情報セキュリティー・サイバー犯罪(その8)(富士通ITシステムの欠陥が引き起こした英史上最大700人近い冤罪事件 企業の社会的責任とは、ライブ配信中「アカウント乗っ取り」驚きの手口 ツイッターのパスワードリセット機能を悪用、日本企業が直面する「サイバー空間の地政学的リスク」 脅威の傾向と防衛策とは) [社会]
情報セキュリティー・サイバー犯罪については、昨年8月11日に取上げた。今日は、(その8)(富士通ITシステムの欠陥が引き起こした英史上最大700人近い冤罪事件 企業の社会的責任とは、ライブ配信中「アカウント乗っ取り」驚きの手口 ツイッターのパスワードリセット機能を悪用、日本企業が直面する「サイバー空間の地政学的リスク」 脅威の傾向と防衛策とは)である。
先ずは、本園3月1日付けYahooニュースが掲載した在英国際ジャーナリストの木村正人氏による「富士通ITシステムの欠陥が引き起こした英史上最大700人近い冤罪事件 企業の社会的責任とは」を紹介しよう。
https://news.yahoo.co.jp/byline/kimuramasato/20220301-00284481
・『「ポストオフィス・ホライゾンIT公聴会」が始まる 富士通のITシステム「ホライゾン」の欠陥で700人近い民間受託郵便局長(準郵便局長)が全く身に覚えのない罪に陥れられた英史上最大の冤罪事件の公聴会が開かれている。システム導入から20年以上の歳月が過ぎ、自殺者を含め33人が濡れ衣を着せられたまま他界(英大衆紙デーリー・メール)。被害者の肉声に耳を傾けるとDX(デジタルトランスフォーメーション)という流行り言葉以上に企業の良心とは、社会的責任とは何かを改めて考えさせられた。 チャールズ英皇太子と故ダイアナ元皇太子妃の「世紀の結婚式」で有名なセント・ポール大聖堂そばにある国際紛争解決センターで「ポストオフィス・ホライゾンIT公聴会」は開かれ、2月14日から元局長の証言が始まった。 最初の証言者はマレーシア出身で20年以上、銀行で勤務した経験を持つバルジット・セティさん(69)。妻アンジャナさん(67)の父親が準郵便局長だったことから、2人で民間受託郵便局を営むことを思いつく。 1983年、アンジャナさんは英イングランド東部エセックス州で準郵便局長になり、2人は約19年間、何事もなく事業を展開する。手作業で日々の取引を記録して帳簿を作成した。時間はかかったが、現金の過不足が出ることはなかった。 過不足が生じた場合、帳簿を調べるとどこに問題があるのかすぐに突き止めることができたからだ。毎週、帳簿を集計してポストオフィスに送った。 インターネットや電子メールの普及により英国の郵便事業を担うロイヤルメールは2013年に民営化され、株式上場を果たした。それに伴い郵便事業の窓口業務を担うポストオフィスは政府が100%保有する非公開有限責任会社の形で切り離された。準郵便局長はポストオフィスとフランチャイズ契約を結んで民間委託郵便局を経営している。 バルジットさんは7回も郵便局強盗に襲われたが、体を張って1ペニーも渡さなかった。「ポストオフィスのお金を命懸けで守った」と胸を張った。01年ごろ、ポストオフィスからもう一つ民間受託郵便局を経営しないかとしつこく持ちかけられた。 乗り気ではなかったが「儲かるから」と執拗に説得され、長期リースや改装、警備など多額の投資をして2店舗目を持った。総額で15万ポンド(2340万円)近くを投資した』、「2人は約19年間、何事もなく事業を展開する。手作業で日々の取引を記録して帳簿を作成した。時間はかかったが、現金の過不足が出ることはなかった」、事務処理能力は高いようだ。
・『ホライゾンになって毎週1千ポンドの現金不足 2店舗目も1年目は順調だったが、02年ごろからホライゾンによって毎週1千ポンド(約15万6千円)の現金不足が指摘されるようになる。ホライゾンは現金過不足の防止と効率化のため1999年から順次、導入されていた。 バルジットさんは何度もポストオフィスのヘルプラインに連絡しても助けは得られなかった。2人は現金、切手、TVライセンス料など隅から隅まで調べてもホライゾンの勘定より現金が少なくなっていた。経験豊富なバルジットさんはホライゾンを疑った。 不足している現金は約1万7千ポンド(約265万円)に達した。ポストオフィスは突然、不足分を支払わなければ契約を3カ月後に打ち切ると通告してきた。 次の3カ月、不思議なことに現金の過剰が生じるようになり、その額は約4万ポンド(約624万円)に膨れ上がった。契約上、過剰分は懐に入れて良いことになっていたが「正しいことではないと感じた。ホライゾンが正しいとはとても信頼できなかった」という。 02年6月、ポストオフィスが監査に入った時、3万8922ポンド(約607万円)の過剰が生じていた。しかし契約は一方的に打ち切られ、ポストオフィスは差し引きして1万7874ポンド(約279万円)の不足分を支払えと通告してきた。2人は22年間にわたって経営してきた郵便局を失った。 債務超過で任意整理手続きが強制的に始められたため、新しい仕事を見つけることはできなかった。バルジットさんは重い鬱を患うようになり、自殺を真剣に考えたという。 英国の訴訟費用は庶民にとっては心臓が飛び出すほど高い。このためバルジットさんは下院議員や上院議員に相談した。13年になってポストオフィスから1千ポンドの補償で調停が持ちかけられたが、金額が安すぎて断った。 最終的に5千ポンド(約78万円)で泣く泣く折り合った。「50年、懸命に働いてきたのに貯金も生活もビジネスも失い、3人の子供たちの人生も暗転した」とバルジットさんは涙ながらに訴えた』、現金の不足・余剰の額は、1.7万£の不足、4.0万£の余剰、監査時には3.9万£の余剰、最終的な請求額は1.8万£と、どうみても辻褄が合わない。こんないい加減なもので「人生」が「暗転」させられるのでは、全く割に合わない。それにしても、「富士通」ともあろう一流のベンダーにあるまじき不祥事だ。
・『「数千のバグがあるホライゾンはクソの詰まった袋だった」 ポストオフィスは全取引の4割を占める年金など公的給付金支払いの窓口業務が05年までに銀行口座への直接振り込みに移行することを恐れてホライゾンの導入を急いだ経緯がある。 銀行は地方や農村地区の5%にしか存在しないが、地域に密着する郵便局はその60%をカバーしている。ホライゾンを英国の隅々にまで展開すればすべての銀行が郵便局支店をバンキング業務に使うかもしれないという計算も働いた。 しかし、この事件を追いかけているジャーナリスト、ニック・ウォーリス氏は渾身の著書『ザ・グレート・ポストオフィス・スキャンダル』で1998年に富士通に入社した内部告発者の証言を取り上げている。 「建物の中にいた全員があれ(ホライゾン)はクソの詰まった袋だと知っていた。最も深刻で使用不可を意味するカテゴリーAを含むバグが数千もあった。開発チームの8人のうち優秀なのは2~3人で、残りは幼稚園児並みだった」 しかし2000年からホライゾンに基づく不足分の取り立てや準郵便局長の訴追が始まり、有罪判決が量産されるようになる。04年に元準郵便局長の1人が「ポストオフィスの犠牲者」というウエブサイトを立ち上げ、09年に英専門誌コンピューター・ウィークリーが初めてホライゾンに濡れ衣を着せられたとして7人の元局長を取り上げた。 10年にはホライゾン・オンラインに切り替えられ、「ホライゾンは堅牢」との内部報告書が出されている。しかしコンサルティング会社はホライゾンにはバックドアがあり、追跡できないユーザーがネットワーク内を動き回っているとの懸念を指摘していた。 18年に元局長らは大きなリスクを覚悟の上で集団訴訟に踏み切り、19年12月、ロンドンの高等法院でポストオフィスは元局長555人に対し5800万ポンド(約90億6600万円)を支払うことで和解が成立した。和解金の多くは訴訟費用に充てられ、元局長が手にできたのは1200万ポンド(約18億7600万円)に過ぎなかった』、「コンサルティング会社はホライゾンにはバックドアがあり、追跡できないユーザーがネットワーク内を動き回っているとの懸念を指摘していた」、その「指摘」はどう生かされたのか不明だ。
・『2400人が補償申し立て 刑事事件審査委員会でこれまでに72人の有罪判決が取り消された。これを含めて700人近くの有罪判決が取り消される可能性がある。ポストオフィスは1人10万ポンド(約1560万円)を上限に補償に応じる方針で、現在2400人から補償が申し立てられている。 冤罪に陥れられた準郵便局長の中には不足分を埋めるため借金したり、失職してホームレスに転落したり、妊娠中に投獄されたり、結婚生活が破綻したり、子供が学校でいじめられ自傷行為に走ったりしたケースもある。 ポストオフィスは“被害者”であり、捜査官であり、検察官でもあった。だから相互チェックが全く働かなかった。ポストオフィスの監査では元局長はみな一様に「ホライゾンで問題が生じているのはあなただけだ」と説明され、不正会計の罪を認めて不足分を支払えば重い窃盗罪は取り下げると司法取引を持ちかけられていた。 法律扶助制度が日本に比べて十分でない英国では無実であっても元局長らは刑務所に入るのを恐れて司法取引に応じざるを得なかったのだ。 ポストオフィスに与えられた公訴権は不足分を取り立てるための手段と化し、司法取引の条件として「ホライゾンのことは一切口外しない」ことを誓約させられていた。ポストオフィスが英政府と一体であることも真相究明を遅らせた。 ホライゾンの欠陥を明確にし、教訓が生かされているか確かめるため、ボリス・ジョンソン英首相は20年2月に公聴会の開催を約束した。元局長のほかポストオフィス、富士通、英政府関係者が証言台に立つ。 証言者の一人、ダミアン・オーウェンさんの両親も民間委託郵便局を経営していた。オーウェンさんは10年に結婚し、第一子もできた。民間委託郵便局のマネジャーに指名されたが、同年8月の監査の結果、2万4867ポンド(約389万円)の現金不足を指摘された。窃盗罪で起訴され、禁錮8カ月の有罪判決を受けた。3カ月刑期を務めたあと足首に電子タグをつけられて釈放された。 オーウェンさんの事件は新聞の1面で報じられた。情報がメディアにリークされたのは明らかだった。暴力事件が絶えない刑務所の中で神経をすり減らしたオーウェンさんの体重は25キロ以上も減った。オーウェンさんは酒に溺れ、精神状態がおかしくなった。 「小さな支店だったので最も多い時でも1万3千ポンド(約203万円)だった。そんなに大きな穴が出るわけがなかった」と振り返った。ウォーリス記者の取材ではホライゾン導入後、週に10万ポンドの現金過剰が出た元局長もいる』、「ポストオフィスの監査では元局長はみな一様に「ホライゾンで問題が生じているのはあなただけだ」と説明され、不正会計の罪を認めて不足分を支払えば重い窃盗罪は取り下げると司法取引を持ちかけられていた」、「法律扶助制度が日本に比べて十分でない英国では無実であっても元局長らは刑務所に入るのを恐れて司法取引に応じざるを得なかった」、「ポストオフィスに与えられた公訴権は不足分を取り立てるための手段と化し、司法取引の条件として「ホライゾンのことは一切口外しない」ことを誓約させられていた」、「システム」にバグがあるにも拘らず、取り立て・司法取引に持ち込むのは乱暴だ。
