年金機構事件から1年、日本が至急やるべき10の対策と心構え：ハギーのデジタル道しるべ（1/3 ページ）

社会を震撼させたサイバー攻撃による日本年金機構での情報漏えいから1年が過ぎた。残念ながら企業・組織の意識やと対策行動が大きく改善する兆しは見えない。ただちにやるべきこととは何かを挙げる。

[萩原栄幸，ITmedia]

予想していたサイバー攻撃の脅威

　筆者の主な仕事は、金融機関などのコンサルタントやセミナー、講演会だが、数年前からいくつかのセミナーで次のような文言を紹介している。もし読者で受講された方なら、いま一度配布したテキストなどを確認していただきたい。

　米国国防総省の関係者によると、少なくとも日本だけで年間1000億円以上もの被害がでているはずという。しかし国内の政府関係者、金融関係者、一般企業などでは、

1. 被害があっても情報公開しない
2. そもそも被害に遭っているという認識すらない

という実態がある。物が盗まれるのではなく「情報」が盗まれるので、「情報だから」と　言い逃れができるなどの多くの理由により、そのほとんどが隠ぺいされている可能性がある。だが、「公開しないリスク」は計りしれない状況となっている。

サイバー攻撃は想像以上に危険な状況か？

　これは、ソフトウェアの作成などで国防総省に頻繁に出入りされている米国人幹部から実際に聞いた話だ。彼は、「もっと情報を公開しないと。目の前の泥棒を捕まえられなくなってしまうのではないか」という。筆者は20年に以上にわたる情報セキュリティの経験から、上記の2点を彼に伝えた。

　すると、「ほとんどの企業や団体は、そもそも被害に遭っているという認識すらないというケースが多い。セキュリティ会社に調査依頼があると、高確率で既に数カ月前、時には数年前から情報が盗まれていたという結果になってしまう」と発言された。

　そういう意味で、2015年にサイバー攻撃を受けて情報漏えいが発生した日本年金機構は、少なくとも「被害者」であると判明しただけ、まだましだったということになる。だが、これも警視庁などへ届け出た結果として、外部組織が詳しく分析したことから、詳しい原因や対策が見えてきたにすぎない。自前で対応していたなら、せいぜい「今後は怪しいメールを開かないようにしなさい」という程度の対策で終了していたかもしれない。

　2016年2月7日にNHKスペシャル「CYBER SHOCK」が放映された。その番組で初めて公表された事実は次のものである。

1. 日本年金機構だけが攻撃されたのではない
2. 実は1000以上もの企業や団体が攻撃されていた
3. だが「攻撃された」を公表した企業や団体は数えるほどしかない

　要は、上述の筆者が数年前からセミナーで指摘していることが、実際にそうだったということだ。テキストにあるように、一部の企業・団体はサイバー攻撃を認知しても公表しない。実は「攻撃されていても気が付いていない」という極めてまずい状況にある企業や団体がほとんどという驚愕の実態がそこにある。

　この辺の技術的な側面は本論ではないので省くが、「Emdivi」「Blue Termite」などと呼ばれている日本だけを標的にしたウイルスが話題になった。これも筆者は数年前からその存在をセミナーで予告していた。

　今まで日本は、「2バイト圏」「漢字の国」「独特の文法」などの見えない障壁があり、攻撃はさほど気にならなかった。しかし、攻撃はすぐにそれらの壁をかい潜り、平和ぼけしているという日本人の脇の甘さに付け入る。目に見えないものに対する防御に慣れていない日本で大きな被害が発生する日が来る。