「サマーウォーズ」は現実に起こるか 内閣サイバーセキュリティセンターに聞く（5/5 ページ）

インターネット上の仮想空間がサイバー攻撃を受け、現実のインフラや医療機器、人工衛星にまで被害が及ぶ――アニメ映画「サマーウォーズ」のそんなシーンが、もはや架空の話ではなくなるかもしれない。内閣サイバーセキュリティセンターに可能性を聞いた。

[片渕陽平，ITmedia]

サマーウォーズから学ぶべきこと

――IoT時代が本格到来しようとしています。サマーウォーズのようなトラブルが現実化する中で、IoT関連のサービスを作る側、使う側はどんなことに注意すべきでしょうか。

文月：　サービスや製品を開発するとき、セキュリティを考えることは人としての義務だと思います。ただ、それを分かっていてコストがかかるから見て見ぬふりをしているパターンと、本当に分かっていないパターンがあります。仮にセキュリティ意識があっても、サービスを作る側が根本的に“悪人”ではないために、いかに人をだませるか、アカウントを乗っ取れるかという視点が少ないことも考えられます。

　セキュリティは、きれいごとで済まないこともあります。悪意のある攻撃者はもうかるのであれば、他人の生命に危険が及ぼうと関係なく、ランサムウェアを使って病院のシステムを止める――といったことを思い付きます。人の命が懸かったほうが、より身代金を払う確率が高いだろうと考えるからです。

　サービスを使う側、開発側は善人が多く、平気でそんな悪意あることをするとは考えて作られていません。しかしセキュリティは単純に守りを固めればよいわけではなく、攻撃者の視点で「どこまで悪人になれるか」を考えなければいけません。

――主人公の健二君は“悪人”ではなかったわけですね。彼は何を気を付けるべきだったのでしょうか。

文月：　健二君が解読していたのは、暗号か何かでしょうか（※）。彼がやるべきだったのは、怪しいメールが来たら悪意の攻撃につながることを想像し踏みとどまること。返信するとは何事ですか（笑）

（※）健二は、謎の数列と「解いて」という言葉だけが書かれたメールを、数学の問題として考え、答えを導き出して返信する。その“問題”は、OZの管理棟のパスワードを求める計算問題だった。

健二君はメールを返信すべきではなかった（「サマーウォーズ」公式サイトより）

　届いたメールが本文中で完結しないものは全て疑え、というのが私の考えです。例えば「続きはこのリンクを見てください」「このソフトウェアをインストールしてください」など、本文からその先にジャンプしたとき、何が待ち構えているかは分かりません。自分が利用している企業から怪しいメールが来た場合は、そのリンクを直接開くのではなく、Webブラウザで直接企業のサイトにアクセス、会員ページにログインしてチェックするということを推奨しています。

　健二君が数学に詳しいことを攻撃者が知っていて、興味のあるメールを送り付け、アクションを起こさせたという考えもできます。もしかするとOZのユーザーの属性情報（プロフィール）があらかじめ流出していて、それを頼りに送り付けた可能性はある。これはまさしく標的型攻撃ですね。

　健二君は、悪いことは言わないので、そのメールはごみ箱に捨てるべきでした。代わりに夏希先輩のハートを射止めることはできなかったかもしれませんが（笑）