・『「富士通にもポストオフィスにも責任がある」 オーウェンさんは富士通の責任について筆者にこう語る。「システムにかなり責任がある。どんなに急いでいても、どんなに早く完成させなければならないというプレッシャーがあったとしても、非常に多くの結果を残した。彼らがプロジェクトに着手した時、システムを構築し始めた時、システムをテストした時、欠陥を発見した時、そしてそれを実行し続けたことに責任がある。それを正すべきだ」 「しかし富士通はこの件から完全に距離を置いている。富士通はポストオフィスを非難し、ポストオフィスは富士通を非難している。それは言い逃れであり、両者とも責任をなすりつけ合うことはできない。誤りがあることを知っていて、それに従っているのだから、どちらにも責任がある。一緒に被害救済に取り組むべきだ」と憤りをぶちまけた。 集団訴訟の裁判官は29個のバグやトラブルを精査した上で「ホライゾンは最初の10年間は完璧には程遠く、バグ、エラー、欠陥が含まれており、その後も問題を抱えていた。ポストオフィスがホライゾンの欠陥を否定することは21世紀において地球が平らであると主張することに等しい」と指弾した。 「富士通の従業員が裁判所に提出したホライゾンのバグやエラー、欠陥に関する証拠の信憑性に重大な懸念ある」と裁判資料を検察当局に送付し、ロンドン警視庁が裁判での偽証の疑いで富士通の元社員2人を2回にわたって事情聴取した。 12~19年までポストオフィスのCEO(最高経営責任者)を務めたポーラ・ベネルズ氏は500万ポンド(約7億8千万円)の報酬を受け取り、ポストオフィスと慈善活動での実績が評価され、勲章を受賞した。「富士通から一貫して受けていたメッセージは、他のITシステムと同様にホライゾンは完璧ではなく、寿命も限られているが、基本的には健全というものだった」と英下院ビジネス・エネルギー・産業戦略特別委員会に説明した。 一方、富士通のロブ・プットランド上級副社長は「準郵便局長の起訴や集団訴訟の遂行に関するすべての決定はポストオフィスが行った。証人の選択、証拠の性質、関連文書など、訴訟のすべての側面を決定したのはポストオフィスだった」と弁解した。 ポストオフィスは富士通との契約を24年まで延長した。元英官僚の1人は富士通のITシステムはポストオフィスだけでなく、英政府の中枢も担っており、切っても切り離せなくなっていると打ち明けた。富士通に手を引かれると英政府は機能マヒに陥る恐れがあるというのだ。 富士通は今回も「将来に向け重要な教訓を得るため、最大限の透明性のある情報を提供することを約束する」と判で押したようなコメントを出した。しかし英史上最大の冤罪事件がなぜ起きたのかという真相は依然として藪の中だ。政府やポストオフィス、富士通は公聴会で正直にすべてを打ち明けるのだろうか。 最大で20年間苦しみ続けてきた元局長らの高齢化は進み、被害救済に一刻の猶予も許されない。企業の良心と社会的責任が問われていると思う。(おわり)』、「富士通のITシステムはポストオフィスだけでなく、英政府の中枢も担っており、切っても切り離せなくなっていると打ち明けた。富士通に手を引かれると英政府は機能マヒに陥る恐れがある」、1社への依存のマイナス面が顕在化したようだ。それにしても、驚くような不祥事が余り日本で報道されてないのは残念だ。
次に、4月21日付け東洋経済オンラインが掲載した成蹊大学客員教授/ITジャーナリストの高橋 暁子氏による「ライブ配信中「アカウント乗っ取り」驚きの手口 ツイッターのパスワードリセット機能を悪用」を紹介しよう。
https://toyokeizai.net/articles/-/582313
・『ライブ配信が人気だ。YouTube LIVE、17LIVE、Mirrativ、SHOWROOM、ふわっちなどの多くのライブ配信サービスがあり、毎日のように配信する配信者も多い。2020年のライブ配信市場規模は500億円とも言われている。 「ライブ配信中にSMS認証(注)が表示されていたことに気づかなかった。気づいたら、ゲームアカウントが乗っ取られていた」「投げ銭をしてくれるリスナーとDM(注)していたら勘違いされて、最寄り駅で待ち伏せされた。突然、配信者名を呼ばれてゾッとした」 一方、ライブ配信によって、このようにアカウントを乗っ取られたり、ストーカー被害につながる事例が増えている。ライブ配信で起きるリスクと対策について解説したい』、「ゲームアカウントが乗っ取られていた」、「最寄り駅で待ち伏せされた」、恐ろしいことだ。
(注)SMS認証:本人確認のために、ユーザーのスマートフォンや携帯電話にSMS(ショートメッセージ)を送信し、そこに記載された一時的な確認コードをWeb上で入力することで認証する仕組み(アスピック)
(注)DM:ツイッターやFacebookなどのSNSで特定の相手やグループ内だけでメッセージを送受信するダイレクト・メッセージ(The Smart Sales)。
・『SMS認証悪用で不正にアカウント作成 安全のため、多要素認証を設定している人は多いだろう。たとえばID・パスワードに加えて、スマホへSMSで送信された認証番号を入力する必要がある仕組みのことで、セキュリティーが高まるものだ。しかしこれをショルダーハック的に盗み見たうえで、SMS認証が必要なアプリのアカウントを勝手に作成する犯罪が起きている。 ゲーム実況など、自分のスマホ画面を映してライブ配信する人が増えている。2022年3月、神奈川県在住の高1男子生徒(16歳)が書類送検された。ライブ配信者のスマホにSMS認証をして画面に表示させることで、不正にフリマアプリのアカウントを作成。約300回にわたって不正なアカウントの作成を繰り返し、50万円ほど売り上げていたのだ。 昨年4月には、ライブ配信をしていた20代の男性が、悪用した人物に携帯電話の番号を特定されたうえ、勝手にアカウントを作成される被害にあっている。男性が利用していたサービスの運営会社では、同様の手口の被害が70件以上起きているという。 同様の手口で、アカウントが乗っ取られる被害も起きている。 2022年3月、ゲーム実況者の画面にSMS認証を表示させ、他人のアカウントを乗っ取ったとして、不正アクセス禁止法違反の疑いで無職男性(18歳)と男子高校生(16歳)が書類送検された。無職男性は乗っ取った約30個のアカウントで約20万円、男子高校生は約50個のアカウントを乗っ取り10〜20万円を得ていた。 このとき悪用されたのが、Twitterのパスワードリセット機能だ。Twitterのパスワードを忘れた場合、ユーザー名を入力すると、電話番号を設定している場合「末尾が○○の携帯電話にコードを送信」が選択できる。Twitterのユーザー名は公開されており、誰でも把握できる。これを入力することでSMS認証によるパスワードリセット、再設定が可能となり、ゲーム配信画面で確認すればアカウントを乗っ取ることができるのだ。 そのうえで、連携するゲームのアカウントも乗っ取ったというわけだ。アカウントさえ乗っ取れば、アカウント情報から電話番号も確認できてしまう。 なお、SMS認証が必要なサービスには、LINEやTwitter、メルカリやラクマなどのフリマアプリ、ポイントサイトやQRコード決済アプリなどがある。 Twitterなどで「SMS認証代行します」というアカウントを見かけるが、SMS認証は販売されていることがある。このように不正に作成されたアカウントは、マネーロンダリングなどに使われることが知られている』、「ライブ配信者のスマホにSMS認証をして画面に表示させることで、不正にフリマアプリのアカウントを作成。約300回にわたって不正なアカウントの作成をSMS認証は販売されていることがある繰り返し、50万円ほど売り上げていた」、「悪用されたのが、Twitterのパスワードリセット機能」、「SMS認証は販売されていることがある」、全く巧妙な手口だ。
