2024年、国内セキュリティニュースの振り返り。日本は安全という神話の崩壊。
街中を歩くとクリスマスのネオンが目に入り、今年も残り僅かだと感じる季節になってきた。12月はクリスマスや忘年会など、一年で最も人の温もりを感じる季節でもある。しかし同時に、一年を振り返る季節でもあり、今年Yahoo!ニュースで取り上げられたセキュリティニュースなどを思い返すと、暗い気持ちになることも少なくない。今年一年を通じて、日本人が当たり前だと思っていた“安全”が大きく揺らいでいるのではないか、と感じさせられる出来事が多かった。
本稿では筆者がYahoo!ニュースでコメントした記事を基に、今年一年を振り返ってみたいと思う。
■インプレゾンビによるデマ拡散
2024年は元旦から波乱の年であった。2024年1月1日16時10分に、石川県能登地方を震源地とするM7.6、最大震度7の地震が発生し、今なお災害の傷は癒えていない。
この震災に便乗するように横行したのがXの「インプレゾンビ」だ。Xの閲覧数に応じた収益化を目的とし、直接関係ない画像・動画を投稿することで閲覧数を稼ぎ、既に救助済みの住所が拡散され続け、その投稿を見た人達が救助を要請し続けるなど、救助活動の混乱等が発生した。
13年前に発生した東日本大震災では電話等の連絡手段が使えなくなった地域での救助や支援の要請などでSNSが連絡手段として活躍したのだが、2024年は社会的な注目を集める災害が発生すると「インプレゾンビ」が溢れ出し、まともな情報より、デマが拡散されるようになってしまった。
■企業にまかせておけば安心という前提の崩壊
私達は普段から個人情報や金品を「企業なら悪用しないだろう」という前提で預けてきた。しかし、その前提が崩れる事件が発生した。
・コンタクトセンタ業務で集まった個人情報を十年間にわたり不正売却
2024年1月31日、大手通信企業のグループ会社に所属していた元派遣社員が顧客情報を不正に持ち出し名簿業者等に販売したとして逮捕された。
事件そのものは2023年に発覚したが、コールセンタシステムの運用保守業務従事者(元派遣社員)が過去十年間にわたり顧客情報を名簿業者に販売し総額2000万円以上を得ていた事件となる。流出した個人情報は928万件、関連団体は69社・団体に及んだ。
同社は再発防止のために443のシステムを対象としたシステム総点検を行い、その結果約3割のシステムでログ管理等の作業管理の不備が発覚した。また、運用責任者へのアンケートでは顧客情報の日常管理で約3割、情報セキュリティに関する自主点検で約4割が「管理や点検を不十分な方法で実施しているものがあると思う」と回答するという、杜撰な運用が明らかになった。
犯行に及んだのは逮捕された一名のみだが、その犯行が可能な環境を組織が容認する事態となってしまっていたという事実から、2024年3月には、親会社である大手通信企業社長が責任を取り辞任する事態が起きた。
・銀行の貸金庫から、社員が金品窃取
大手銀行の行員が支店の貸金庫から十数億円相当の金品を盗み取っていたことが明らかになった。本記事執筆時点では被害者は約60人と報道されている。
貸金庫は銀行の支店などにある金庫内に顧客が金庫を間借りし、金品等の貴重品を預けるサービスだ。
本来、今回事件のあった銀行の貸金庫を開けるには、顧客の鍵と銀行鍵の2つが必要となるが、顧客が紛失時に利用する「顧客鍵の予備」を銀行側が管理しており、犯行を行った行員が予備鍵を保管するキャビネットの管理責任者で、無断で「顧客鍵の予備」を取り出して貸金庫を開けていたという。
・性善説のセキュリティから、性悪説へ
今回取り上げた2つの事件は、共に日本を代表する大企業である。そして、原因としてどちらも、システムや設備を管理する権限を持った個人が犯行に及んでおり、長期間にわたる単独での業務遂行を行う状態にあり「監視」されていない状態であったことが明らかになっている。
