高野 聖玄

ここで指摘されている、サイバー被害の裏に「ベンダー主導によるIT導入という日本特有の企業文化を背景とした構造的な問題」があるというのは、その通りだと思います。2010年代になってからも、セールスフォースを導入するために、セールスフォースに強いベンダーに依存するという構図が生まれてことも、そのひとつの現れでしょう（内部IT人材が育成されないという意味においてです。セキュリティ的にはセールスフォースにすることで強化されていると思います。念のため）。 なお、実際にサイバー攻撃によるインシデントが発生した際、ベンダー依存の企業に比べ、自社でサービスを開発してるITベンチャーは、対応スピードも早く、回復力も高いと感じます。

ずいぶん前に端末から漏洩する電磁波を解析して、ディスプレイに映っている内容を再現するというものがありましたが、イヤースピーカーからの振動を加速度センサーで把握するというのは面白いです。記事にもある通り、結果的には直近の脅威とは言えませんが、いろいろな手法に応用できそうではあります。

実際にインシデント対応を行っていて、一番困るのは検証するためのログがない場合です。従来からきちんとログを取っていない場合、被害の特定に多大な時間を要します（攻撃によって消失・改竄されたり、ランサムウェアで暗号化されたりするケースもありますが）。金融業界に求められるセキュリティ水準は、一般企業向けより厳しい設計になっていると言えますが、とりわけログの取り扱いについては、一般企業も倣うべき点は多いと思います。

先日、共同通信が報じた「防衛省、世論工作の研究に着手」という記事の内容に大きな違和感を感じていたところ、法政大学の藤代裕之教授の記事が問題点を分かりやすく記していたのでシェアします。ハイブリッド戦におけるディスインフォメーションへの備えとして一番大切なのは、自国に対して他国がどういう影響を及ぼそうとしているかを察知し、それに対して国内世論が分断化などの悪影響を受けないように、民主主義的な方法を持って対応していくことです。この記事にあるように国内世論を誘導することを政府が行おうとしているのであれば、それはまったくもって避けるべきアプローチでありますし、それをインフルエンサーを使ってという視点も稚拙で、どこからこの議論が出てきたのかという気持ちです。記事の背景をもう少し知りたいですね。

こういった話を聞くにつれ、この四半世紀の日本の産業政策を振り返ることの重要性を感じます。2000年代の半導体業界に対する風向き、2010年代の通信業界に対する風向きなど、そろそろ検証してもよい時期かなと思います。

ランサムウェア感染や個人情報の漏洩が発生した際に、企業がどう対応すべきかが、法律実務の観点で非常に分かりやすく記載されています。講演者の蔦弁護士は、NISCのサイバー攻撃被害に係る情報の共有・公表ガイダンス検討会のメンバーにも入られているようで、今後どんなサイバー絡みのガイダンスが国から出てくるかについて、企業が予め心構えておくうえでも非常に役立つ話になっています。

2014年にサイバーセキュリティ基本法が成立した時から、関係者の中には将来的にNISCを格上げすることを考えていた向きはあったと思います。NISCがこれまで担ってきたサイバー攻撃への「対策」から、一歩踏み込んだ「対応」まで領域を広げるには、実働としての警察や自衛隊を迅速に動かせる大きな権限が与えられる必要があります。一方で、「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）に関する議論はまだ煮詰まっていないように思いますので、観測気球的な記事かなとも感じました。 なお、記事にある「民間ハッカーの登用も検討」に関しては、やや危うい幻想が含まれているように思います。ひとりができる技術的な範囲は限られているので、凄腕のハッカーを採用しますというパフォーマンスより、まずはしっかり機能する全体システムをデザインする人材をどうするかが課題と考えます。