・『「通知オフ」の徹底を、対策済みアプリも 対策として、ライブ配信時に通知が出ないように設定すると安心だ。このためには、いくつかの方法がある。 通知をオフにしようと思っても、忘れてしまうことがある。そこでiPhoneユーザー(iOS 15以降)の場合は、「集中モード」を活用しよう。オートメーションで特定アプリを起動したときには自動的に通知を出さないようにできる。設定→集中モードでアプリを選んで設定してほしい。 通知が出ないようにされているアプリもある。ゲーム実況などで使われるDiscordには配信モードがあり、OBS(配信ソフト)の起動中は自動的に通知が出ないようにできるのだ。 Mirrativでは、配信設定の中に「プッシュ通知隠し」がある。プッシュ通知が飛んできたときには、自動的に画面共有がオフになる仕組みだ。出てしまった通知は、「通知ぼかし機能」で読めなくするなどの対策が施されている。Android端末は「プッシュ通知隠し」をオンにしたうえで、サイレントモードなどを利用するといいだろう。 個別メッセージが配信中に表示されてプライバシーが流出、問題に発展して引退につながってしまった配信者もいる。このようなトラブル対策で多くのサービスが警告を出しているが、トラブルは続いている状況だ。 さらに進んで、プラットフォーム側で配信中はデフォルトで通知オフにしたり、通知を読めなくするなど対策すべきだろう』、こうした「対策」は全てするべきなようだ。
・『距離感を勘違いした故の「ライバー殺人事件」 「『今、後ろにいるよ』とDMがきて振り返ったら、50代くらいのおじさんが笑って立っていた」 これは、NHK「ねほりんぱほりん」のライバー(ライブ配信者)の回で、ライブ配信者の女性が語った恐ろしいエピソードだ。「距離感が近すぎると誤解されるし、よそよそしくしすぎると怒り出す」ので、距離感が難しいという。 ライバーはリスナーと距離が近い。名前を呼ばれたり、人間関係ができるこのような距離感の近さが売りの一つとなっている。しかしそのため距離感を勘違いするリスナーもおり、ストーカー事案に発展することも珍しくない。 2022年1月には、「ライバー殺人事件」も起きている。埼玉県越谷市でライブ配信者の女性が、投げ銭をしてくれていたファンに殺されたのだ。配信者の女性とリスナーの男は事件前に一度しか会っていなかった。男は動機について、「女性にライバーと視聴者の関係に戻ろうと言われた。女性が他の男のものになるなら殺してしまおうと思った」と語っている。距離感を勘違いされたために起きた悲劇だったというわけだ。 「投げ銭をくれるから、ついついリスナーの言うことを聞いて、個別にDMしたり、お願いを聞いたり、直接会ったりしてしまうライバーはいる。でも、個別のやり取りをすると『恋人同士』と勘違いするリスナーが出てきて危険と実感した」と、冒頭で紹介した女性配信者はいう。 専業ライバーなど、生活のすべてをコンテンツ化するライバーは多いが、生活圏で配信するとストーカーされるリスクがある。配信は自室内限定にするなど、居場所や自宅が特定されないような配慮が必要だ。 また、投げ銭をされるとついリスナーに心を許して個別にやり取りしたり、直接会ってしまう配信者もいるが、危険な行動だ。DMやLINEなどの個別のやり取りはせず、コメント欄や配信内など公の場でのやり取りに留めること。くれぐれも直接会ったり、自宅を教えたりしないことが大切だ。 ライブ配信が一般化したことで、悪用する事例や、犯罪被害につながる事例が続いている。個人情報はしっかりと管理し、リスナーとの距離感をうまく保ちながら、安全に配信を楽しんでほしい』、「ライバー殺人事件」は「距離感を勘違いされたために起きた悲劇」、「DMやLINEなどの個別のやり取りはせず、コメント欄や配信内など公の場でのやり取りに留めること。くれぐれも直接会ったり、自宅を教えたりしないことが大切だ」、大いに気を付けたいものだ。
第三に、5月17日付けダイヤモンド・オンラインが掲載したコントロール・リスクス・グループ コンサルタントの菊池朋之氏による「日本企業が直面する「サイバー空間の地政学的リスク」、脅威の傾向と防衛策とは」を紹介しよう。
https://diamond.jp/articles/-/302644
・『現実世界だけでなく、サイバー空間でも地政学的リスクが増大している。サイバー攻撃には特定の国が関与していることも多く、日系企業も十分注意が必要だ。今回は、地政学的リスク分析のプロが、サイバー空間における地政学的リスクを解説する』、興味深そうだ。
・『サイバー空間における地政学的リスクが上昇 日系企業も他人事ではない 2018年以降の米中対立の激化や、22年2月下旬に開始されたのロシアによるウクライナ侵攻により、日系企業が対応をしなければならない地政学的リスクは増大している。こうしたリスクの高まりは、現実世界だけでなくサイバー空間においても現出しており、日本の企業や組織はサイバー空間における地政学的リスクを認識し、適切な予防策と対応策を講じていくことが求められている。 社会のIoT(モノのインターネット)化の進展は年々加速しており、総務省の「令和3年版情報通信白書」では、何らかの形で情報通信技術に接続されているデバイスの数が世界全体で22年に約300億台、20年代中に500億台程度まで増加すると予測されている。 そして、インターネットを利用した国際的な情報通信も増加の一途をたどり、新型コロナウイルスの感染拡大により、さらに加速している。国際電気通信連合(ITU)の報告によれば、新型コロナウイルスによる移動制限、在宅勤務の国際的な普及等により、20年の国際的なインターネット上の通信量を示す越境データ流通量は世界全体で19年から37.7%増加した。18年から19年の越境データ流通量の増加が31.8%であったことを考慮すると、新型コロナウイルスの影響により通常よりも5~6%程度が増加したと考えられる。 前稿『日系企業にとってのロシア・ウクライナ危機、地政学的リスクへの対応力強化が急務』において述べた通り、ロシアによるウクライナ侵攻は、企業・組織にとっての地政学的リスクの不確実性を高めている。IoT化の進展と地政学的リスクの不確実性の高まりは、サイバー空間におけるリスクの影響と蓋然(がいぜん)性の上昇につながっている。サイバーセキュリティーの重要性は本稿において改めて言及するまでもないが、企業や組織はサイバー空間における地政学的リスクの影響を、これまで以上に考慮する必要が生じている。 国境のないサイバー空間が地政学的リスクとの関連性を有している点について、疑問を持たれる方もいるかもしれない。しかし、私たちが想起すべきなのは、サイバー空間を支えるインフラとそのユーザーは必ず地政学的属性を有しているという点である。つまり、通信インフラとしてのケーブルやサーバーなどの各種機器は、物理的な土地(や海中)に設置されており、サイバー空間のユーザーである個人や団体は特定国に国籍や登記として地理的属性を有している。 サイバー攻撃やサイバー犯罪には、一定の政治的思惑や思想信条に基づく要因が含まれ、通信インフラやIoTデバイス利用する施設が設置されている場所の地理的・政治的特性という、地政学的リスクの影響を強く受けることを考慮しなければならない。 (図表:日本におけるサイバー上の脅威アクターの割合はリンク先参照) そして、国家そのものも企業にとってのサイバー空間における、重大な脅威主体となっている。例えば、弊社のサイバー脅威分析チームの調べでは、18~21年に日本国内において確認されたサイバー攻撃の実施主体のうち51%が何らかの国家機関または、特定国家からの支援を受けた組織であるとみられている(右図)』、「18~21年に日本国内において確認されたサイバー攻撃の実施主体のうち51%が何らかの国家機関または、特定国家からの支援を受けた組織である」、なるほど。
・『各国政府がサイバー空間で活動強化 日系企業が備えるべきこととは 各国政府は、サイバー空間における、さまざまな活動を強化させている。例えば、敵対国の外交・軍事機密情報の窃取といった諜報活動、旧来型の軍事活動とサイバー攻撃を組み合わせたいわゆるハイブリッド戦争の能力強化、相手国の技術開発の妨害、フェイクニュースやプロパガンダによる情報操作やSNSの検閲、接続ユーザーのクリアランスなどの制度化が実施されている。こうした、国家のサイバー空間における対外的活動を担う組織の設立や既存組織の強化も各国で進められている。 例えば、サイバー空間での活動を担う国家機関として有名どころでは、中国人民軍の61398部隊、イスラエル国防軍の8200部隊、ロシアの軍参謀本部情報総局(GRU)、米国の国家安全保障局(NSA)および陸軍情報保全コマンド(INSCOM)などがサイバー空間において公然・非公然の活動を行っている。 また、これら国家の直轄機関以外にも、多くのAPTグループ(サイバー空間上で高度で持続的な脅威となっている特定グループ)が、特定国の支援を受けている組織や非公知組織であるといわれている。さらに米国は、20年に国防総省が「クリーンパス」構想の拡大案を発表し、国内のネットワークから中国など米国と対立関係にあり、米国政府が信頼できないとする国のベンダー機器やサービスの排除を進めている。他方、中国も「自力更生」として、通信分野を含むハイテク分野の対外的依存の脱却を推し進めている。 このように、多くの国家機関や、国家に関係する組織がサイバー空間で活動しているということは、国際政治環境の悪化が、サイバー空間におけるリスク環境の高まりに直結することを示している。敵対的関係にある、相手国の軍事機密情報は重要な諜報対象であり、相手国のインフラシステムへの攻撃により攻撃・防衛能力の阻害が可能となる。また、重要な防衛品目に関係する、研究開発機関や企業の活動を阻害できれば、特定国の軍事的拡張を遅延させることも可能となる。 いうまでもなく、日系の企業や組織も、中国やロシア、北朝鮮などの組織にとっては重要な攻撃対象だ。それらの国と関係するとみられるAPTグループの活動による被害は、国内でも多数報告されている。当社の調査では、日本国内における特定国家と関係を有するサイバー攻撃の実行主体による攻撃の70%超が、何らかの諜報活動に関連するものであり、企業が特に注意すべきなのは、先端技術などの機密情報や顧客情報である。実際にそれらの情報が窃取や、ランサムウェアなど他のサイバー攻撃の被害につながる事例も多数報告されている。 そして、近年増えている被害の一つとして、日系企業の海外子会社が攻撃を受け、最悪の場合イントラシステムから本社のサーバーやシステムに被害が及ぶ事例である。こうしたサイバー攻撃の被害は、研究開発の遅延、社会およびクライアントからの信用失墜、システムやデータ復旧コスト、顧客や取引先の機密情報が含まれていた場合の補償など、多岐に及ぶことを想定しなければならない』、「企業が特に注意すべきなのは、先端技術などの機密情報や顧客情報である。実際にそれらの情報が窃取や、ランサムウェアなど他のサイバー攻撃の被害につながる事例も多数報告されている。 そして、近年増えている被害の一つとして、日系企業の海外子会社が攻撃を受け、最悪の場合イントラシステムから本社のサーバーやシステムに被害が及ぶ事例」、大いに注意すべきだろう。
