サイバーセキュリティにおける新しい見方について考えてみたい。それは、ビジネス上直接結び付くようなものではなく、サイバーセキュリティそのものをゴールとする見方である。この見方に立てば、どれほど多くのセキュリティ関連組織が目標を見失っているかが分かるだろう。

何年にもわたってその存在が知られてきた、ある「脅威」……2016年は、この脅威がメールを通して拡散し始めてから20年の、節目の年になった。何百万、何千万ものオンラインユーザーがこの脅威に出会っているはずである。しかし、たくさんの人がそのことを知っているのに、いまだにこれにだまされてしまう人がいる。注意深くなかったり、知らなかったりするせいで引っ掛かる人もいれば、何が起こるか見てみたいという単純な好奇心のせいで引っ掛かる人もいる。いずれにせよ、こういう人はみな、結局わなにはまってしまっている。

何について話しているかまだお分かりになっていない方がいるかもしれない。これは、悪名高き「ナイジェリアの手紙」あるいは「419 詐欺」という脅威のことである。この種の詐欺は、フランス革命直後の時期か、ことによってはずっとそれ以前にまでさかのぼることができ、どこかにある莫大な財宝のお裾分けにあずからないかと手紙で勧誘するものだ。しかし、この何世紀も経た古い詐欺は、消え去るどころか、テクノロジーの進歩とともにますます強力になり、その間、さまざまな変種を幾つも生み出しながら、その一つはメールにたどり着いた。この詐欺は、こちらが何も出さないのに何かをくれるという原則をうたっているが、実際は、将来の報酬を約束するといううそをつき、その見返りに、まずこちらに何らかの仕方で前払いをさせる、という仕組みになっている。これはしばしば「費用前払い」と呼ばれる詐欺である。

何年たってもまだ、ソーシャルネットワークやWebサイトで、全く同じ類いの誘い文句を使ったメッセージが見られる。「あなたが100万人目の訪問者です！」「宝くじが当たりました！」「夢の休日旅行にご当選！」等々。以上は「まき餌」フレーズのほんの数例にすぎない。しかし、コンピューターに対する脅威は、今や「標的型攻撃」「サイバー戦争」「APT攻撃」といった言葉で語られる洗練された次元で進化を続けているのに、この種の詐欺が依然としてこれほどの成功を収めているのは、なぜだろうか。人々は相変わらず、心理操作やソーシャルエンジニアリングに弱いというのが、一番簡単な答えであるだろう。

脅威は変わっても、伝播の仕方は変わらない

ちょうど5年前、ESETによる「2012年のトレンド報告」で、モバイル機器がボットネットのような脅威に狙い撃ちされるという、高まりつつあるマルウェアのトレンドが取り上げられている。近年でも、このリスクは増え続けている。サイバー･スパイ、標的型攻撃、プライバシーに対する脅威が、勢いを増している。セキュリティ対策の乏しい幾多のIoT機器を支点にした潜在的脅威がいつか実際の攻撃となって現れるのではないかという先頃の懸念が、今や現実のものとなった。さらに2017年は、ランサムウェアの年間被害者の数がまた増えることになりそうだ。

これらのタイプの脅威は、時とともに進化してきたが、それら全てに一つの共通項がある。最初の取っ掛かり、侵入口がしばしばユーザーである、という点だ。攻撃者は相変わらず、さまざまな手口を使って、何気ない行動、そして多くの場合、(知らないとはいえ)無責任な行動をとるよう被害者をそそのかす。彼らは、例えば詐欺メールやソーシャルメディア上に詐欺メッセージを書き、わなを仕掛けたUSBストレージをわざと駐車場に落としておく。こうした手口はみな、被害者をだまして、被害者が自分で自分のシステムの安全を危うくするよう導くことを目指しているのである。

残念ながら、こうした現実は、2017年を通して、またその後も執拗に続いていくだろう。攻撃者は、この現実に乗じて仕事を続けるだろう。確かにハードウェアとソフトウェアには潜在的な脆弱性があり、攻撃者はそこに付け込むことによって、システムをコントロールできる。しかし、それにもかかわらず、そこに至る最も簡単な方法は、そのシステムのユーザーをだますことなのだ。シンプルなメール1通で同じようにシステムにアクセスできるのに、何時間もかけて脆弱性攻撃ツールを作成する必要がどこにあるのだろうか。言い方を変えれば、玄関の呼び鈴を鳴らすだけでいいのに、額に汗して家への侵入トンネルを掘る泥棒が、どこにいるだろうか。