企業の中には様々な業務があり、それら一つ一つの業務は個人が担っている。これまで日本企業の多くは「性善説」に基づき「社員は不正をしない」前提でセキュリティを考えてきた。
今、その「性善説」そのものを見直す必要が来ているのでは無いだろうか。
■経営にインパクトを与えるようになったランサムウェア
筆者がYahoo!ニュースでコメントをするようになってから約9年となるが、今年は最もコメント数が多い一年となった。それを牽引したのがランサムウェアに関する報道の増加だった。2024年は日本企業に記録的な被害をもたらすこととなった。
・SNSやメディアがリークサイトの情報を盛んに報道
今年ランサムウェアに関する報道が増えたきっかけの一つに、6月に発生した多数のメディアやコンテンツ提供等を手掛けるサービス業大手の被害が挙げられる。ランサムウェアの被害に遭うこと自体は珍しくないのだが、特殊だったのは、ランサムウェアグループが盗んでリークサイトに公開した情報をSNSやメディアで大量に拡散、報道される事態へと発展したことだ。
本来ランサムウェアグループの目的は身代金を獲得することだが、リークサイトに掲載する理由の背景には「身代金の支払いを拒んでいる企業に催促する」といったものがある。企業が身代金支払いを拒んでいても、リークサイトに個人情報等を掲載された「顧客」等からのプレッシャーや、メディアの報道を煽ることで、被害企業を追い込むための手段としてリークサイトが使われる。
こういった「攻撃側の狙い」を理解していないメディアが競うようにリークサイトに投稿された内容を報道しあい「被害企業にプレッシャーをかける行為」にまんまと乗せられてしまったのだ。
同社はこのような拡散行為に対して、SNSで悪質な拡散をした行為者に対して刑事告訴も視野に入れた強い対応を行うと発表している。
・130億円を超える売上高の減少、20億円を超える特別損失を計上
電気機器大手がランサムウェアの被害に遭い、販売、生産等の営業活動への影響を理由に売上高の減少約130億円、営業利益の減少約40億円を見込むと発表した。
また、出版や様々なメディア・サービスを手掛ける大手サービス企業がランサムウェアの被害に遭い、システム障害対応費用として、約23億円の特別損失を計上した。
・決算報告書の提出延長申請
ランサムウェア感染に伴う業務の混乱を理由に、決算報告書の提出期限延長を申請した企業が4社となった。
上場企業にとって決算報告書の提出は義務であり、有価証券報告書又は半期報告書を法定提出期限の経過後1か月以内に提出しない場合には上場廃止となる。
・「セキュリティはわからない」では通用しない時代
筆者が企業の経営層と会話すると大抵「セキュリティは良くわからないです」と言われる。勿論、謙遜も含まれているだろう。
企業の経営層には日々様々なベンダーがホラーストーリーを携えて「セキュリティ対策をしないとまずいですよ!」と売り込みに来ていることだろう。しかし、そのような対策を長年怠っていたとしても自社の経営にインパクトを与える事態にならなかったのであれば「セキュリティは良くわからないですね」と、やんわりと耳を塞いで仕舞うのも仕方ない。
しかし、「ランサムウェア」という点で考えると、決算報告書に数字という観点で影響を与えるようになっており、一歩間違えば上場廃止も視野に入る事態へと発展してきている。
いつまでも「セキュリティはわからない」と耳を塞いでいるだけでは、いざという時に事態を収集出来なくなる可能性があると、認識を改める必要があるだろう。
■悪用される個人情報と犯罪の勧誘に使われるSNS
日本の安全神話に大きな影を落としているのが「闇バイト」だろう。10月頃から「闇バイト」に関する報道が目立つようになった。