・『サイバー攻撃発生の予防だけでは不十分 被害が出たときの対策も重要 国内のほぼ全ての企業や組織は、サイバー攻撃に対する何らかの対策・対応を取り、日々強化している。しかし、日系企業のサイバーセキュリティーはファイアウオールの設置などによる、サイバー攻撃を受けないための施策が重視される傾向にある。しかし、サイバー攻撃も組織として対応すべき危機の一つとして、発生を予防するだけでなく、発生を早期に検知し対応を可能にする仕組み・報告体制や、サイバー攻撃を受けた際に被害を軽減するための取り組みも重要である。 さらにいえば、多大なコストと時間をかけた攻撃を実行可能な国家主体によるサイバー攻撃が増加している状況においては、予防策よりもむしろ攻撃を受け、何らかの被害が発生することを前提にした軽減策がより重要であるといえる。 つまり、危機管理の鉄則でもあるが、仮にサイバー攻撃を受け何らかの被害が発生してしまった場合、適切な対応を怠れば被害の拡大要因となる。さらに、一部のサイバー攻撃はどんなに強固な予防措置を取っていたとしても完全に防ぐことは困難である。 仮に、外部からのシステムへの侵入を完全に防ぐシステムを導入していたとしても、自社の導入しているシステム内に、未公表で修正プログラムが提供されていない未知の脆弱性、いわゆるゼロデイを悪意のある組織が先に発見してしまえば、既存のサイバーセキュリティーシステムはほとんど無意味なものとなってしまう。また、重要なシステムを外部のネットワークに接続させずスタンドアローン化し、外部からの侵入を防いでいたとしても、自社の関係者やベンダーが攻撃の入り口になる可能性がある。 例えば、米国政府やイスラエル政府が関与していたとされる(両国政府は否定)、イランの原子力施設に被害を与えた「スタックスネット」は、スタンドアローン化された遠心分離機を制御していたPLC(産業機器の制御システム)に対して攻撃が実施された。この攻撃では、特定PLCのゼロデイ脆弱性を突いた異常作動プログラムが組み込まれた攻撃ウェアを格納したUSBメモリーを、出入りするベンダーに提供することで攻撃が実施されたとされている。この攻撃によりイラン国内の1000基程度の遠心分離機が破損し、イランの核開発は数年単位で遅延したといわれている。 同じような攻撃が日本国内で実施される可能性があり、既に重要な工場やインフラ施設の内部システムに、攻撃用のアクセスルートとなるバックドアが構築され、水面下で攻撃準備が進められている可能性すらも否定できない。そして、国家間関係の対立激化は、国家が主導する予防の困難な高度なサイバー攻撃の脅威の増加に直結するといえる』、「発生を予防するだけでなく、発生を早期に検知し対応を可能にする仕組み・報告体制や、サイバー攻撃を受けた際に被害を軽減するための取り組みも重要である」、「国家間関係の対立激化は、国家が主導する予防の困難な高度なサイバー攻撃の脅威の増加に直結する」、その通りだ。
・『サイバー空間の地政学的リスク 日系企業はどう対応すべきか では、サイバー空間における地政学的リスクへは、具体的にどのように対応していけばいいのだろうか。リスク管理、危機対応そして地政学的リスク分析の専門ファームとして弊社では下記のようなご支援を提供している。 1. サイバー脅威分析(世界的なサイバー空間上のトレンド(攻撃手法、攻撃主体、対象セクターなど)を収集しサイバー空間における一般的なリスク環境を適切に把握する。その上で、地政学的リスク環境を踏まえて、その企業や組織にとってのサイバー空間上のリスク環境を分析することが求められる。例えば、適切な予防策と検討策を講じるため、攻撃を受ける可能性のあるポイントや情報は社内のどこにあるのか、自社が利用しているサーバーはどこに設置されているのかなどを明確することも重要である。 また、ダークウェブやディープウェブ上などで具体的な脅威情報が検出されないかどうかを確認し、自社が実際に攻撃の対象となっている可能性についても評価することが推奨される。実際に、特定企業のシステムに対するバックドアや脆弱性情報などがダークウェブ上で取引されている事例も多く見られている。 2.サイバーセキュリティー体制評価および強化(現時点でのサイバーセキュリティーに関する施策の実施状況、成熟度を評価し、想定される脅威に対して適切な対応がなされているかを分析する。例えば、サイバーセキュリティマニュアルやITポリシーの整備状況、従業員の順守傾向や理解度、インテリジェンス体制等を評価し、必要な体制強化を行う。 3.サイバー危機管理(上述した通り、サイバーセキュリティーに関連するインシデントは他の危機事象以上に、被害の予防策よりも被害の軽減策が重要となる。特に、国家機関が関与するような攻撃の場合、多くの資金や人員・時間をかけて攻撃が準備されている可能性があり、国際社会の不安定化によって国家が関与するサイバー攻撃が増加することが想定される。つまり、企業や組織は自社も攻撃を受け、何らかの被害が発生することを前提に、サイバーセキュリティーに関連した危機対応プロセス、対応指針、復旧プロセスなどを整備することが推奨される。 4.訓練・教育(適切なサイバーセキュリティー体制が整備されていたとしても、自社の関係者がそれを順守できなければ無意味となってしまう。フィッシングメール訓練やIT教育だけでなく、外部ベンダーの受け入れ環境・手続きの徹底や危機管理訓練も、サイバーセキュリティー体制の強化において重要な要素である。) 新型コロナウイルスや米中対立、ロシアによるウクライナ侵攻によって高まった、サイバー空間における地政学的リスク環境がさらに悪化することはあっても、短期的に改善することは考えにくい。そして、国家のサイバー空間への関与と活動が増加すれば、攻撃手法の高度化がもたらされることも想定される。日本国内で議論が高まっている「経済安全保障」においても、サイバー空間における安全保障の重要性が指摘されており、各企業もサイバーセキュリティー体制を強化することが求められている。 各企業は、自社にとってのサイバー空間上のリスクを、地政学的環境などの他の外部環境に関する知見と統合して分析し、適切な予防策と脅威の検知体制を導入することが望ましい。そして国家の関与するサイバー攻撃は予防が困難であることを自覚し、サイバー攻撃を受けることを前提にした危機管理体制の強化を進め、日進月歩で進む社会のIoT化や業務プロセスのDX化に合わせてサイバーセキュリティそのものの高い柔軟性を維持することが求められている』、「国家の関与するサイバー攻撃は予防が困難であることを自覚し、サイバー攻撃を受けることを前提にした危機管理体制の強化を進め、日進月歩で進む社会のIoT化や業務プロセスのDX化に合わせてサイバーセキュリティそのものの高い柔軟性を維持することが求められている」、その通りだろう。
先ずは、本園3月1日付けYahooニュースが掲載した在英国際ジャーナリストの木村正人氏による「富士通ITシステムの欠陥が引き起こした英史上最大700人近い冤罪事件 企業の社会的責任とは」を紹介しよう。
https://news.yahoo.co.jp/byline/kimuramasato/20220301-00284481
・『「ポストオフィス・ホライゾンIT公聴会」が始まる 富士通のITシステム「ホライゾン」の欠陥で700人近い民間受託郵便局長(準郵便局長)が全く身に覚えのない罪に陥れられた英史上最大の冤罪事件の公聴会が開かれている。システム導入から20年以上の歳月が過ぎ、自殺者を含め33人が濡れ衣を着せられたまま他界(英大衆紙デーリー・メール)。被害者の肉声に耳を傾けるとDX(デジタルトランスフォーメーション)という流行り言葉以上に企業の良心とは、社会的責任とは何かを改めて考えさせられた。 チャールズ英皇太子と故ダイアナ元皇太子妃の「世紀の結婚式」で有名なセント・ポール大聖堂そばにある国際紛争解決センターで「ポストオフィス・ホライゾンIT公聴会」は開かれ、2月14日から元局長の証言が始まった。 最初の証言者はマレーシア出身で20年以上、銀行で勤務した経験を持つバルジット・セティさん(69)。妻アンジャナさん(67)の父親が準郵便局長だったことから、2人で民間受託郵便局を営むことを思いつく。 1983年、アンジャナさんは英イングランド東部エセックス州で準郵便局長になり、2人は約19年間、何事もなく事業を展開する。手作業で日々の取引を記録して帳簿を作成した。時間はかかったが、現金の過不足が出ることはなかった。 過不足が生じた場合、帳簿を調べるとどこに問題があるのかすぐに突き止めることができたからだ。毎週、帳簿を集計してポストオフィスに送った。 インターネットや電子メールの普及により英国の郵便事業を担うロイヤルメールは2013年に民営化され、株式上場を果たした。それに伴い郵便事業の窓口業務を担うポストオフィスは政府が100%保有する非公開有限責任会社の形で切り離された。準郵便局長はポストオフィスとフランチャイズ契約を結んで民間委託郵便局を経営している。 バルジットさんは7回も郵便局強盗に襲われたが、体を張って1ペニーも渡さなかった。「ポストオフィスのお金を命懸けで守った」と胸を張った。01年ごろ、ポストオフィスからもう一つ民間受託郵便局を経営しないかとしつこく持ちかけられた。 乗り気ではなかったが「儲かるから」と執拗に説得され、長期リースや改装、警備など多額の投資をして2店舗目を持った。総額で15万ポンド(2340万円)近くを投資した』、「2人は約19年間、何事もなく事業を展開する。手作業で日々の取引を記録して帳簿を作成した。時間はかかったが、現金の過不足が出ることはなかった」、事務処理能力は高いようだ。
