サイトの管理者が攻撃されて、自分の情報が漏れてしまったら?

――サイバー攻撃対策というと、セキュリティソフトをパソコンにインストールする、という方法がすぐに思いつきますが……。

【渡辺】 それは、パソコンをコンピュータウイルスやマルウェアから守るための方法ですね。パソコンからサーバーに侵入して情報を盗み出すこともできますが、ここまでお話してきたウェブサイトからの情報漏洩とは、また別の話です。

パソコンへの攻撃には、コンピュータウイルスが入ったファイルを添付したメールを送りつける標的型攻撃や、先ほど挙げた例のように、偽のキャンペーンのメールなどで不正なウェブサイトに誘導したりするものがあります。

――ウェブサイトから自分の情報が漏洩した場合、そのサイトの運営者に補償してもらうことはできるのでしょうか?

【渡辺】 運営者の判断によりますね。非常に多くの人数の個人情報が漏洩してしまったら、企業が支払える補償金の総額には限りがありますから、1人当たりの補償額は数百円の金券だけというケースもあります。ビジネスで損害が出た場合は、訴訟の話も出るでしょう。

――サイバー攻撃をした攻撃者は、きちんと捕まるのでしょうか?

【渡辺】 不正アクセス禁止法での検挙件数は、『警察白書』によると、平成30年(2018)には564件だったということです。平均すると毎日1~2人が捕まっている計算です。

サイバー攻撃を取り締まる法律には、コンピュータウイルスを作成、提供、保管すると「ウイルス作成罪」、オンラインバンキングを不正に操作すると「電磁的記録不正作出及び供用罪」や「電子計算機使用詐欺罪」、ウェブサイトの改竄やコンピュータウイルスの埋め込みなどを行なうと「電子計算機損壊等業務妨害罪」というように、他にも様々なものがあって、これらには厳しい罰則も定められています。また、攻撃者に対して損害賠償が命じられることもあります。

――お話を聞くと、サイバー攻撃との闘いはずっと続くのだということがわかりました。

【渡辺】 サイバーセキュリティは企業にとってコストではなく投資だと言われますが、ますます重要性が増していて、投資額が大きくなっています。一方、サイバー攻撃は低コストでできるので、安い金額で仕事を請け負う攻撃者が多くいます。これも、サイバー攻撃がなくならない要因の一つです。

別の言い方をすれば、攻撃者は低コストで攻撃できるところを狙っているんです。ですから、防御をして、攻撃にコストがかかるようにしておけば、特別な目的を持っている場合は別でしょうが、攻撃者はそこを攻撃するのを後回しにします。そう考えると、サイバーセキュリティ対策は、費用対効果が高い投資ではないでしょうか。

渡辺洋司(サイバーセキュリティクラウドCTO)
(『THE21オンライン』2020年05月22日 公開)

【関連記事THE21オンラインより】
東京五輪に残る不安 …ウイルスだけでない「サイバー攻撃の懸念」
東京五輪で予想される日本へのサイバー攻撃増加。自分の身を守るためには?
東京五輪を狙うサイバー攻撃に、我々はどう備えるべきか?