大規模スポーツイベントはハッカーたちの恰好の標的
来年、2020年には、いよいよ東京オリンピック・パラリンピックが開催される。その成功のために様々な準備が進められており、サイバーセキュリティもその一つだ。大規模スポーツイベントは、ハッカーたちの恰好の標的になる。大会運営者にとっては万全を期さなければならない問題だが、では、私たち一般市民にはどんな影響があるのだろうか?サイバーセキュリティを専門とする〔株〕FFRIの社長・鵜飼裕司氏に話を聞いた。
ICTの進化でサイバー攻撃の影響が大きくなった
――これまでの大規模スポーツイベントでは、どんなものがハッカーに狙われたのでしょうか?
鵜飼 やはり、最大の標的はオリンピックです。特に、2012年のロンドンオリンピック以降、大きな問題になりました。チケッティングやホテルのオンライン予約が一般化したため、サイバー攻撃の影響が大きくなったのです。
そこでロンドンオリンピックからは、民間の通信会社なども参加して、サイバーセキュリティ対策のための大規模な組織が作られるようになりました。そのおかげで、サイバー攻撃の数は多くても、重大なインシデントは起こらずに済んでいます。大会運営を通じて得られた知見は、日本にも共有されています。
来年の東京オリンピックでは、ロンドンオリンピックのときよりもICTがさらに進化していますから、対策もより強化する必要があります。
――ICTがさらに進化しているというのは?
鵜飼 IoTが進んでいることですね。例えば、ビルやホテルの管理にもIoTが取り入れられるようになっているので、それがサイバー攻撃されれば、何かしら物理的な被害が発生することも考えられます。
――東京オリンピック・パラリンピック組織委員会や日本政府は、どのような体制で対策を立てているのでしょうか?
鵜飼 組織委員会にも、政府にも、専門チームが設けられました。CSIRT(シーサート)と呼ばれています。
セキュリティソフトを入れるだけでなく、詐欺メールに注意すべき
――ハッカーは、具体的にはどこを攻撃するのでしょうか?
鵜飼 チケッティングやオンライン予約のサイトをDDoS攻撃するなどして、そのレピュテーション(信頼性評価)を下げようとするケースが多いです。自分の力を誇示することを目的とした愉快犯ですね。
――ということは、私たち一般市民が攻撃されることはあまりない?
鵜飼 もしネットワークのファシリティ(設備)がサイバー攻撃によってダウンしたりすれば、影響を受けることになりますが、それは一市民が対応できることではないですね。
インターネット上のサービスが攻撃されて、そこに登録していた個人情報が盗まれる可能性もありますが、それもサービスの運営者が対策することであって、ユーザーが対策できることではありません。
むしろ気をつけるべきは、詐欺です。東京オリンピックが近づくにつれて、「観戦チケットに当選しました」「チケットを安くお譲りします」などの偽メールが増えていくことが予想されます。SNSで届くこともあるでしょう。そして、チケット代としてお金を振り込ませるのです。
リンクをクリックするとランサムウェアに感染して、「あなたのPCを乗っ取った」と恐喝されることもあります。
ですから、正規の方法以外でチケットを入手しようとしないこと。そして、正規の方法で購入しても、届いたメールが本物かどうか、よく確かめることが重要です。
――そうした偽メールを送ってくるのは、誰なのでしょうか?
鵜飼 ほとんどが海外からで、アンダーグラウンドビジネスを行なっている人たちです。以前は、日本語がおかしかったりして、明らかに偽メールだとわかるものが多かったのですが、今はかなり気をつけないとわからないものが多くなりました。
サイバー犯罪によるアンダーグラウンドビジネスの規模は、すでに麻薬を上回っていると言われています。
――セキュリティソフトを入れることで対策できないのでしょうか?
鵜飼 ランサムウェアはセキュリティソフトでかなり対策できるのですが、「お金を振り込んでください」という詐欺のメールは、テクノロジーでは対策できません。
被害に遭ってから警察に届けを出しても、犯人が逮捕されたり、お金が戻ってきたりすることは稀です。犯人が海外にいるから、ということもありますが、そもそもインターネット上では身元を隠しやすいからです。
銀行口座に振り込ませるケースなら、まだ足取りをたどれる可能性がありますが、仮想通貨での支払いを要求されて、それに従ってしまったら、ほぼ絶望的です。
――IoTの進化について、先にお話しいただきましたが、家庭の中にもIoT家電などが増えつつあります。それらが攻撃される可能性はあるのでしょうか?
鵜飼 IoT機器に対する攻撃事例は最近増えてきています。また、IoT家電ではありませんが、家庭で使われているルーターが感染するケースは非常に多いですね。
これを防ぐためには、アップデートをきちんとして、セキュリティを最新の状態に保つことが大切。そして、それ以上に、パスワードを初期設定のままにせず、変えておくことが重要です。これだけで、かなり大きな効果があります。
鵜飼裕司(うかい・ゆうじ)〔株〕FFRI代表取締役社長
1973年生まれ。2000年、大学院で工学博士課程を修了後、Kodak研究開発センターにてデジタルイメージングデバイスの研究開発に従事。03年、米eEye Digital Securityに転職。脆弱性分析などの研究開発に携わる。07年に帰国し、〔株〕FFRIを設立。14年9月、東証マザーズに上場。内閣官房「内閣サイバーセキュリティセンター本部研究開発戦略専門調査会」、経済産業省「産業サイバーセキュリティ研究会WG3」、総務省「サイバーセキュリティタスクフォース」、同「サイバーセキュリティタスクフォース 情報開示分科会」、〔一財〕日本情報経済社会推進協会(JIPDEC)「IoTセキュリティWG」、JNSA「サイバーセキュリティ事業における適正な事業遂行の在り方に関する検討委員会」など、多数の政府関連プロジェクトの委員、オブザーバーを歴任。 第13回情報セキュリティ文化賞受賞。米国BlackHat ConferenceのContent Review Board Member。(『THE21オンライン』2019年01月31日 公開)
【関連記事THE21オンラインより】
・世界中で暗躍する「ハッカー」たちの知られざる手口とは?
・嘉納治五郎と幻の東京オリンピック
・松下幸之助と「東京オリンピック」
・「いいこと」をした人が必ず報われる世界をブロックチェーンで実現する
・知られざるDropboxの舞台裏は、どうなっているのか?
