個人情報を守るために自分でできることは?

――来年は東京オリンピック・パラリンピックが予定されていますが、オリンピックがあると、その開催国へのサイバー攻撃が増えるのですか?

大野 過去の例を見ると増えています。

オリンピックのときには愉快犯が増えるのが特徴です。例えば、公共交通機関を止めたり、ホテルのシステムを止めたり、競技会場の照明を落としたりといった目立ったことをして、ハッカーの間での権威を高めたいのです。

開会式では様々な演出がされますが、それらを制御するシステムもサイバー攻撃の対象になります。もしドローンを飛ばすなら、それを墜落させて、人に怪我をさせたり、火事を起こさせたりといった混乱を起こそうというサイバー攻撃も考えられます。

――そうした攻撃に備えて、どんな対策がされているのでしょう?

大野 先ほど申し上げたように、サイバーセキュリティは多層なので、様々です。

例えばドローンなら、機体とコントロールセンターをつないでいる回線がハッキングされないようにするためにファイアウォールなどが必要ですし、機体にUSBポートがあるなら、それも守らないといけません。SDカードを挿せるなら、SDカード自体にセキュリティをかける必要もあります。端末と接点を持っているところは、すべて守らなければならないわけです。

――大会運営に直接関わる企業でなくても、インフラをはじめ、愉快犯のサイバー攻撃の対象にされる可能性のある企業はあると思います。そうした企業の意識はどうでしょうか?

大野 2014年に成立し、翌年施行されたサイバーセキュリティ基本法をもとに、各省庁がガイドラインを作っていて、企業に対しては、経済産業省が15年に定め、17年にアップデートした「サイバーセキュリティ経営ガイドライン」というものがあります。これによって、日本全体の企業のサイバーセキュリティに対する意識の底上げが図られています。

このガイドラインでは、まず、セキュリティ投資は必要不可欠かつ経営者としての責務であるとされていて、サイバー攻撃への対策を経営指標の一つに入れることが求められています。

そして、その責任の範囲は、自社はもちろんのこと、ビジネスパートナーや委託先にまでおよぶとされています。例えば、A社とB社が納品データの受け渡しをオンラインで行なっているとしたら、A社はB社のセキュリティ体制もチェックしなければならないのです。

――個人は、サイバー攻撃による情報の窃取などに、どんな対策を講じられるのでしょうか?

大野 まず、スマホやタブレット、PCなど、ネットワークにつながっているもののチェックをしていただきたいと思います。具体的には、パスワードを厳重にする、変なサイトにアクセスしない、といったことです。

――パスワードを厳重にするというのは、複雑なものにするということですか?

大野 それが一つです。パスワードチェッカーという、パスワードが堅牢かどうかチェックしてくれるサービスもありますし、堅牢なパスワードを無料で作ってくれるサービスもあります。

また、もしスマホなどが不審な挙動を示したら、サイバー攻撃を疑って、ウイルスが他の端末へと広がる2次被害を防ぐために、ネットワークから切断してください。そして、不具合がウイルスによるものなのか、そうでないのかを診断してもらってください。

――IoT機器も増えていますが、それについて気をつけるべきことはなんでしょうか?

大野 例えばスマートスピーカーを使うなら、万が一、サイバー攻撃を受けて窃取されてしまっても困らない情報だけをインプットすることですね。自分にとって、どんな情報が重要なのかを、きちんと考えておくことが大切です。

――利用しているECサイトなどから個人情報が窃取されてしまったら、個人としてできる対応はあるのでしょうか?

大野 ID・パスワードを変えることです。ブラウザのキャッシュを削除したり、アプリであればアンインストールしたりすることも必要です。ただ、現実的には、どのサイトから個人情報が窃取されたのか、個人が特定することはできないでしょう。

ですから、まず、ログインが必要なサイトは、セキュリティ対策の意思表示をしているかどうかを確認すること。「サイバーセキュリティ経営ガイドライン」に則っていれば大丈夫ですが、単に大企業だからといって安心できるわけではありません。また、中小企業であっても、きちんと対策をしているところもあります。ちなみに、『攻撃遮断くん』を導入したことで信頼が高まり、お客様が増えているという中小企業もあります。

そして、サイトごとに違うパスワードを使うこと。パスワードリストアタックという、SNSに書いてある生年月日などの情報をもとにパスワードを自動で生成し、片っ端から試していく攻撃があります。制限時間内に、決められた回数、ログインに失敗すると、一定期間はログインできなくなるサイトもありますが、そうではないサイトで試すのです。そして、正しいパスワードを見つけると、それを他のサイトでも使ってみる。同じパスワードを複数のサイトで使っていると、この攻撃によって被害がどんどん拡大してしまいます。

大野 暉(おおの・ひかる)
〔株〕サイバーセキュリティクラウド代表取締役
1990年生まれ。早稲田大学卒業。16歳のとき、個人事業主として起業家人生をスタート。複数社の起業および事業譲渡ののち、〔株〕サイバーセキュリティクラウド代表取締役に就任。(『THE21オンライン』2019年05月18日 公開)

【関連記事THE21オンラインより】
東京五輪を狙うサイバー攻撃に、我々はどう備えるべきか?
世界中で暗躍する「ハッカー」たちの知られざる手口とは?
「ブロックチェーン」は未来を切り拓く一大革命だ!