無慈悲で効率的なサイバー犯罪

2017年は、多様なタイプの不正コードが進化を続け、ランサムウェアが引き続き最速の伸張を遂げる脅威として席巻し、より多くのIoT機器がより幅広いサイバー犯罪活動の標的にされるだろう。サイバー犯罪者はますます情け容赦なくなり、例えば健康・医療産業にまで手を掛けるようになるし、現金自動預払機(ATM)といったインフラの構成要素が、絶えず攻撃者に狙われるだろう。

さらに、2016年に明らかになったことだが、現代のサイバー犯罪者は、さまざまなタイプの不正ソフトウェアとソーシャルエンジニアリング技術だけでなく、また犠牲者から何らかの金銭的うまみを引き出しだまし取るための「ビジネス・プラン」をも、武器として備えている。

セキュリティ上のリスクに関する一般論を語るのは、このあたりでやめておきたい。企業であれ個人であれ、ユーザーは、自分が襲われる可能性のある攻撃の種類を自覚していることが、非常に大切である。メール詐欺から情報窃盗に至る全ての攻撃は、「あり得る」ものと見なさなければならないし、それらの攻撃を避けるために、テクノロジーの面でも自覚を高めるという点でも、双方で必要な方策を採ることが重要なのだ。

教育は単に年齢の問題ではない

デジタル世界には、「ネイティブ」と「入植者」という2種類の住民がいる。ネイティブは、子供の頃から自分の生活のほぼ全ての場面でテクノロジーの使用を前提にして生きている。これに対し入植者は、まず自分をテクノロジーに合わせて変えていく必要があり、そうして初めてテクノロジーを使って日々の活動の多くを成し遂げることができる。

この場合、デジタル世界のネイティブなら、上述の古臭い詐欺に引っ掛かることもあるまいと思われるかもしれない。ところが、今年発表されたBBB 研究所の研究によると、25歳から34歳の若い世代の方がこの詐欺にだまされやすく、また別の研究では、最若年層のユーザーこそ、ネットサーフィンの際に最もリスキーな行動をとる、と報告されている。彼らは、安全管理の不十分なWi-Fiネットワークに接続し、誰かにもらったUSBストレージを最低限の用心もなしに挿し込み、セキュリティ対策ソフトなどほとんど使わないという。

他方で、デジタル世界への入植者は、たいていの場合、テクノロジーを用いる際にもっと用心深いかもしれないが、彼らにしたところで、攻撃の被害に遭ったり、安全への配慮を欠いた行動をとったりすることに変わりはない。一般的に言うと、それは、各機器が持つセキュリティ上の特徴をよく知らないか、コンピューターに対する脅威、またこれを回避するのに役立つしかるべき備えとはどういうものかが分かっていないせいである。

要するに、防御の問題となると、年齢は関係ないのだ。全てのユーザーは、多くの脅威、それらが活動する仕方、そして自分の機器を防御する最良の方法を自覚する必要がある。ユーザーは安全でいるために、このことをこそ心掛けなければならない。

知れば知るほど安全ではない気がしてくる、という今日的逆説

エドワード・スノーデン（Edward Snowden）氏による暴露から4年たった今日、人々は、自分の個人データがますます危険にさらされていると感じている。これは疑いない。逆説的なことだが、現実には、自分のデータに今何が起きているかに関する情報は、以前と比べてずっと豊富になっているにもかかわらず、である。

誰かにいつも注視されているという感覚は、多くのユーザーにとって重大な懸念であり、包括的な監視が行われている現実が明らかになったことは、スノーデン氏による暴露から学ぶべき最も大切な教訓の一つである。仮に誰かが秘密裏に行動する許可を得、潤沢な予算を与えられたとしよう。しかしその者が、いかに善良な人物だったとしても、適切に、倫理を遵守して、好ましくない影響を引き起こさずに、任務を遂行するという保証はどこにもない。

だが、そんなことを言われても、私たちは、どうしようもない疑心暗鬼にとらわれて閉じこもることも、インターネット接続をやめることも、できない。私たちが直面している重大な課題は、オンライン上でいかに身を守るか、どんな種類の情報を公表すべきか、どのような方策を採れば情報の安全とプライバシーを確保できるかに関して、自分自身を教育する必要性である。

小さな変化が大きな違いを生む

ESETの研究員たちが固く信じているのは、セキュリティは、技術的な解決策の問題にとどまらず、そこには必ず何らかの人間的要素があり、それもまた防御しなければならない、という考えである。コンピューター・セキュリティに関する自覚を促そうとする目下の努力は、すでに現代生活のあちこちで行われているが、多くのコンピューター・ユーザーがこの点で、十分な訓練を積んでいるとは言い難い。さらに、たくさんの人が、自分のコンピューターを「現実の」ものと見なし、それが直面する脅威を認識しているが、自分のモバイル機器に対して同様の自覚を持っているわけではないし、IoT機器となると、その自覚は一層期待できない。