・『ホライゾンになって毎週1千ポンドの現金不足 2店舗目も1年目は順調だったが、02年ごろからホライゾンによって毎週1千ポンド(約15万6千円)の現金不足が指摘されるようになる。ホライゾンは現金過不足の防止と効率化のため1999年から順次、導入されていた。 バルジットさんは何度もポストオフィスのヘルプラインに連絡しても助けは得られなかった。2人は現金、切手、TVライセンス料など隅から隅まで調べてもホライゾンの勘定より現金が少なくなっていた。経験豊富なバルジットさんはホライゾンを疑った。 不足している現金は約1万7千ポンド(約265万円)に達した。ポストオフィスは突然、不足分を支払わなければ契約を3カ月後に打ち切ると通告してきた。 次の3カ月、不思議なことに現金の過剰が生じるようになり、その額は約4万ポンド(約624万円)に膨れ上がった。契約上、過剰分は懐に入れて良いことになっていたが「正しいことではないと感じた。ホライゾンが正しいとはとても信頼できなかった」という。 02年6月、ポストオフィスが監査に入った時、3万8922ポンド(約607万円)の過剰が生じていた。しかし契約は一方的に打ち切られ、ポストオフィスは差し引きして1万7874ポンド(約279万円)の不足分を支払えと通告してきた。2人は22年間にわたって経営してきた郵便局を失った。 債務超過で任意整理手続きが強制的に始められたため、新しい仕事を見つけることはできなかった。バルジットさんは重い鬱を患うようになり、自殺を真剣に考えたという。 英国の訴訟費用は庶民にとっては心臓が飛び出すほど高い。このためバルジットさんは下院議員や上院議員に相談した。13年になってポストオフィスから1千ポンドの補償で調停が持ちかけられたが、金額が安すぎて断った。 最終的に5千ポンド(約78万円)で泣く泣く折り合った。「50年、懸命に働いてきたのに貯金も生活もビジネスも失い、3人の子供たちの人生も暗転した」とバルジットさんは涙ながらに訴えた』、現金の不足・余剰の額は、1.7万£の不足、4.0万£の余剰、監査時には3.9万£の余剰、最終的な請求額は1.8万£と、どうみても辻褄が合わない。こんないい加減なもので「人生」が「暗転」させられるのでは、全く割に合わない。それにしても、「富士通」ともあろう一流のベンダーにあるまじき不祥事だ。
・『「数千のバグがあるホライゾンはクソの詰まった袋だった」 ポストオフィスは全取引の4割を占める年金など公的給付金支払いの窓口業務が05年までに銀行口座への直接振り込みに移行することを恐れてホライゾンの導入を急いだ経緯がある。 銀行は地方や農村地区の5%にしか存在しないが、地域に密着する郵便局はその60%をカバーしている。ホライゾンを英国の隅々にまで展開すればすべての銀行が郵便局支店をバンキング業務に使うかもしれないという計算も働いた。 しかし、この事件を追いかけているジャーナリスト、ニック・ウォーリス氏は渾身の著書『ザ・グレート・ポストオフィス・スキャンダル』で1998年に富士通に入社した内部告発者の証言を取り上げている。 「建物の中にいた全員があれ(ホライゾン)はクソの詰まった袋だと知っていた。最も深刻で使用不可を意味するカテゴリーAを含むバグが数千もあった。開発チームの8人のうち優秀なのは2~3人で、残りは幼稚園児並みだった」 しかし2000年からホライゾンに基づく不足分の取り立てや準郵便局長の訴追が始まり、有罪判決が量産されるようになる。04年に元準郵便局長の1人が「ポストオフィスの犠牲者」というウエブサイトを立ち上げ、09年に英専門誌コンピューター・ウィークリーが初めてホライゾンに濡れ衣を着せられたとして7人の元局長を取り上げた。 10年にはホライゾン・オンラインに切り替えられ、「ホライゾンは堅牢」との内部報告書が出されている。しかしコンサルティング会社はホライゾンにはバックドアがあり、追跡できないユーザーがネットワーク内を動き回っているとの懸念を指摘していた。 18年に元局長らは大きなリスクを覚悟の上で集団訴訟に踏み切り、19年12月、ロンドンの高等法院でポストオフィスは元局長555人に対し5800万ポンド(約90億6600万円)を支払うことで和解が成立した。和解金の多くは訴訟費用に充てられ、元局長が手にできたのは1200万ポンド(約18億7600万円)に過ぎなかった』、「コンサルティング会社はホライゾンにはバックドアがあり、追跡できないユーザーがネットワーク内を動き回っているとの懸念を指摘していた」、その「指摘」はどう生かされたのか不明だ。
・『2400人が補償申し立て 刑事事件審査委員会でこれまでに72人の有罪判決が取り消された。これを含めて700人近くの有罪判決が取り消される可能性がある。ポストオフィスは1人10万ポンド(約1560万円)を上限に補償に応じる方針で、現在2400人から補償が申し立てられている。 冤罪に陥れられた準郵便局長の中には不足分を埋めるため借金したり、失職してホームレスに転落したり、妊娠中に投獄されたり、結婚生活が破綻したり、子供が学校でいじめられ自傷行為に走ったりしたケースもある。 ポストオフィスは“被害者”であり、捜査官であり、検察官でもあった。だから相互チェックが全く働かなかった。ポストオフィスの監査では元局長はみな一様に「ホライゾンで問題が生じているのはあなただけだ」と説明され、不正会計の罪を認めて不足分を支払えば重い窃盗罪は取り下げると司法取引を持ちかけられていた。 法律扶助制度が日本に比べて十分でない英国では無実であっても元局長らは刑務所に入るのを恐れて司法取引に応じざるを得なかったのだ。 ポストオフィスに与えられた公訴権は不足分を取り立てるための手段と化し、司法取引の条件として「ホライゾンのことは一切口外しない」ことを誓約させられていた。ポストオフィスが英政府と一体であることも真相究明を遅らせた。 ホライゾンの欠陥を明確にし、教訓が生かされているか確かめるため、ボリス・ジョンソン英首相は20年2月に公聴会の開催を約束した。元局長のほかポストオフィス、富士通、英政府関係者が証言台に立つ。 証言者の一人、ダミアン・オーウェンさんの両親も民間委託郵便局を経営していた。オーウェンさんは10年に結婚し、第一子もできた。民間委託郵便局のマネジャーに指名されたが、同年8月の監査の結果、2万4867ポンド(約389万円)の現金不足を指摘された。窃盗罪で起訴され、禁錮8カ月の有罪判決を受けた。3カ月刑期を務めたあと足首に電子タグをつけられて釈放された。 オーウェンさんの事件は新聞の1面で報じられた。情報がメディアにリークされたのは明らかだった。暴力事件が絶えない刑務所の中で神経をすり減らしたオーウェンさんの体重は25キロ以上も減った。オーウェンさんは酒に溺れ、精神状態がおかしくなった。 「小さな支店だったので最も多い時でも1万3千ポンド(約203万円)だった。そんなに大きな穴が出るわけがなかった」と振り返った。ウォーリス記者の取材ではホライゾン導入後、週に10万ポンドの現金過剰が出た元局長もいる』、「ポストオフィスの監査では元局長はみな一様に「ホライゾンで問題が生じているのはあなただけだ」と説明され、不正会計の罪を認めて不足分を支払えば重い窃盗罪は取り下げると司法取引を持ちかけられていた」、「法律扶助制度が日本に比べて十分でない英国では無実であっても元局長らは刑務所に入るのを恐れて司法取引に応じざるを得なかった」、「ポストオフィスに与えられた公訴権は不足分を取り立てるための手段と化し、司法取引の条件として「ホライゾンのことは一切口外しない」ことを誓約させられていた」、「システム」にバグがあるにも拘らず、取り立て・司法取引に持ち込むのは乱暴だ。
