サイバー攻撃は中小企業狙いが主流
前回の記事ではNTTドコモが運営するドコモ口座に関し、連携していた35の銀行のうち比較的セキュリティ対策が甘かった銀行が狙われたのではないか、というお話をしました。実は「セキュリティ対策が甘いところを狙う」はドコモ口座に限った話ではありません。例えば、2020年9月14日付の日本経済新聞記事では「サイバー攻撃、トヨタ取引先に照準 中小の防御甘く」と題した記事が掲載されています。
日本を代表する企業であるトヨタ自動車への直接的なサイバー攻撃は防御が固く、困難です。しかしながら大手自動車メーカーとして多数の取引先を抱えているわけですから、そのうちのいくつかはセキュリティ対策が比較的甘い会社もあるとのこと。最近流行している攻撃手法はセキュリティー対策が甘い中小企業や取引先を踏み台にして、大手製造業の機密情報を狙う「サプライチェーン攻撃」というものだそうです。
東証一部上場企業などの大企業ではある程度サイバー攻撃への備えを行っています。サーバーの強化や対策ソフト、専門のコンサルタントなどへの投資もできますし、コンプライアンス面も含めた顧客情報管理規程、関連社員研修なども行っている企業もあるようです。その一方で、中小企業は資金面、人員面の制約からサイバーセキュリティ対策が不十分なこともしばしば。2019年7月2日付の日本経済新聞の記事によれば、2017~18年に行われた調査で情報処理推進機構(IRA)の指針に沿ったセキュリティ対策ができている中小・中堅企業はわずか4%とのこと。つまり、日本の中小・中堅企業はサイバーセキュリティの面で大きな脆弱性を抱えていると言えますね。
こうした「セキュリティホール」を狙ってサイバー攻撃を仕掛ける事例が増えているようです。IRAが発表している2020年の情報セキュリティ10大脅威では「サプライチェーンの弱点を悪用した攻撃の高まり」が4位にランクを上げています(2019年に初めてランクイン)。
具体的には以下のような仕組みです。侵入者はセキュリティ対策が遅れている中小企業の多い、下請け企業、孫請け企業にウイルスなどを用いて侵入を試みます。大企業では防がれてしまう手口でも、対策の遅れている中小企業であれば、侵入に成功し、委託元である大手企業の情報や顧客の個人情報などが手に入る可能性があるからです。
たとえ大企業本体へのサイバー攻撃が成功しなくとも、中小企業経由でこうしたデータが入手できれば価値の高い情報を盗むことができます。さらに、不正プログラムなどを中小企業のコンピューターに侵入させることができれば、日々やり取りしている委託元の大企業にも間接的な攻撃を仕掛けることができますね。
真正面から大企業に攻撃を仕掛けるよりも手軽で、成功した時の効果が同等だとすれば、中小企業へのサイバー攻撃は非常に効率的と言えます。大手企業から中小企業までのサプライチェーンが複雑化、緊密化すればするほど中小企業のような「弱いところ狙い」のサイバー攻撃は増加しそうですね。
テロリスト、犯罪者も効率を考える
サイバー攻撃と同様、テロや犯罪を計画する側の人間は一般的に効率を考えていることが多いのです。
ビジネス的な観点から、テロを考えてみましょう。テロリストも「ヒト・モノ・カネ」にはある程度の制約があります。そのため、限られた人材、限られた物資、限られた資金でできるだけ目標達成に近づくようにしたければ、より成功率が高く、より簡単な方法で(失敗のリスクを抑え)、より大きなインパクトを与えられるような計画を立てようとするのは自然な成り行き。
ということは、テロや犯罪を計画する人間が真っ先に狙うのは
人目につかない場所
警備が手薄で、準備等が進めやすい場所
テロや犯罪への警戒心の薄い人
反抗する力の弱い人や無防備な人が多く集まっている場所
ということになります。何らかの強い動機があり、軍や警察機関、もしくは国会議事堂や国家的なイベント等警備が固くてもその場所、そのイベントを狙わなければ意味がないケースも多々ありますが、過去に発生したテロや犯罪の多くが安全対策の脆弱性をついた犯行であったこともまた事実です。このため、日本政府外務省が公開している中小企業向けの海外安全対策マニュアルで「まず周囲と同等の安全対策を講じて下さい」と訴えています。
過去に日本で発生したテロに分類される事案の標的になった場所、被害者を想像してみましょう。犠牲になった方々には心よりお悔やみ申しあげたいと思いますが、やはりテロや犯罪の標的としやすい場所、人物が狙われていることも多いです。具体的には
地下鉄の通勤客狙い
無防備で反抗できない子供や女性
秋葉原の買い物客
障がい者養護施設の利用者
通学バスに並ぶ小学生
「無防備な人にならない」は常に有効な対策
テロや犯罪を計画する立場に立てば、
少ない労力で、
大きな成果が得られ、
失敗の可能性が少ない、
そんな場所や人を標的にしたい、ということがお分かりいただいたでしょうか?多分に「不都合な真実」ではありますが、無防備な人として犯罪者に狙いを定められてしまうと、行動を研究され、待ち伏せされる等より深刻な被害を招きかねないのです。
この原理原則は日本でも海外でも同じです。ですので、テロや犯罪の被害を未然に防ぐためには、まず皆さん自身が弱者/無防備な人と認識されないことが重要なんですね。皆さんが周囲の人に比して、警戒心が高く無防備でないと思われれば、テロリストや犯罪者の標的候補はより無防備な誰かになるのです。
一日に何人もが現金を引き出すATMの近くにいれば、周囲を警戒している人とそうでない人がいることは一目瞭然です。わざわざ周囲を警戒している人に近づいて現金を奪おうとしなくても、警戒心の薄い人だけを狙ってひったくりを試みた方が成功率が高いのは容易に想像がつきますよね。
では、海外に渡航した時の皆さんの姿を想像してみてください。皆さん自身はテロリストや犯罪者から見て「A:警戒が固く狙いにくい存在」でしょうか、それとも「B:大勢の人が集まる場所に警戒なく近寄る狙いやすい存在」でしょうか。
テロで被害に遭った場合、当然悪いのはテロリスト側です。ただし、テロリストや犯罪者に狙われやすい、もしくはテロに巻き込まれやすい体質を持っていないか、皆様ご自身でもチェックしていただければと思います。
もし、この記事を身近な方にも読んでもらったほうがいい、とお感じになったとしたら、大切なその方にも是非情報共有していただけると幸いです。
この項終わり
