着がつかないこと」という意味で、もともとは江戸時代後期の遊びとして２人が互いに相手の甲をつねり、その手を上のほうへと重ねていく様子がイタチのようだったからという。しかし、サイバー攻撃の行為は遊びで許されるものではない。

　2025年に起きた重大セキュリティ・インシデントと言えば、ランサムウエアによる被害であろう。ランサムウエアとは、身代金（Ransom）とソフトウエア（Software）を組み合わせた造語で、ウイルス感染したコンピュータのデータを暗号化し、その解除と引き換えに金銭を要求するマルウエアの一種である。近年では、データを暗号化するだけでなく、盗み出した機密情報を公開すると脅す手口もある。アサヒとアスクルが被害に遭ったことは心苦しいし、脅威に感じる。アサヒの場合は、VPN（Virtual Private Network）装置の脆弱性を突いて侵入し、ネットワークを探索して脆弱なパスワードを破るなどして複数のコンピュータへの侵入を繰り返し、最終的にはサーバーの管理者権限を奪取したとされる。アスクルの場合、初期侵入はランサムウエア発動の４カ月以上前で、業務委託先のアカウントからアクセス権限を使って侵入したとされているが、具体的なことは明らかになっていない。セキュリティ対策が万全そうな大企業であっても被害に遭うのである。

　ランサムウエアの脅威は増大を続けており、大企業に限らず、むしろ中小企業、とりわけ医療・証券業界が狙われているようだ。フィッシングなどのメール起因の場合、これまでは不慣れな日本語表現やフォントで怪しいことに気づき防御できた。生成AIが使われる現在は、もうそうはいかない。例えば、役職や業務内容に合わせて生成された自然な文体のフィッシングメール、正規の業務を模した添付ファイル型の攻撃、個人の興味を反映したパーソナライズ型の攻撃も増えている。AIを悪用した攻撃の高度化が進み、恐喝型が増加しているそうだ。生成AIによる文章生成の高度化は、私たち日本人にとってとくに注意が必要。最近、私にも会社の代表者を名乗って、「今、オフィスにいますか」と気さくな文章で不正なURLに誘導するメールが届いた。うっかり返事をすると攻撃者の思う壺なのだろう。

　私たちの生活は、言うまでもなく安全性が保たれていることで成り立っている。一方で、日々の行動を考えてみれば、パスワード入力や多段階認証、スマホのロック解除、注意しながらのメール閲覧、さまざま面倒な作業が安全確保のために必要となっている。コンタクトセンターにも、ログインの方法やパスワードが分からないという問い合わせが多い。これらの守りに使っているトータル時間を考えると相当量だろう。今後、サイバー攻撃の技術が高度化する中、私たちは資産を守っていけるのだろうか。

　米国に比べると日本のセキュリティエンジニアは少なく、日本の消費者は警戒心が薄いと言われている。デジタル化が進む一方で、デジタルツールを利用するすべての人が注意しながらの日常が続きそうだ。