これまでの「誰も居ない住居」を狙う「空き巣」とは異なり、敢えて金銭の在処を聞き出すために「住民が居る時間」を狙う手口へと変化し、金銭を盗むだけでなく暴行を加えるのがセットとなっている。中には行き過ぎた暴力によって命が奪われる事件も発生した。家に居れば安全、戸締まりをしていれば安全という「当たり前」が通用しなくなっている。
こういった「闇バイト」は海外に指示役が居て、SNSで実行犯を募る仕組みがこれまでの捜査から明らかになっている。
・「指示役」に悪用される個人情報
海外に居る指示役達はどうやったターゲットを決めているのだろうか?「ルフィ」で知られるグループでターゲットを見つけるための電話をかける「かけ子」役であった受刑者へのインタビュー記事で「住所でポン!」と呼ばれるWebサイトから住所、電話番号を調べて無作為に電話をかけていたことが明らかになっている。
・犯罪の勧誘に使われるSNS
警察の捜査内容から「闇バイト」の実行犯の多くがSNSで勧誘されていることが明らかになっている。SNSで「高額報酬」「ホワイト案件」等といった文言で短期間に稼げることをアピールし、その後「シグナル」や「テレグラム」といった別アプリに誘導し、身分証明書を言葉巧みに投稿させるのが勧誘の手口だとされている。
警察庁も事態を重く見ており「闇バイト」専用の情報提供ページを公開している。
■ストレス発散や憧れ、逆恨みで仕掛けられるDDoS攻撃
DDoSを仕掛けるサービスを悪用し、ストレス発散や、憧れ、あるいは嫌がらせ等から企業等にDDoS攻撃を仕掛ける報道も目についた。
8月には、大分市の配管工の男性が国内の出版社のウェブサイトにDDoS攻撃を仕掛けたとして、電子計算機損壊等業務妨害容疑で逮捕された。
11月には、中国籍の夫婦が京都の会社が運営するスポーツジムのウェブサイトにDDoS攻撃を仕掛けたとして、こちらも電子計算機損壊等業務妨害容疑で逮捕された。
12月には、中学生2人が国内の企業や自分が通っている学校に関係するウェブサイトにDDoS攻撃を仕掛けたとして国内に住む中学生が書類送検されたという報道があった。
報道によれば、中学生は「YouTubeでDDoS攻撃の動画を見て、かっこいいと思った」などと供述しているという。
・中学生のお小遣いで実行出来るDDoS攻撃
DDoS攻撃をサービスとして提供する「DDoS-as-a-Service」の相場は、一時間あたり5~10ドル程度、1日利用で30ドル程度が相場と言われており、中学生のお小遣い程度の金額でDDoS攻撃を仕掛けることが出来る。
大分のケースではBootyouというサービスが利用され、逮捕された男性は月額1000千円のプランを契約していたと報道されている。
こういったDDoS-as-a-Serviceは、建前上はシステムの負荷テストを行う「IPストレッサー」としていることもある。
■安全は与えられるものではなく、自ら造るもの
日本の良い所と聞かれれば「治安の良さと、衛生状態の良さ」を挙げる人は少なくないのではないだろうか。
日本人にとって「安全」は当たり前のものであり、社会から与えられている当然のこと。大企業なら安心、家に居て戸締まりをしていれば安心。危ない所もあるけれど、そういう所に近づきさえしなければ、安全。これが日本人にとって「当たり前」の感覚だったと思う。
しかし、2024年の出来事を振り返ると、その前提が大きく崩れてきていると感じる。大企業や銀行の社員でさえ、自社の顧客の資産や個人情報に手を付ける。企業側は「社員は犯罪等はおこさない」と考え、内部不正対策を軽視している。
SNSを利用していれば犯罪組織が向こうから善人を装って近づいて来る。
ランサムウェア攻撃によって、企業が保有している個人情報はリークサイトに溢れている。もはやメールアドレス程度なら流出している前提で生活しなければならない状態だ。
「安全」は決して当たり前に手に入れられるものではなく、自らが考え慎重に行動しなければ手に入らない。そんなことを感じた2024年だった。