「デジタルの日」に改めて考える「安心・安全」
10月2日と3日は「デジタルの日」。その理念の実現のためには、その基礎となる「安心・安全」が不可欠です。サイバーセキュリティに25年携わってきた専門家が考える「デジタルの恩恵」とそのための「安心・安全」とは?
2021年デジタル庁が創設した「デジタルの日」。2年目の2022年は、10月2日、3日が「デジタルの日」、また10月の1ヶ月間は「デジタル月間」とされました。このデジタルの日とデジタル月間は、「誰一人取り残されない、人に優しいデジタル化」を実現するため、社会全体でデジタルについて定期的に振り返り、体験し、見直す機会として創設されたものです。トレンドマイクロはこの理念に賛同し、当社の専門領域であるサイバーセキュリティの観点からデジタルの恩恵を受けたいすべての方に、その基礎となる「安心・安全なデジタル技術の利用」について意識を向けていただく機会を創出する活動を行っています。
トレンドマイクロ「デジタルの日」特設ページ
この記事をご覧になっている方には言うまでもありませんが、現在、インターネットとその土台であるデジタル技術は既に日常生活の上でも不可欠なものとなりました。しかし、そのデジタル技術の恩恵を最大限に享受するためには「安心・安全」もまた不可欠です。1996年にトレンドマイクロに入社した私は、サイバーセキュリティ、つまりデジタルの「安心・安全」を守る事に25年以上携わって参りました。その経験を踏まえ、この機会に改めてデジタルについて振り返りをしてみたいと思います。
改めて考える「デジタル」の恩恵とは?そもそも、一般の利用者にとって「デジタル」の意義とは何でしょうか?様々な解釈ができるかと思いますが、利用者の観点から最も大きな意味は「便利になること」なのではないかと思います。実際、デジタル技術とインターネットの普及は、様々な「便利」を我々にもたらしてくれています。
デジタルが一般利用者にもたらす「便利」として、最もわかりやすい例は、「ググる」でしょう。「Googleで検索する」を縮めた「ググる」は、今や日常的に誰でも使うレベルの用語ですね。「ググる」、つまりWeb検索サイトで調べたいワードを入力するだけで、誰でも簡単に情報を入手できるようになりました。私がサイバーセキュリティに携わる以前、今から30年前くらいにはまだインターネットは一般利用者が簡単にアクセスできるものではありませんでした。情報の多くは紙媒体などのアナログで保存されており、調べるためには図書館に行くなど物理的にアクセスする必要がありました。
まさに隔世の感がありますが、現在では情報はデジタル化され、物理的な移動なくインターネットを介してアクセスできることが当たり前になりました。これはまさにデジタルがもたらしてくれた「便利」の代表であり、デジタルの恩恵と言えます。
「便利」が「危険」を連れてくる?
様々なデジタルの恩恵を受けている私たちですが、「便利」である半面、「危険」とも向き合わざるを得なくなっています。インターネットミームとなったニーチェの言葉「深淵を覗く時、深淵もまたこちらを覗いているのだ」のように、「便利」なインターネットの向こう側には悪意のハッカーやサイバー犯罪者が存在しています。それらは「便利」に乗じて私たちに何らかの「危険」をもたらします。
「便利」になるほど「危険」が近づく例として、電子メールの例があげられます。電子メールはインターネットの普及と共に利用が広まった「便利」の1つです。それ以前は、例えば国内でも海外でも対面で会えない離れた相手に対しては、リアルタイムだが高い料金の国際電話や市外通話か、やりとりに何日もかかる郵便によるコミュニケーションしかありませんでした。しかし電子メールにより、お互いがインターネットを使える環境であれば、相手がどこにいても簡単に連絡を取ることができるようになりました
1993年頃、UNIX関係の仕事をしていた私は、会社の電子メールで海外の関係者たちと感覚的にはほぼリアルタイムで情報交換できることが驚きと共に、恵まれた環境だと思ったものです。ただし、そのころは会社や大学でもネットワーク帯域は限られており、電子メールの添付ファイルの利用は制限されている場合がほとんどでした。どうも電子メールが送受信されないな、と思っていると誰かが数MB単位のデータを添付して社外に送信しようとしたためメールサーバで大幅な遅延が発生していた、ということもたまにありました。ほどなく、企業などでは必要性から高帯域化するところも多くなり、1996年にトレンドマイクロに入った後くらいには、サイズ制限はもちろんありましたが、添付ファイルも使えるようになってきました。
2000年前後には国内でもISDNやADSLなどの比較的高帯域での個人向けインターネットサービスが始まり、一般利用者も電子メールを日常生活で使用できるようになり、より「便利」になっていきました。
そのような電子メールの「便利」の広まりとともに現れた「危険」が、マスメーリングワームです。1999年年始に登場した「Happy99」(トレンドマイクロ検出名「WORM_SKA」)は、電子メールに自身のコピーを添付して拡散するマスメーリングワームの始祖と言える存在でした。Happy99はWindowsのシステムファイルを改変し、利用者が送信したメールと同じ送信先に自身のコピーを添付したメールを送信する活動を行います。利用者によるメール送信の条件で1通のメールを出すだけなので「マスメーリング」ではありませんが、利用者がメール送信した相手に添付メールを送る活動は、現在のメール経由攻撃の代表格である「EMOTET」の返信型攻撃メールにも通じる手口と言えます。その後、1999年3月にOfficeマクロウイルスの「MELISSA」、2000年5月前後には破壊的なVBSウイルス「LOVELETTER」(別名:ILOVEYOU)など、アドレス帳から取得したメールアドレスに大量にメール送信を行うマルウェアが登場、一瞬のうちに全世界で大流行し、それまででは考えられなかったような大規模被害を発生させました。