2013年に、ウイルス対策ソフトがインストールされたモバイル機器の数と、モバイル機器からのインターネット接続回数との比率は、4.8％と見積もられていたが、この割合は2018年には15％に達すると予想されており、数字は5年間で3倍の伸びを示している。しかしそれでも、セキュリティソフトを使っているのは、スマートフォンとタブレットの6台に1台より少ないのだ。

将来も引き続き脅威は、インターネットに接続した、大切なデータを扱うあらゆる種類の機器へと広がっていくだろう。したがって、Wi-Fi接続を用いる個人ユーザーの機器からインターネットに接続し、インターネットを介して遠隔制御される最重要インフラストラクチャーに至る、考えられる全ての場面において常時セキュリティを意識することが、何よりも重要になる。

テクノロジーはすさまじい速さで進化し、感染拡大の手段もますます増えていく。もしユーザーがそれらについて十分に教育されていなければ、攻撃者はそうした手段を簡単に利用して、自分の好きなことができるだろう。これが現実である。テクノロジーの進歩が翻ってユーザーに害を及ぼすのを許してはならない。

2017年、防御側のトレンドは、現に起こっているセキュリティ事故の現実に追い付き、これと並走する必要がある。だからこそ、教育が肝要になる。パスワードをオンライン・アクセスの唯一の手段として用いるのは自分の個人データにとってセキュリティ上のリスクになる、ということをユーザーが知るようになれば、2要素認証が堅固な防壁をもう１層付け加え、これを使えば攻撃者に勝てる見込みを取り戻せるということもまた、ユーザーは分かるようになるはずである。課題は、まずユーザーが脅威を認識できるようにすること、そしてユーザーが自分の情報を安全に保つのに役立つセキュリティー・ツールで武装することである。こうしたツールがなければ、脅威と攻撃は間違いなく成長し、増え続けるだろう。

同様に、情報の機密性を確保する一番良い方法は、あらゆる形態の通信に暗号化技術を適用することである。ランサムウェアに対して、個人情報が永久に失われてしまうことのないよう身を守る最良の方法は、何よりも大切な重要データのバックアップを、オフラインでも自分で取っておくことだ。

しかし将来、以上のようなテクノロジーを採用していくに当たって、まずは脅威を知ることから始めなければならない。それは、ユーザーがきちんと教育を受け、自分が何から身を守ろうとしているのかを見極められ、したがって最良の防御方法を選び取れる、という基礎があって初めて、取り掛かることのできるものなのだ。

教育こそが違いを生む

情報セキュリティ業界で仕事をしている者全てにとって、「最も脆弱な鎖の輪はエンドユーザーである」という文言ほど正しいものはない。

少なくとも2015年以来、こんな警告が発せられてきた。「防御すべき情報テクノロジーはますます成長し続けているのに、その防御を確実に実行できるスキルを持つ人材の数は恐ろしく少ない」と。だから私たちは、違いを生む根本的要因として教育を取り入れる必要がある。でも情報セキュリティの分野で働くプロフェッショナルを新たに養成するプロセスは、今すぐ結果を出してくれるわけではない。このことを考えれば、次の2、3年で焦点を当てなければならないのは、基本的なインターネットセキュリティの方策についての自覚をユーザーの間に行き渡らせることだろう。というのも、攻撃者は、そうしたユーザーをこそ狙い、この最重要の段階に付け込むことで、目的を果たそうとするからである。

したがって、私たちセキュリティの責任を担う者にとっての大きな課題は、情報防御の最前線にわが身を置くことである。現行の脅威とその拡散方法についてユーザーに知ってもらえば、将来サイバー犯罪のインパクトを和らげる大きな違いを生むことにつながるだろう。といっても、セキュリティの責任者は各人であり、IT業界で働く者に限られるわけではないことを忘れてはならない。今日、情報は、記者が扱おうと、会社の重役の手元にあろうと、等しく最重要機密である。問題となるのは、健康・医療のプロフェッショナルと彼らが日常業務で取り扱う医療記録に関してであり、これらはよりデリケートなものと言えるだろう。

流れを変えるには、政府と企業が積極的に参入することが必要である。セキュリティ教育は公共性の問題として取り扱われるべきであり、企業はこの問題を、「セキュリティ教育は新入社員採用時の1度きりで十分だ」などと甘く考えてはならない。私たちは実に、そういうところまで来ているのだ。セキュリティ教育は、持続的で、常に進行中の努力でなければならない。エンドユーザーは、自分たちがセキュリティという大きな輪の一員であると感じる必要があるし、まず脅威が存在すること、そしてテクノロジーを安全に使用するのに不可欠な仕組みもまた同様に存在することを、きちんと理解しなければならない。