・『「富士通にもポストオフィスにも責任がある」 オーウェンさんは富士通の責任について筆者にこう語る。「システムにかなり責任がある。どんなに急いでいても、どんなに早く完成させなければならないというプレッシャーがあったとしても、非常に多くの結果を残した。彼らがプロジェクトに着手した時、システムを構築し始めた時、システムをテストした時、欠陥を発見した時、そしてそれを実行し続けたことに責任がある。それを正すべきだ」 「しかし富士通はこの件から完全に距離を置いている。富士通はポストオフィスを非難し、ポストオフィスは富士通を非難している。それは言い逃れであり、両者とも責任をなすりつけ合うことはできない。誤りがあることを知っていて、それに従っているのだから、どちらにも責任がある。一緒に被害救済に取り組むべきだ」と憤りをぶちまけた。 集団訴訟の裁判官は29個のバグやトラブルを精査した上で「ホライゾンは最初の10年間は完璧には程遠く、バグ、エラー、欠陥が含まれており、その後も問題を抱えていた。ポストオフィスがホライゾンの欠陥を否定することは21世紀において地球が平らであると主張することに等しい」と指弾した。 「富士通の従業員が裁判所に提出したホライゾンのバグやエラー、欠陥に関する証拠の信憑性に重大な懸念ある」と裁判資料を検察当局に送付し、ロンドン警視庁が裁判での偽証の疑いで富士通の元社員2人を2回にわたって事情聴取した。 12~19年までポストオフィスのCEO(最高経営責任者)を務めたポーラ・ベネルズ氏は500万ポンド(約7億8千万円)の報酬を受け取り、ポストオフィスと慈善活動での実績が評価され、勲章を受賞した。「富士通から一貫して受けていたメッセージは、他のITシステムと同様にホライゾンは完璧ではなく、寿命も限られているが、基本的には健全というものだった」と英下院ビジネス・エネルギー・産業戦略特別委員会に説明した。 一方、富士通のロブ・プットランド上級副社長は「準郵便局長の起訴や集団訴訟の遂行に関するすべての決定はポストオフィスが行った。証人の選択、証拠の性質、関連文書など、訴訟のすべての側面を決定したのはポストオフィスだった」と弁解した。 ポストオフィスは富士通との契約を24年まで延長した。元英官僚の1人は富士通のITシステムはポストオフィスだけでなく、英政府の中枢も担っており、切っても切り離せなくなっていると打ち明けた。富士通に手を引かれると英政府は機能マヒに陥る恐れがあるというのだ。 富士通は今回も「将来に向け重要な教訓を得るため、最大限の透明性のある情報を提供することを約束する」と判で押したようなコメントを出した。しかし英史上最大の冤罪事件がなぜ起きたのかという真相は依然として藪の中だ。政府やポストオフィス、富士通は公聴会で正直にすべてを打ち明けるのだろうか。 最大で20年間苦しみ続けてきた元局長らの高齢化は進み、被害救済に一刻の猶予も許されない。企業の良心と社会的責任が問われていると思う。(おわり)』、「富士通のITシステムはポストオフィスだけでなく、英政府の中枢も担っており、切っても切り離せなくなっていると打ち明けた。富士通に手を引かれると英政府は機能マヒに陥る恐れがある」、1社への依存のマイナス面が顕在化したようだ。それにしても、驚くような不祥事が余り日本で報道されてないのは残念だ。
次に、4月21日付け東洋経済オンラインが掲載した成蹊大学客員教授/ITジャーナリストの高橋 暁子氏による「ライブ配信中「アカウント乗っ取り」驚きの手口 ツイッターのパスワードリセット機能を悪用」を紹介しよう。
https://toyokeizai.net/articles/-/582313
・『ライブ配信が人気だ。YouTube LIVE、17LIVE、Mirrativ、SHOWROOM、ふわっちなどの多くのライブ配信サービスがあり、毎日のように配信する配信者も多い。2020年のライブ配信市場規模は500億円とも言われている。 「ライブ配信中にSMS認証(注)が表示されていたことに気づかなかった。気づいたら、ゲームアカウントが乗っ取られていた」「投げ銭をしてくれるリスナーとDM(注)していたら勘違いされて、最寄り駅で待ち伏せされた。突然、配信者名を呼ばれてゾッとした」 一方、ライブ配信によって、このようにアカウントを乗っ取られたり、ストーカー被害につながる事例が増えている。ライブ配信で起きるリスクと対策について解説したい』、「ゲームアカウントが乗っ取られていた」、「最寄り駅で待ち伏せされた」、恐ろしいことだ。
(注)SMS認証:本人確認のために、ユーザーのスマートフォンや携帯電話にSMS(ショートメッセージ)を送信し、そこに記載された一時的な確認コードをWeb上で入力することで認証する仕組み(アスピック)
(注)DM:ツイッターやFacebookなどのSNSで特定の相手やグループ内だけでメッセージを送受信するダイレクト・メッセージ(The Smart Sales)。
・『SMS認証悪用で不正にアカウント作成 安全のため、多要素認証を設定している人は多いだろう。たとえばID・パスワードに加えて、スマホへSMSで送信された認証番号を入力する必要がある仕組みのことで、セキュリティーが高まるものだ。しかしこれをショルダーハック的に盗み見たうえで、SMS認証が必要なアプリのアカウントを勝手に作成する犯罪が起きている。 ゲーム実況など、自分のスマホ画面を映してライブ配信する人が増えている。2022年3月、神奈川県在住の高1男子生徒(16歳)が書類送検された。ライブ配信者のスマホにSMS認証をして画面に表示させることで、不正にフリマアプリのアカウントを作成。約300回にわたって不正なアカウントの作成を繰り返し、50万円ほど売り上げていたのだ。 昨年4月には、ライブ配信をしていた20代の男性が、悪用した人物に携帯電話の番号を特定されたうえ、勝手にアカウントを作成される被害にあっている。男性が利用していたサービスの運営会社では、同様の手口の被害が70件以上起きているという。 同様の手口で、アカウントが乗っ取られる被害も起きている。 2022年3月、ゲーム実況者の画面にSMS認証を表示させ、他人のアカウントを乗っ取ったとして、不正アクセス禁止法違反の疑いで無職男性(18歳)と男子高校生(16歳)が書類送検された。無職男性は乗っ取った約30個のアカウントで約20万円、男子高校生は約50個のアカウントを乗っ取り10〜20万円を得ていた。 このとき悪用されたのが、Twitterのパスワードリセット機能だ。Twitterのパスワードを忘れた場合、ユーザー名を入力すると、電話番号を設定している場合「末尾が○○の携帯電話にコードを送信」が選択できる。Twitterのユーザー名は公開されており、誰でも把握できる。これを入力することでSMS認証によるパスワードリセット、再設定が可能となり、ゲーム配信画面で確認すればアカウントを乗っ取ることができるのだ。 そのうえで、連携するゲームのアカウントも乗っ取ったというわけだ。アカウントさえ乗っ取れば、アカウント情報から電話番号も確認できてしまう。 なお、SMS認証が必要なサービスには、LINEやTwitter、メルカリやラクマなどのフリマアプリ、ポイントサイトやQRコード決済アプリなどがある。 Twitterなどで「SMS認証代行します」というアカウントを見かけるが、SMS認証は販売されていることがある。このように不正に作成されたアカウントは、マネーロンダリングなどに使われることが知られている』、「ライブ配信者のスマホにSMS認証をして画面に表示させることで、不正にフリマアプリのアカウントを作成。約300回にわたって不正なアカウントの作成をSMS認証は販売されていることがある繰り返し、50万円ほど売り上げていた」、「悪用されたのが、Twitterのパスワードリセット機能」、「SMS認証は販売されていることがある」、全く巧妙な手口だ。
・『「通知オフ」の徹底を、対策済みアプリも 対策として、ライブ配信時に通知が出ないように設定すると安心だ。このためには、いくつかの方法がある。 通知をオフにしようと思っても、忘れてしまうことがある。そこでiPhoneユーザー(iOS 15以降)の場合は、「集中モード」を活用しよう。オートメーションで特定アプリを起動したときには自動的に通知を出さないようにできる。設定→集中モードでアプリを選んで設定してほしい。 通知が出ないようにされているアプリもある。ゲーム実況などで使われるDiscordには配信モードがあり、OBS(配信ソフト)の起動中は自動的に通知が出ないようにできるのだ。 Mirrativでは、配信設定の中に「プッシュ通知隠し」がある。プッシュ通知が飛んできたときには、自動的に画面共有がオフになる仕組みだ。出てしまった通知は、「通知ぼかし機能」で読めなくするなどの対策が施されている。Android端末は「プッシュ通知隠し」をオンにしたうえで、サイレントモードなどを利用するといいだろう。 個別メッセージが配信中に表示されてプライバシーが流出、問題に発展して引退につながってしまった配信者もいる。このようなトラブル対策で多くのサービスが警告を出しているが、トラブルは続いている状況だ。 さらに進んで、プラットフォーム側で配信中はデフォルトで通知オフにしたり、通知を読めなくするなど対策すべきだろう』、こうした「対策」は全てするべきなようだ。
・『距離感を勘違いした故の「ライバー殺人事件」 「『今、後ろにいるよ』とDMがきて振り返ったら、50代くらいのおじさんが笑って立っていた」 これは、NHK「ねほりんぱほりん」のライバー(ライブ配信者)の回で、ライブ配信者の女性が語った恐ろしいエピソードだ。「距離感が近すぎると誤解されるし、よそよそしくしすぎると怒り出す」ので、距離感が難しいという。 ライバーはリスナーと距離が近い。名前を呼ばれたり、人間関係ができるこのような距離感の近さが売りの一つとなっている。しかしそのため距離感を勘違いするリスナーもおり、ストーカー事案に発展することも珍しくない。 2022年1月には、「ライバー殺人事件」も起きている。埼玉県越谷市でライブ配信者の女性が、投げ銭をしてくれていたファンに殺されたのだ。配信者の女性とリスナーの男は事件前に一度しか会っていなかった。男は動機について、「女性にライバーと視聴者の関係に戻ろうと言われた。女性が他の男のものになるなら殺してしまおうと思った」と語っている。距離感を勘違いされたために起きた悲劇だったというわけだ。 「投げ銭をくれるから、ついついリスナーの言うことを聞いて、個別にDMしたり、お願いを聞いたり、直接会ったりしてしまうライバーはいる。でも、個別のやり取りをすると『恋人同士』と勘違いするリスナーが出てきて危険と実感した」と、冒頭で紹介した女性配信者はいう。 専業ライバーなど、生活のすべてをコンテンツ化するライバーは多いが、生活圏で配信するとストーカーされるリスクがある。配信は自室内限定にするなど、居場所や自宅が特定されないような配慮が必要だ。 また、投げ銭をされるとついリスナーに心を許して個別にやり取りしたり、直接会ってしまう配信者もいるが、危険な行動だ。DMやLINEなどの個別のやり取りはせず、コメント欄や配信内など公の場でのやり取りに留めること。くれぐれも直接会ったり、自宅を教えたりしないことが大切だ。 ライブ配信が一般化したことで、悪用する事例や、犯罪被害につながる事例が続いている。個人情報はしっかりと管理し、リスナーとの距離感をうまく保ちながら、安全に配信を楽しんでほしい』、「ライバー殺人事件」は「距離感を勘違いされたために起きた悲劇」、「DMやLINEなどの個別のやり取りはせず、コメント欄や配信内など公の場でのやり取りに留めること。くれぐれも直接会ったり、自宅を教えたりしないことが大切だ」、大いに気を付けたいものだ。