一般の利用者にとって「便利」なものは、悪意のハッカーや犯罪者にとっても「便利」です。新たなデジタル技術が新たな「便利」を生み出すと、悪意のハッカーやサイバー犯罪者はそれに乗じて新たな「危険」をもたらします。また、新たな「便利」の活用も積極的です。
2013年に登場した「CryptoLocker」は現在のランサムウェア攻撃の横行に繋がるゲームチェンジャーとなったランサムウェアです。その最大の特徴はクラウドの利用にあります。それまで、暗号化型のランサムウェアは復号に必要な情報をローカル(つまり感染した端末上)に保持していたため、最終的には解析によって復号ツールを作ることが可能でした。しかし、CryptoLockerは復号に必要な情報を毎回新たに生成し、クラウド、つまりインターネット上の不正サイトのみに保持します。このため、感染した端末上では、復号に必要な情報の取得はほぼ不可能となり、データを復旧したい被害者は身代金を支払うしか選択肢が無くなりました。また、これはCryptoLockerが初ではありませんが、支払い方法に暗号資産のビットコインを加えることにより、世界のどこからでも簡便且つ追跡されるリスクを下げたうえで身代金を受け取ることができるようになりました。ビットコインによる最初の取引が行われたのは2009年、ビットコインの両替ができる最初の取引所が誕生したのが2010年と言われていますので、サイバー犯罪者たちの新たなデジタル技術に対する嗅覚の鋭さには、防御する側の身としては時に身が引き締まる思いです。
このようにサイバー犯罪者はデジタル技術の「便利」を活用することで、自身の不正活動をより巧妙化させています。現在、企業など法人組織にとって、デジタル技術の活用は業務の最大化のためのカギとされています。特に国内では、デジタル化に乗り遅れることは競争力の低下に繋がるとして「2025年の壁」、「デジタルトランスフォーメーション(DX)」といった命題が叫ばれています。新たなデジタル技術が登場すると、それらを悪用し新たな危険を生み出してきたサイバー犯罪者は、常にDXを行ってきた先駆者なのかもしれません。
私たちはデジタル技術がもたらす様々な「便利」の恩恵にあずかっています。しかし、いくら「便利」でもそれを上回る「危険」があっては、その利用は妨げられてしまいます。「便利」の提供には一定以上の「安全」が必要です。実際、2019年に発生したクラウドストレージの不正アクセス被害や、モバイル決済の不正利用被害 など、その後の安全が担保できないとして、サービス停止に追い込まれた事例も発生しています。
同時に、「安全」のために利用者に負担をかけすぎても、利用が進まなくなったり、サイバー犯罪者につけこまれる隙が生まれたりします。これについては、利用者に過度の負担をかけてミスを誘発させる「MFA Fatigue Attack(多要素認証疲労攻撃)」や「Prompt Bombing(プロンプト爆撃)」などと呼ばれる攻撃手法が既に登場しています。フィッシング詐欺や情報漏洩により認証情報が盗まれ、正規の認証情報を使用した不正ログインが横行しています。その対策としてWebサービスでは、多段階/多要素認証が新たなセキュリティ基準となってきました。これに対し、ログイン試行を何度も行うことで多段階/多要素認証の承認通知を何度も送り、利用者がうっかり承認してしまうことを狙う手口が多要素認証疲労攻撃です。
「便利」と「安全」、今後はこの2つを同時に提供していかなければデジタルの活用は頭打ちになる可能性があります。また、利用者に「安全」の負担を必要以上に負わせることも活用が進まなくなる可能性に繋がります。「誰一人取り残されない、人に優しいデジタル化」のためには、一般利用者には「便利」でも、サイバー犯罪者には「不便」な、そもそも「安全」な土台の実現が重要です。利用者には最低限、実社会の特殊詐欺に備えるような、人に誤解を与えて操るための詐欺的手口を知り、騙されないようにすることが求められる一方、デジタル技術側ではそもそも安全を実現する「セキュリティバイデフォルト」の考えが求められていくでしょう。
当社としても、製品・ソシューションの開発提供のみにとどまらず、サイバーセキュリティに関する知見の提供や人材育成面での支援といった側面からも、デジタル技術の恩恵を受けたい全ての方を支援したいと考えています。
監修
岡本 勝之
トレンドマイクロ株式会社
セキュリティエバンジェリスト
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、サイバーセキュリティ黎明期からこれまでのおよそ30年にわたるキャリアで培った深く幅広い脅威知識を基に、ブログやレポ―ト、講演を通じて、セキュリティ問題、セキュリティ技術の啓発にあたる。
講演実績:日本記者クラブ、一般財団法人日本サイバー犯罪対策センター(JC3)、クラウドセキュリティアライアンス(CSA)などにおける講演
Security GO新着記事
生成AIのビジネス活用と考慮すべきリスク
(2024年9月17日)
AI TRiSM(エーアイトリズム)とは何か?~AI時代に必要なフレームワーク~
(2024年9月13日)