すべてのコンピュータはハッキング可能である
片山尚子氏(以下、片山):もう少しセキュリティとかサイバーの話をうかがいたいんですけど。AIのお話もありましたけど、実際どういった脅威があるんでしょうか。何が大変・困るのでしょうか。
韮原祐介氏(以下、韮原):まさに本の1章や2章で書いたことで、会場は読んだ方も多いんですけど、もしかしたらオンライン参加の方で読んでない方もいらっしゃるかもしれないので話していきます。
『サイバー攻撃への抗体獲得法 〜レジリエンスとDevSecOpsによるDX時代のサバイバルガイド』
そもそも今、電子制御・コンピューター制御されているものがどんどん増えてるじゃないですか。なんならこのライトも、もしかしたらパチパチとアナログで消すだけじゃなくて、スマートスピーカーで照光調整をしたりできるようになってたりするじゃないですか。
インターネット化が進み、コンピューター制御がどんどん進んでいくと、それはすべて「ハッキング可能」ということなんですよね。つまり何がコンピューター制御されているのか。インターネットにつながっているものは気をつけなきゃいけないんですけど、インターネットにつながってなくてもハッキングは可能なんです。
人を媒介にしたり、内通者として潜り込ませるとか、あるいは社内にいる人を買収するだとか、いろんな方法でハッキングにつなげることが可能です。なので実質的には「すべてのコンピュータはハッキング可能である」ということが前提になります。
例えばサンフランシスコの地下鉄でブレーキが効かなくなるというわけではないですけど、(実際は)入改札のゲートが止まっちゃったりとかも起きています。例えばウクライナだと変電所がサイバー攻撃に遭って、真冬の寒い地域で電気が使えなくなるとか。あとは水にいろいろ混ぜられるとかもそうですね。
宇宙だって、イーロン・マスクが火星までロケットを飛ばそうとか言っていますけど、あれも当然コンピューターで飛ばしてる。ハッキングされて地球に落ちてきたらヤバいじゃないですか。特に企業及び国ですね。
個人のちょっとした行動が、国や企業に大打撃を与える可能性も
韮原:個人が狙われたらすごく危ないですけど、本当に狙われるのか? という話です。『スマホを落としただけなのに』という、北川景子さんが主演の映画があるんですけど。スマホを落としただけなのに非常に怖い目に遭うんです。殺されかけたりですけど、でもあれは、北川景子さん並みにおきれいだと狙われますわね、という(フィクション性の高い)話です。
個人ではクレジットカードを盗まれるとか、襲われるとか、毒を盛られるとか……毒を盛られるは違うね、サイバーじゃないね(笑)。オレオレ詐欺の電子版とか、金銭的な危険はあるんですけど、やはり企業と国のほうが非常に危険が大きいと思います。
片山:確かに個人、自分自身に降りかかってるものはそんなにないのかもしれないけど、この本にも書かれていた、イランの核施設の話は恐ろしかったです。もし読んでない人がいたらネタバレになっちゃうんですけれども。例えば拾ったUSBを使ったら……みたいなこともありえるわけですよね。
別に悪気があったわけじゃない自分のちょっとした行動が、国を亡ぼすとか、会社にすごく損害を与えるということは、大いにあり得るんだな、と思うと自分の行動に責任を持たないといけない、と思うようになりました。
韮原:そうなんですよね。最後は結局、どんなにセキュリティをコンピューターとして守っても、コンピューターは言うことしか聞かない。コンピューターは「言うことしか聞かない部分」にバグがあるので、そこを狙って衝くんです。
あとは人間が起こすヒューマンエラー。人間のほうが間違えやすいので、やっぱり人間が狙われる。うっかり自分の会社のロゴが入ってるUSBがあったので、つい挿してしまい、そこにマルウェア(コンピューターウイルスなど)が入っていたとか。
永田町でも猛威を振るうサイバー攻撃の手口
韮原:あとは本にも書きましたけど、コロナでオンライン会議が増えたじゃないですか。とある永田町にいらっしゃる議員さんが「やられたよ」ということを言っていて。
本にも書いたし、むしろ「そういうのもっと広めてくれ」と言われたので堂々としゃべるんですけど。ヨーロッパかアメリカかのシンクタンクで、その先生に「今度うちのシンクタンクで講演してください」というお誘いがあって。
このお誘いは本物で、その人がフェイクとかではないんですけど、「つきましては、うちはこのオンライン会議ツール使ってまして」って、ソフトウェアをダウンロードしてそれを使ってやってくださいと言われたんですね。何の支障もなく、普通にそれでオンライン会議をやったんですって。でもそれに、マルウェアが入ってたんだと。
片山:おぉー。
韮原:その人は「何かトラフィックが重いぞ」って気づいて。けっこう技術系の方なんですよ。永田町の先生らしからぬと言ったら怒られるかもしれないですけど。それでいろいろ全部変えたらしいんですけども、そんなことばっかりで。「永田町、やられてる人たちたくさんいるよ、たぶん」って言っていましたね。
片山:恐ろしい……。
韮原:でも、そこで盗られて困るデータが何なのかというところで。何でしょうね。国家機密に関わることが、一国会議員のパソコンにいろいろ入ってたりとかするんですかね。
個人情報が流出→SNSで拡散、個人が特定される事例も
韮原:あとは破廉恥な写真が入っていて、直接脅されるとか。ハニートラップじゃないですけど(笑)。この間ニュースでありましたよね。知ってます?
