ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[山下竜大，ITmedia]

　また人間の“うっかり”につけ込む「釣りメール」による攻撃も増えている。釣りメールの最後の「配信不要はこちら」というメッセージすら釣りだったりする。さらにQRコードを利用した攻撃も増えている。URLであれば目で見てある程度、判断できるが、QRコードは目で見てもそれがどこにつながるか判断できないので注意が必要だ。

　ランサムウェアによる攻撃も増えている。ランサムウェアに関しては、被害者が被害を隠す傾向にあることが問題だ。社会に警報が上がらず第2第3の被害者が生まれる。ランサムウェアの攻撃を受けた場合、進んで法執行機関に連絡すべきである。海外では、攻撃者が逮捕され、身代金が返ってきた事例もあるので、悪には屈するべきではない。

　現在、以下のような金銭目的のサイバー攻撃が増えている。

• IDとパスワードの窃取による預金の不正引き出し（フィッシングやキーロガー）
• 送金処理の最後に振り込み先を書き換えてしまうマルウェア
• DNSが書き換えられ、偽のサイトへ誘導（ファーミング）
• DB内顧客リストの窃取／暗号化と恐喝
• 公示直前の企業情報の事前窃取（株売買）
• もっと大きく、株価操作まで（空売りとサイバー攻撃）
• マネーロンダリングの問題

　伊東氏は、「サイバー犯罪は、安全かつ効率よく稼げることから、新たな犯罪者の参入や、企業を狙う脅威もどんどん多様化し、増え続けています」と話している。

企業を狙う脅威は、どんどん多様化し、増え続けている。

サイバーセキュリティ最後の砦は社員一人一人の心掛け

　サイバーセキュリティは攻撃側が圧倒的に有利といわれるが、本当にそうなのか。逆にサイバー防御に利点はないのか。伊東氏は、「以前いた自衛隊で学んだ戦いの歴史では、かつて歩兵が隊列を組んで組織的に守る場合は防御側有利であった。その後の重装騎兵の集団突撃は攻撃側有利、障害と飛び道具の利用は防御側有利、戦車や飛行機の利用は攻撃側有利と、攻撃と防御の有利性は時代や場所により交互に変遷している。言い換えれば、正しい防御をすれば防御が有利になる場合もあるということは歴史が証明している」と話す。

　そこで、改めてテレワーク時代のサイバー防御を考えてみると、サイバー防御にも利点はある。例えば、待ち受ける場所を自ら設定できること、システム構成全般に関する知識を利用可能なこと、防護システムの導入と準備が可能なことなどである。まずやってみるべきセキュリティ対策のヒントは、周りをよく見ることである。

　「やるべきことを、きちんとやることが重要です。どんなによいソリューションを導入してガチガチに守っても、内部犯行やID／パスワードの盗難から続く攻撃は防御できません。対策の基本的考えは、やるべきことをやる。アンチウイルスソフトを入れるのは当然であり、アップデートやパッチは必ず適用することです。また怪しいメールに注意し、パスワードの管理をしっかりする。無料の無線LANには気を付けることなどです。要は“戸締り用心！火の用心！”です」（伊東氏）

　一般企業においても、悪人により利用される脆弱（ぜいじゃく）性は既知のものが多い。システム侵入事件のうち、2〜4年前から判明していた脆弱性をついてきたものが半分近いという分析もある。つまり、攻撃者も結構古い手を使っているということだ。言い換えれば、あちこちに古い脆弱性を残したままのシステムがたくさんあるために、そこを狙っても、悪者にとって十分に商売になるということが現状なのだ。とすれば、やはり基本的な対策をしっかりすることでリスクは下げられる。

　「世界的に見ると、日本は新しい攻撃方法が発見されても、すぐに攻撃されることは多くありません。つまり日本語の壁があるため他の国に比べ守られているとも言えます。だから世界の状況をしっかり見ておけば、そこから事前にアラートを得ることもできます。ただし、油断してはいけません。優れた翻訳ソフトは悪人も利用できますからね

　ウイズコロナの時代、テレワークの増加とともに、守るべきところは増える一方ですが、どんなに高価なセキュリティソリューションを導入しても、パスワードが盗まれたら侵入者は正面玄関から入ることができます。サイバー攻撃は、目的も手法も主体も多様化しています。完璧な安全を追求することは困難ですが、より実践的で費用対効果の高いサイバー防護を追求すべきです。サイバーセキュリティの最後の砦は、社員一人一人の心掛けです。ひとごとではなく、みずからが取り組むべき課題なのです」（伊東氏）。