コロナ後の日本を襲う「サイバー犯罪」の難題

セキュリティー軽視は国力を損なう大問題に

――今は最優先事項として、つながっていないとユーザーに文句を言われる。つまり「A」が先頭に来たわけですね。

リモートワークなんてまさにそうでしょう。銀行の決済にしろ、自動運転にしろ、システムやネットへの接続が切れると話にならない。PayPayもそうですよね。スマホの中にお金があるわけだけど、これがつながらなければなんの価値も発揮しない。可用性、つながっていることを前提のサービスを提供するようになってきた。そこを犯罪者が突いてきている。

中谷昇(なかたに・のぼる)/ヤフー 執行役員(政策企画、サイバーセキュリティ担当)。1993年警察庁入庁、情報技術犯罪対策課課長補佐などを歴任。2007年にインターポール(国際刑事警察機構)へ移り、情報システム・技術局長兼CISOなどを歴任。2012年にインターポールのサイバー犯罪対策組織INTERPOL Global Complex for Innovation(IGCI)の初代総局長に就任。2019年4月より現職(撮影:梅谷秀司)

世にある便利なサービス、すべてが完全なセキュリティーを備えて出てきているならいいが、必ずしもそうじゃない。ネット業界には生み出された時から完全なプロダクトというものはない。マイクロソフトやアップルといった大企業も、頻繁にアップデートを繰り返して、そのたびにパッチを当てる(システム上の欠陥・穴を塞ぐ)作業をしている。

だけど今、ソフトウェアの数が圧倒的に増えている。種類も量も膨大だ。攻撃する側は「どこから入るのが一番楽かな」と観察しているので、ソフトウェアの増大はすなわち、侵入経路の増大だ。脆弱性がわかっているけどパッチがきちんと当てられていない、みたいなところを見つければ、ゼロデイ攻撃(攻撃を受けたことによって初めて脆弱性が発見されるもの)という、先般の三菱電機のような事態につながる。

パッチを当てずに攻撃されたケースが増加

――犯罪者はどこかを見破ればいいけど、守る側は全部見ないといけない。これは管理がすごく難しく、守る側にリソースの問題が生じるということですね。

2019年に、なぜそんなに脆弱性を突く攻撃が増えたか。これは未知の脆弱性を攻撃者が見つけたパターンもあるが、それだけではない。

既知の脆弱性について、似たようなシステムを使っているほかの会社できちんとパッチを当てていなくて、それを放置していたために攻撃されたというパターンも散見された。後者は攻撃者からすると発見しやすいし、攻撃のためのツールも簡単に横展開できてしまう。

パッチをきちんと当てていない、ソフトウエアをアップデートしていないという事態は、中小企業ではよくあることだ。そもそも最近は攻撃の手数も圧倒的に多い。メールやファイル、URLなどルートも多様だ。ITセキュリティー大手のトレンドマイクロは2019年、法人・個人の顧客を合せて総額520億円規模のサイバー犯罪被害を止めているという。ほかの大手も同じかそれ以上だとすれば、ものすごい量の“犯罪の芽”だと思う。

次ページデータは「漏れる」のではなく「盗まれる」
政治・経済の人気記事
トピックボードAD
関連記事
  • 就職四季報プラスワン
  • 占いのオモテとウラ
  • 非学歴エリートの熱血キャリア相談
  • 井手隊長のラーメン見聞録
トレンドライブラリーAD
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
三菱重工と日立 「統合」破談から<br>10年 製造立国の岐路

10年前に統合構想が破談になった三菱重工業と日立製作所。その後両社は対照的な道を歩み、2009年に伯仲していた時価総額は今や日立が大きく上回っています。本特集では明暗が分かれた三菱重工と日立を主軸に、製造立国・日本の生きる道を探りました。

東洋経済education×ICT