第三に、5月17日付けダイヤモンド・オンラインが掲載したコントロール・リスクス・グループ コンサルタントの菊池朋之氏による「日本企業が直面する「サイバー空間の地政学的リスク」、脅威の傾向と防衛策とは」を紹介しよう。
https://diamond.jp/articles/-/302644
・『現実世界だけでなく、サイバー空間でも地政学的リスクが増大している。サイバー攻撃には特定の国が関与していることも多く、日系企業も十分注意が必要だ。今回は、地政学的リスク分析のプロが、サイバー空間における地政学的リスクを解説する』、興味深そうだ。
・『サイバー空間における地政学的リスクが上昇 日系企業も他人事ではない 2018年以降の米中対立の激化や、22年2月下旬に開始されたのロシアによるウクライナ侵攻により、日系企業が対応をしなければならない地政学的リスクは増大している。こうしたリスクの高まりは、現実世界だけでなくサイバー空間においても現出しており、日本の企業や組織はサイバー空間における地政学的リスクを認識し、適切な予防策と対応策を講じていくことが求められている。 社会のIoT(モノのインターネット)化の進展は年々加速しており、総務省の「令和3年版情報通信白書」では、何らかの形で情報通信技術に接続されているデバイスの数が世界全体で22年に約300億台、20年代中に500億台程度まで増加すると予測されている。 そして、インターネットを利用した国際的な情報通信も増加の一途をたどり、新型コロナウイルスの感染拡大により、さらに加速している。国際電気通信連合(ITU)の報告によれば、新型コロナウイルスによる移動制限、在宅勤務の国際的な普及等により、20年の国際的なインターネット上の通信量を示す越境データ流通量は世界全体で19年から37.7%増加した。18年から19年の越境データ流通量の増加が31.8%であったことを考慮すると、新型コロナウイルスの影響により通常よりも5~6%程度が増加したと考えられる。 前稿『日系企業にとってのロシア・ウクライナ危機、地政学的リスクへの対応力強化が急務』において述べた通り、ロシアによるウクライナ侵攻は、企業・組織にとっての地政学的リスクの不確実性を高めている。IoT化の進展と地政学的リスクの不確実性の高まりは、サイバー空間におけるリスクの影響と蓋然(がいぜん)性の上昇につながっている。サイバーセキュリティーの重要性は本稿において改めて言及するまでもないが、企業や組織はサイバー空間における地政学的リスクの影響を、これまで以上に考慮する必要が生じている。 国境のないサイバー空間が地政学的リスクとの関連性を有している点について、疑問を持たれる方もいるかもしれない。しかし、私たちが想起すべきなのは、サイバー空間を支えるインフラとそのユーザーは必ず地政学的属性を有しているという点である。つまり、通信インフラとしてのケーブルやサーバーなどの各種機器は、物理的な土地(や海中)に設置されており、サイバー空間のユーザーである個人や団体は特定国に国籍や登記として地理的属性を有している。 サイバー攻撃やサイバー犯罪には、一定の政治的思惑や思想信条に基づく要因が含まれ、通信インフラやIoTデバイス利用する施設が設置されている場所の地理的・政治的特性という、地政学的リスクの影響を強く受けることを考慮しなければならない。 (図表:日本におけるサイバー上の脅威アクターの割合はリンク先参照) そして、国家そのものも企業にとってのサイバー空間における、重大な脅威主体となっている。例えば、弊社のサイバー脅威分析チームの調べでは、18~21年に日本国内において確認されたサイバー攻撃の実施主体のうち51%が何らかの国家機関または、特定国家からの支援を受けた組織であるとみられている(右図)』、「18~21年に日本国内において確認されたサイバー攻撃の実施主体のうち51%が何らかの国家機関または、特定国家からの支援を受けた組織である」、なるほど。
・『各国政府がサイバー空間で活動強化 日系企業が備えるべきこととは 各国政府は、サイバー空間における、さまざまな活動を強化させている。例えば、敵対国の外交・軍事機密情報の窃取といった諜報活動、旧来型の軍事活動とサイバー攻撃を組み合わせたいわゆるハイブリッド戦争の能力強化、相手国の技術開発の妨害、フェイクニュースやプロパガンダによる情報操作やSNSの検閲、接続ユーザーのクリアランスなどの制度化が実施されている。こうした、国家のサイバー空間における対外的活動を担う組織の設立や既存組織の強化も各国で進められている。 例えば、サイバー空間での活動を担う国家機関として有名どころでは、中国人民軍の61398部隊、イスラエル国防軍の8200部隊、ロシアの軍参謀本部情報総局(GRU)、米国の国家安全保障局(NSA)および陸軍情報保全コマンド(INSCOM)などがサイバー空間において公然・非公然の活動を行っている。 また、これら国家の直轄機関以外にも、多くのAPTグループ(サイバー空間上で高度で持続的な脅威となっている特定グループ)が、特定国の支援を受けている組織や非公知組織であるといわれている。さらに米国は、20年に国防総省が「クリーンパス」構想の拡大案を発表し、国内のネットワークから中国など米国と対立関係にあり、米国政府が信頼できないとする国のベンダー機器やサービスの排除を進めている。他方、中国も「自力更生」として、通信分野を含むハイテク分野の対外的依存の脱却を推し進めている。 このように、多くの国家機関や、国家に関係する組織がサイバー空間で活動しているということは、国際政治環境の悪化が、サイバー空間におけるリスク環境の高まりに直結することを示している。敵対的関係にある、相手国の軍事機密情報は重要な諜報対象であり、相手国のインフラシステムへの攻撃により攻撃・防衛能力の阻害が可能となる。また、重要な防衛品目に関係する、研究開発機関や企業の活動を阻害できれば、特定国の軍事的拡張を遅延させることも可能となる。 いうまでもなく、日系の企業や組織も、中国やロシア、北朝鮮などの組織にとっては重要な攻撃対象だ。それらの国と関係するとみられるAPTグループの活動による被害は、国内でも多数報告されている。当社の調査では、日本国内における特定国家と関係を有するサイバー攻撃の実行主体による攻撃の70%超が、何らかの諜報活動に関連するものであり、企業が特に注意すべきなのは、先端技術などの機密情報や顧客情報である。実際にそれらの情報が窃取や、ランサムウェアなど他のサイバー攻撃の被害につながる事例も多数報告されている。 そして、近年増えている被害の一つとして、日系企業の海外子会社が攻撃を受け、最悪の場合イントラシステムから本社のサーバーやシステムに被害が及ぶ事例である。こうしたサイバー攻撃の被害は、研究開発の遅延、社会およびクライアントからの信用失墜、システムやデータ復旧コスト、顧客や取引先の機密情報が含まれていた場合の補償など、多岐に及ぶことを想定しなければならない』、「企業が特に注意すべきなのは、先端技術などの機密情報や顧客情報である。実際にそれらの情報が窃取や、ランサムウェアなど他のサイバー攻撃の被害につながる事例も多数報告されている。 そして、近年増えている被害の一つとして、日系企業の海外子会社が攻撃を受け、最悪の場合イントラシステムから本社のサーバーやシステムに被害が及ぶ事例」、大いに注意すべきだろう。
・『サイバー攻撃発生の予防だけでは不十分 被害が出たときの対策も重要 国内のほぼ全ての企業や組織は、サイバー攻撃に対する何らかの対策・対応を取り、日々強化している。しかし、日系企業のサイバーセキュリティーはファイアウオールの設置などによる、サイバー攻撃を受けないための施策が重視される傾向にある。しかし、サイバー攻撃も組織として対応すべき危機の一つとして、発生を予防するだけでなく、発生を早期に検知し対応を可能にする仕組み・報告体制や、サイバー攻撃を受けた際に被害を軽減するための取り組みも重要である。 さらにいえば、多大なコストと時間をかけた攻撃を実行可能な国家主体によるサイバー攻撃が増加している状況においては、予防策よりもむしろ攻撃を受け、何らかの被害が発生することを前提にした軽減策がより重要であるといえる。 つまり、危機管理の鉄則でもあるが、仮にサイバー攻撃を受け何らかの被害が発生してしまった場合、適切な対応を怠れば被害の拡大要因となる。さらに、一部のサイバー攻撃はどんなに強固な予防措置を取っていたとしても完全に防ぐことは困難である。 仮に、外部からのシステムへの侵入を完全に防ぐシステムを導入していたとしても、自社の導入しているシステム内に、未公表で修正プログラムが提供されていない未知の脆弱性、いわゆるゼロデイを悪意のある組織が先に発見してしまえば、既存のサイバーセキュリティーシステムはほとんど無意味なものとなってしまう。また、重要なシステムを外部のネットワークに接続させずスタンドアローン化し、外部からの侵入を防いでいたとしても、自社の関係者やベンダーが攻撃の入り口になる可能性がある。 例えば、米国政府やイスラエル政府が関与していたとされる(両国政府は否定)、イランの原子力施設に被害を与えた「スタックスネット」は、スタンドアローン化された遠心分離機を制御していたPLC(産業機器の制御システム)に対して攻撃が実施された。この攻撃では、特定PLCのゼロデイ脆弱性を突いた異常作動プログラムが組み込まれた攻撃ウェアを格納したUSBメモリーを、出入りするベンダーに提供することで攻撃が実施されたとされている。この攻撃によりイラン国内の1000基程度の遠心分離機が破損し、イランの核開発は数年単位で遅延したといわれている。 同じような攻撃が日本国内で実施される可能性があり、既に重要な工場やインフラ施設の内部システムに、攻撃用のアクセスルートとなるバックドアが構築され、水面下で攻撃準備が進められている可能性すらも否定できない。そして、国家間関係の対立激化は、国家が主導する予防の困難な高度なサイバー攻撃の脅威の増加に直結するといえる』、「発生を予防するだけでなく、発生を早期に検知し対応を可能にする仕組み・報告体制や、サイバー攻撃を受けた際に被害を軽減するための取り組みも重要である」、「国家間関係の対立激化は、国家が主導する予防の困難な高度なサイバー攻撃の脅威の増加に直結する」、その通りだ。