ひとくちにランサムウェア被害といっても、バラマキ型に被弾したケースと、相当程度ネットワーク内に深く入られたうえでの最終被害（手前には機密情報窃取や不正送金など）としてのランサムウェア発動では、攻撃レベルも大きく変わってきます。今回のケースがどちらかは現時点では分かりませんが、バラマキ型であれば現在においてEDRやXDRなどを導入している大手企業の標準的なセキュリティ対策があれば十分に防げる（もしくは被害を最小化できる）レベルだと思います。つまりは、当該病院においてはあまりセキュリティ対策が進んでいなかったと推測されます。 過去に医療機関のセキュリティに関与した印象としては、どうしてもシステム周りをベンダーに依存しているケースが多いので（医療機関の本分を考えれば、そのこと自体が間違っているとは思いません）、どうしてもリスクの把握が間接的になってしまっているのかなと推測します。とはいえ、リスク把握がおろそかになれば、結局は一番大切な患者にそのリスクが転換されるわけなので、医療業界全体のセキュリティ意識が変わるよう国レベルで対策していくほかないかなと思います。

トヨタのリリースにある「セキュリティ専門家による調査の結果、顧客のメールアドレスとお客様管理番号が保管されているデータサーバのアクセス履歴からは、第三者によるアクセスは確認できないという。だが、『完全には否定できない状況となっている』（トヨタ広報）」という一文から推測されるのは、①ログの保存期間の問題から起点の2017年12月までは遡れなかった or ②ログが改竄されている可能性までは否定しないほうがよいと判断した、というところでしょうか。 別記事へのコメントでも書きましたが、漏洩していた場合、サービスユーザー側には、「T-Connect」を偽装したフィッシングメールなどが来る可能性はあります。「T-Connect」には車種と駐車位置のGPSを確認する機能があるので、大げさに言えば今流行りのランドクルーザー窃盗団が置き場を知るために悪用する、といったことも可能性としてはありえるので、リアルへの被害が発生し得る事案と言えます。

トヨタのメインサービスを受託している企業で、こういった管理体制の不備があることには、さすがに驚きです。本番サービスへのアクセスキーを含んだソースコードをGithubで公開してしまい、実際に攻撃を受けた事例は過去にいくつも指摘されているので、それらを教訓に開発現場におけるセキュリティ管理体制を見直した企業も多いと聞いていますが、本ケースではそうではなかったということなのでしょう。 トヨタ側の感覚としては、当然ながらサービス自体のセキュリティテストはしているはずなので、今回の部分は委託先の責任ということになるのでしょうが、結果の影響度を考えると、今後はセキュリティテストの際に、開発環境のクロージングも含めないといけないという話になりかねませんね。 漏洩していた場合、サービスユーザー側には、「T-Connect」を偽装したフィッシングメールなどが来る可能性はあります。「T-Connect」には車種と駐車位置のGPSを確認する機能があるので、大げさに言えば今流行りのランドクルーザー窃盗団が置き場を知るために悪用する、といったことも可能性としてはありえるので、リアルへの被害が発生し得る事案と言えます。

コロナ禍以降、リモートワークの急拡大により、企業のネットワークに侵入するためのアカウント情報や、脆弱性のあるネットワークのIPなどの売買に活性化が見られます。記事内でもコメントしていますが、守る側の企業にとっては守備範囲が大きく広がる形となり、経営者にとってはセキュリティ対策の負担感が更に増した格好です。とは言え、対策が後手になってインシデントに見舞われるようにことになれば、遥かに莫大なコストが発生するので（ビジネス損失も）、さっさと手を付けてしまったほうが中期的にはプラスだと思います。

発足から半年で摘発ゼロということですが、組織の目的が重大事案捜査にある以上、成果が出るまで時間がかかる事はしかたがないと思います。気になったのは、海外当局に依頼しているIPアドレスの照会に時間がかかっていると記事にあった点です。そもそも従来より海外当局に照会しても半年や1年はざらに待たされるといったこと（何年も回答がこないケースも少なくないとか）が警察庁の問題意識としてあったと思いますので、せっかく共同捜査にも加わる以上、そのあたりはスピード感を持って交渉していってもらいたいところです。