片山:知らないです。
韮原:本当にそのとおりかはわかんないですけど、自衛隊学校の先生。Twitterに、「中古のパソコンを開けてみたら変な写真がいっぱい出てきたんだけど」という投稿が上がって、それが不倫をしてる写真で……今日、こんな話をしにくるつもりじゃなかったんですけど(笑)。
(会場笑)
不倫の記録を日記のように取っている方で。別に犯罪は起こしてないですよ。それをTwitterでというか、要はパソコンをそのまま売ったのかな。それを中古で買った人が「こんなの出てきて気分悪いんだけど」って載せたら、「これ、この人だ」「自衛隊の人じゃん」ってなったという。
でももしかしたらそれも、それ自体がハメかもしれないですね。自衛隊の権威を貶めるための、敵国が仕掛けたものかもしれないし。純粋にポカをやったのかもしれないし。(※注 後に中古パソコンからのデータ流出ではなく、ダークウェブ(特殊なツールやWebブラウザーを使わないとアクセスできないWebサイトやインターネット空間)上のデータから発見したものであると投稿者が証言。)
……こんな話になるとは思いませんでした。
片山:私も思ってませんでした(笑)。
韮原:失礼しました(笑)。
「どうやって回復するか」までシナリオに含める
片山:ちょっと話を戻して。個人ひとりひとりへの影響はそれほどでもないかもしれませんが、国とか企業の影響は大きいという。そこも本の中でも、大きなものは書いていただいてましたけど、もう少しいったいどんな対策や対応をされているのかお話しいただけますか。
韮原:個人としても「ここの家の電気が」とか、気をつけることもあるんですけど……やっぱり日本の重要インフラはどこかというと、電力会社とか交通だとか、飛行機も入りますよね。電車とかバスとかもそう。あとは金融とか医療とか、まず気をつけなきゃいけないのはその辺の会社ですよね。
どうやって対応していったらいいのかという時に、まず方法を話す前に、やはり(東京)オリンピックのおかげでサイバー対策が比較的、少なくとも意識としては進んだ感がありますね。
ただ、この本を書いた動機の1つでもあるんですけど、みんな「守り切れる」と思っている部分があって。もしダメだった時にどうするのかまで考えて、そこからいかに回復するのかとか。起こるものとしてあらかじめシナリオを組んでおいて、緊急時にこのとおりにいこうだとか。
そもそもリスクがどこにあるのかをしっかりと、ホリスティックに見ていて、全部は対策はしてないんだけれども、大事なところからやってくるから、最悪ここからくるかもしれないとか。そこまでちゃんとやってるところはなかなかないんです。
だから2つですね。「本当にリスクを知り切っているのか」が1個。
根底にある「システム=コスト」という認識
韮原:もう1つは本にも書きましたけど、なんだかんだゼロデイ攻撃。
これWindowsのパソコンだと思うんですけど、Windowsの正常に機能するはずのものに実は脆弱性があって。この間(脆弱性が)公表された「Log4j」というやつは、Javaのライブラリに、そこに脆弱性があった。簡単に言うと「やりようによっては乗っ取り可能です」という。
ゼロデイ、つまり誰も発見してなかった脆弱性が発見された日からワンデイ(脆弱性への対策がリリースされた日)以降、まだ対応追われてる会社さんもあると思うんですけど、そういうことをもうあらかじめ想定しておいて、リソースをちゃんと張れているのかとか。
例えばみずほ銀行さんが度重なるシステム障害で、もともと100人の運用体制だったのを2割増やして120人にすると最近のニュースで出てましたけど。あれだけの巨大金融システムを何千億円かけて作っておいて、増強後の運用保守がたった120人なんですねって。意外にけっこう少ないんだなと。