・『サイバー空間の地政学的リスク 日系企業はどう対応すべきか では、サイバー空間における地政学的リスクへは、具体的にどのように対応していけばいいのだろうか。リスク管理、危機対応そして地政学的リスク分析の専門ファームとして弊社では下記のようなご支援を提供している。 1. サイバー脅威分析(世界的なサイバー空間上のトレンド(攻撃手法、攻撃主体、対象セクターなど)を収集しサイバー空間における一般的なリスク環境を適切に把握する。その上で、地政学的リスク環境を踏まえて、その企業や組織にとってのサイバー空間上のリスク環境を分析することが求められる。例えば、適切な予防策と検討策を講じるため、攻撃を受ける可能性のあるポイントや情報は社内のどこにあるのか、自社が利用しているサーバーはどこに設置されているのかなどを明確することも重要である。 また、ダークウェブやディープウェブ上などで具体的な脅威情報が検出されないかどうかを確認し、自社が実際に攻撃の対象となっている可能性についても評価することが推奨される。実際に、特定企業のシステムに対するバックドアや脆弱性情報などがダークウェブ上で取引されている事例も多く見られている。 2.サイバーセキュリティー体制評価および強化(現時点でのサイバーセキュリティーに関する施策の実施状況、成熟度を評価し、想定される脅威に対して適切な対応がなされているかを分析する。例えば、サイバーセキュリティマニュアルやITポリシーの整備状況、従業員の順守傾向や理解度、インテリジェンス体制等を評価し、必要な体制強化を行う。 3.サイバー危機管理(上述した通り、サイバーセキュリティーに関連するインシデントは他の危機事象以上に、被害の予防策よりも被害の軽減策が重要となる。特に、国家機関が関与するような攻撃の場合、多くの資金や人員・時間をかけて攻撃が準備されている可能性があり、国際社会の不安定化によって国家が関与するサイバー攻撃が増加することが想定される。つまり、企業や組織は自社も攻撃を受け、何らかの被害が発生することを前提に、サイバーセキュリティーに関連した危機対応プロセス、対応指針、復旧プロセスなどを整備することが推奨される。 4.訓練・教育(適切なサイバーセキュリティー体制が整備されていたとしても、自社の関係者がそれを順守できなければ無意味となってしまう。フィッシングメール訓練やIT教育だけでなく、外部ベンダーの受け入れ環境・手続きの徹底や危機管理訓練も、サイバーセキュリティー体制の強化において重要な要素である。) 新型コロナウイルスや米中対立、ロシアによるウクライナ侵攻によって高まった、サイバー空間における地政学的リスク環境がさらに悪化することはあっても、短期的に改善することは考えにくい。そして、国家のサイバー空間への関与と活動が増加すれば、攻撃手法の高度化がもたらされることも想定される。日本国内で議論が高まっている「経済安全保障」においても、サイバー空間における安全保障の重要性が指摘されており、各企業もサイバーセキュリティー体制を強化することが求められている。 各企業は、自社にとってのサイバー空間上のリスクを、地政学的環境などの他の外部環境に関する知見と統合して分析し、適切な予防策と脅威の検知体制を導入することが望ましい。そして国家の関与するサイバー攻撃は予防が困難であることを自覚し、サイバー攻撃を受けることを前提にした危機管理体制の強化を進め、日進月歩で進む社会のIoT化や業務プロセスのDX化に合わせてサイバーセキュリティそのものの高い柔軟性を維持することが求められている』、「国家の関与するサイバー攻撃は予防が困難であることを自覚し、サイバー攻撃を受けることを前提にした危機管理体制の強化を進め、日進月歩で進む社会のIoT化や業務プロセスのDX化に合わせてサイバーセキュリティそのものの高い柔軟性を維持することが求められている」、その通りだろう。
タグ:情報セキュリティー・サイバー犯罪 (その8)(富士通ITシステムの欠陥が引き起こした英史上最大700人近い冤罪事件 企業の社会的責任とは、ライブ配信中「アカウント乗っ取り」驚きの手口 ツイッターのパスワードリセット機能を悪用、日本企業が直面する「サイバー空間の地政学的リスク」 脅威の傾向と防衛策とは) yahooニュース 木村正人氏による「富士通ITシステムの欠陥が引き起こした英史上最大700人近い冤罪事件 企業の社会的責任とは」 「2人は約19年間、何事もなく事業を展開する。手作業で日々の取引を記録して帳簿を作成した。時間はかかったが、現金の過不足が出ることはなかった」、事務処理能力は高いようだ。 現金の不足・余剰の額は、1.7万£の不足、4.0万£の余剰、監査時には3.9万£の余剰、最終的な請求額は1.8万£と、どうみても辻褄が合わない。こんないい加減なもので「人生」が「暗転」させられるのでは、全く割に合わない。それにしても、「富士通」ともあろう一流のベンダーにあるまじき不祥事だ。 「コンサルティング会社はホライゾンにはバックドアがあり、追跡できないユーザーがネットワーク内を動き回っているとの懸念を指摘していた」、その「指摘」はどう生かされたのか不明だ。 「ポストオフィスの監査では元局長はみな一様に「ホライゾンで問題が生じているのはあなただけだ」と説明され、不正会計の罪を認めて不足分を支払えば重い窃盗罪は取り下げると司法取引を持ちかけられていた」、「法律扶助制度が日本に比べて十分でない英国では無実であっても元局長らは刑務所に入るのを恐れて司法取引に応じざるを得なかった」、「ポストオフィスに与えられた公訴権は不足分を取り立てるための手段と化し、司法取引の条件として「ホライゾンのことは一切口外しない」ことを誓約させられていた」、「システム」にバグがあるにも拘ら 「富士通のITシステムはポストオフィスだけでなく、英政府の中枢も担っており、切っても切り離せなくなっていると打ち明けた。富士通に手を引かれると英政府は機能マヒに陥る恐れがある」、1社への依存のマイナス面が顕在化したようだ。それにしても、驚くような不祥事が余り日本で報道されてないのは残念だ。 東洋経済オンライン 高橋 暁子氏による「ライブ配信中「アカウント乗っ取り」驚きの手口 ツイッターのパスワードリセット機能を悪用」 「ゲームアカウントが乗っ取られていた」、「最寄り駅で待ち伏せされた」、恐ろしいことだ。 (注)SMS認証:本人確認のために、ユーザーのスマートフォンや携帯電話にSMS(ショートメッセージ)を送信し、そこに記載された一時的な確認コードをWeb上で入力することで認証する仕組み(アスピック) (注)DM:ツイッターやFacebookなどのSNSで特定の相手やグループ内だけでメッセージを送受信するダイレクト・メッセージ(The Smart Sales) 「ライブ配信者のスマホにSMS認証をして画面に表示させることで、不正にフリマアプリのアカウントを作成。約300回にわたって不正なアカウントの作成をSMS認証は販売されていることがある繰り返し、50万円ほど売り上げていた」、「悪用されたのが、Twitterのパスワードリセット機能」、「SMS認証は販売されていることがある」、全く巧妙な手口だ。 こうした「対策」は全てするべきなようだ。 「ライバー殺人事件」は「距離感を勘違いされたために起きた悲劇」、「DMやLINEなどの個別のやり取りはせず、コメント欄や配信内など公の場でのやり取りに留めること。くれぐれも直接会ったり、自宅を教えたりしないことが大切だ」、大いに気を付けたいものだ。 ダイヤモンド・オンライン 菊池朋之氏による「日本企業が直面する「サイバー空間の地政学的リスク」、脅威の傾向と防衛策とは」 「18~21年に日本国内において確認されたサイバー攻撃の実施主体のうち51%が何らかの国家機関または、特定国家からの支援を受けた組織である」、なるほど。 「企業が特に注意すべきなのは、先端技術などの機密情報や顧客情報である。実際にそれらの情報が窃取や、ランサムウェアなど他のサイバー攻撃の被害につながる事例も多数報告されている。 そして、近年増えている被害の一つとして、日系企業の海外子会社が攻撃を受け、最悪の場合イントラシステムから本社のサーバーやシステムに被害が及ぶ事例」、大いに注意すべきだろう。 「発生を予防するだけでなく、発生を早期に検知し対応を可能にする仕組み・報告体制や、サイバー攻撃を受けた際に被害を軽減するための取り組みも重要である」、「国家間関係の対立激化は、国家が主導する予防の困難な高度なサイバー攻撃の脅威の増加に直結する」、その通りだ。 「国家の関与するサイバー攻撃は予防が困難であることを自覚し、サイバー攻撃を受けることを前提にした危機管理体制の強化を進め、日進月歩で進む社会のIoT化や業務プロセスのDX化に合わせてサイバーセキュリティそのものの高い柔軟性を維持することが求められている」、その通りだろう。