――今は最優先事項として、つながっていないとユーザーに文句を言われる。つまり「A」が先頭に来たわけですね。
リモートワークなんてまさにそうでしょう。銀行の決済にしろ、自動運転にしろ、システムやネットへの接続が切れると話にならない。PayPayもそうですよね。スマホの中にお金があるわけだけど、これがつながらなければなんの価値も発揮しない。可用性、つながっていることを前提のサービスを提供するようになってきた。そこを犯罪者が突いてきている。
世にある便利なサービス、すべてが完全なセキュリティーを備えて出てきているならいいが、必ずしもそうじゃない。ネット業界には生み出された時から完全なプロダクトというものはない。マイクロソフトやアップルといった大企業も、頻繁にアップデートを繰り返して、そのたびにパッチを当てる(システム上の欠陥・穴を塞ぐ)作業をしている。
だけど今、ソフトウェアの数が圧倒的に増えている。種類も量も膨大だ。攻撃する側は「どこから入るのが一番楽かな」と観察しているので、ソフトウェアの増大はすなわち、侵入経路の増大だ。脆弱性がわかっているけどパッチがきちんと当てられていない、みたいなところを見つければ、ゼロデイ攻撃(攻撃を受けたことによって初めて脆弱性が発見されるもの)という、先般の三菱電機のような事態につながる。
パッチを当てずに攻撃されたケースが増加
――犯罪者はどこかを見破ればいいけど、守る側は全部見ないといけない。これは管理がすごく難しく、守る側にリソースの問題が生じるということですね。
2019年に、なぜそんなに脆弱性を突く攻撃が増えたか。これは未知の脆弱性を攻撃者が見つけたパターンもあるが、それだけではない。
既知の脆弱性について、似たようなシステムを使っているほかの会社できちんとパッチを当てていなくて、それを放置していたために攻撃されたというパターンも散見された。後者は攻撃者からすると発見しやすいし、攻撃のためのツールも簡単に横展開できてしまう。
パッチをきちんと当てていない、ソフトウエアをアップデートしていないという事態は、中小企業ではよくあることだ。そもそも最近は攻撃の手数も圧倒的に多い。メールやファイル、URLなどルートも多様だ。ITセキュリティー大手のトレンドマイクロは2019年、法人・個人の顧客を合せて総額520億円規模のサイバー犯罪被害を止めているという。ほかの大手も同じかそれ以上だとすれば、ものすごい量の“犯罪の芽”だと思う。
ログインはこちら