片山:私も人数を聞いてびっくりしました。
韮原:つまりそれだけ、システムというのはコストカットの対象であり、コストだと思われている。本来ならそこが稼ぎ頭であり、同時に常に改善を続けていく場であり、かつ同時に守っていかなきゃいけないという、そんな認識が根本的にまだこれからなんじゃないですかね。そういう認識がいま広がりつつあるところだと思います。
日本では、公に知られている情報漏洩問題が少ない
片山:ニュースを見ていると、いろんな会社さんで情報漏洩だとか問題は出てはいるものの、他国と比べてそれほど危機感がないように思うのは、日本はまだ大きな影響を受けていないんですかね。
韮原:例えばセブンアンドアイグループさんがやった、モバイル決済の「セブンペイ」とかは、始まってすぐにサイバー攻撃で、あっという間に。特別損失額が約100億円ぐらい、一発で吹っ飛んでますよね。そういう会社はやはり「これからどうしていこうか」ということになります。
でもそういう失敗が、高い勉強料になったらいいなと思います。回復されることをお祈りしてますし、たぶんすごくがんばっていらっしゃるんだと拝察しますけれども。実際に起きてしまった会社はやはり学んでいって、強固な態勢を築いていくと思いますよね。
実際起きてるんですよね。ただ、起きてるんだけど、自分ごとの体験として経営者が感じにくい。ベネッセさんも個人情報が漏洩してしまって、あれはインターネットから隔絶されているにもかかわらず起きたんです。
派遣か委託社員かが「USBは挿せないんだけれども、携帯電話の充電は挿せる。携帯電話にだったらデータの書き出しができる」と気づいて、何度かに分けて携帯にデータを書き出して、名簿屋に売りにいったのかな。
そういう会社は、そのあと顧客の不信感が溜まっちゃって、これを何とかしなきゃと動いているでしょうし。やられた会社、ホンダさんも(サイバー攻撃で狙われて)工場まで止まってるので「これはなんとかせにゃ」という。
実際被害に遭っている会社のうち、公にニュースとして知られている割合がすごく少ないんだと思います。「うち、やられちゃったんですよね」って、外にもそう簡単には相談できない。面子も含めて、そういうところはあると思いますね。
経営者も従業員も「自分ごと」にできない
片山:ちょっと隠しておこうじゃないけど、そういった部分はあるのかもしれないですね。ニュースでもすごく大きなインシデントは取り上げられるけど、一般人ウケするような他のニュースの方が多いですね。セキュリティの話はあまり聞かないイメージです。経営者も、従業員も、自分ごとにできるまで、なかなかイメージがわかないんでしょうね。
韮原:そうなんですよ。だから某テレビ局さんに「企業が公表する前に、自分たちがメディアとして重要インフラへの攻撃が起きたことを知る術はないですか」って相談されて。いや、さすがにそのシステムを触ってないと何もわからないでしょうから、メディアとしては難しいでしょうねって断っちゃったんです。
もしかしたら見ている人に天才ハッカーがいて、「できますぜ」という人が現れるかもしれませんけど、私は思いつかなかったです。
片山:セキュリティをやっていくのに、もちろんスキル・技術的なものでカバーしていく部分もあるんですが、啓蒙活動を通じてセキュリティに対するカルチャーを変えて行くことがとても大事になってくるのかなと、今聞いてて思いました。
人を動かすのに一番効くのは「ホラーストーリー」
片山:その啓蒙のやり方って何かありますか。ただ、カルチャーや人の行動を変えていくのは、一夜で出来るものではなく、時間もかかり、難しいと理解しています。でも、これはのんきに構えてる話でもないと思うのですが、そこに韮原さんにアイデアがあったりするんですか。
韮原:蔦屋書店でイベントをやる、とかですかね(笑)。
片山:これね(笑)。
韮原:まじめに答えると、私ホラーストーリーってあんまり好きじゃなかったんです。今もなんですけど。つまりコンサルティングの提案って「こういうことやってると、こんな課題が出ちゃって、こんなヤバいことになるんで、これやんなきゃいけないんですよ」みたいに書くことあるじゃないですか。
ポジティブに「これをこうすれば、こんなバラ色の未来が」とも書ける中身でも、ホラーストーリーで書いたりするじゃないですか。あんまり好きじゃないんで私はあんまりやらないんですけど、なんだかんだホラーストーリーは、人を動かすのに実は一番効くんじゃないのかって最近思っているんです。
そのきっかけはコロナのせいですね。今日も「コロナが怖いから、リアルで聞こうと思ったけどオンラインに変えた」とかいう人も当然いらっしゃるでしょうし。もちろん個々人のご判断なのでいいんですけど、やはり恐怖は効くなと。
AIも、人類を滅ぼすかも、とかシンギュラリティが怖いよ、職がなくなるかもよ、っていう恐怖でもって流行ったところがあると思います。ホラーストーリーは効いちゃうんです。でも「やるといい未来があるよ」の、(ネガティブとポジティブの)両方のバランスを取らなきゃいけないなと思っていて。
アニメやドラマは社会問題に危機感を持つきっかけにもなる
韮原:やはり本は。ちゃんとした論評に耐えうる内容としてまとめておかないといけない。でもアニメとかドラマとか、そういうわかりやすい楽しめるやつが大事なんじゃないかなと、最近は思っています。ホラーとバラ色の両方がうまく混ざったような。
そして蔦屋書店でイベントをやると。
片山:あなた、セールスマンですね(笑)。
韮原:ツタヤで本を買う。で、そのDVDを買うと。
片山:みなさん、ツタヤで本を買い、DVDを買ってください(笑)。それはそうと、確かに、今も環境問題がテーマで怖くなってくドラマとかやっていますよね。
韮原:はいはい、『日本沈没』がやっていましたね。
片山:それそれ。私はあまりテレビを見ないので正直そういった流行りからは疎いのですが、こういったドラマで環境問題だとか、社会課題に危機感を持つというケースはたぶんあるんでしょうね。
韮原:あると思います。あのドラマがあるから、防災に、仮に国土強靭化とかにジャブジャブお金を使っても「そりゃそうだよね」ってなるわけです。サイバーセキュリティも同じだと思うんですよね。『日本沈没』のサイバー版をやってみたら、すごく効くんじゃないのかなと思うんですよ。
サイバー攻撃をリアルを描いた『サマーウォーズ』のすごさ
韮原:で、実はもう既にあるんです。アニメで『サマーウォーズ』というアニメがありましてね。去年『竜とそばかすの姫』をやった細田守さんが、2009年に出してるアニメ映画なんですけど。
そこではさっき私が話した、コンピューター制御のハッキングのせいで人工衛星が落ちてきてしまうとか。救急車がどんどん誤情報で発進しちゃうとか、水道が止まんないとか、信号がずっと赤で渋滞しまくっているとか、けっこうリアルに描いてあって。
でも日本のアニメ、そして細田さんがすごいのは、(話の本筋を)温かい家族の戦いにしているところです。AIの暴走によるサイバー攻撃という話だったんですけど、それと武田信玄の家臣だった陣内家が、田舎のおばあちゃんちで一族が先祖を尊敬しながら協力して戦うという。温かいファミリーストーリーとして描いているんです。
それがあるから「もう自分がやらなくてもいっか」とは思わないですけど(笑)、『サマーウォーズ』はもっと見てほしいですね。
片山:韮原さん、シナリオを書いたらいいんじゃないですか。脚本を書いてテレビ局に持っていって、プロデューサー業をやるみたいな。
韮原:そういう方向……うーん。やりましょうか、一緒に(笑)。
片山:(笑)。
