６月１３日（土）付け読売新聞の朝刊記事で巧妙化が進むサイバー攻撃について取り上げていたのでご紹介します。　

身代金要求型ウイルス、ランサムウェアを使ったサイバー攻撃が、その手口を巧妙化させています。

従来の「ばらまき型」から特定企業を狙う「標的型」にシフトし、それとともに身代金の額も高額化。

海外では、データを暗号化して使用不能にするだけでなく、盗んだデータを暴露するとも脅す「二重の恐喝型」も登場しています。

専門家は「今後、国内でも増加する可能性が高い」と警告しています。

なお、こうした「二重の恐喝」型が目立ち始めたのは昨年１２月から」との指摘があります。

ランサムウェアといえば、３年前に世界中に感染を広げた「ＷａｎｎａＣｒｙ」で知られるように、データを暗号化して使えなくし、復旧の見返りに金銭を要求するパターンが一般的でした。

ところが、最近海外で目立つのは、まずシステム内部に侵入し、情報を根こそぎ盗み出した上で、データを暗号化する手法です。

１回目は暗号化の解除で支払いを求め、相手が払わなかった場合、あるいはたとえ払っても、今度は盗んだ情報を暴露すると脅すのです。

例えば、レディー・ガガやマドンナなど大物アーティストを顧客とする米国の法律事務所を脅して、既に一部の契約情報などを暴露しているのがウイルス「ＲＥｖｉｌ」を使うグループです。

彼らの場合、盗んだデータのオークションサイトも運営しています。

入札金額が高騰すると身代金の要求金額もつり上げられ、支払いがあれば出品を取り下げる仕組みとみられています。

かつては自作のウイルスを売りたい作成者と、購入希望者のやりとりが目立ち、「攻撃者は単独で、手に入れたウイルスを無差別にばらまき、ひっかかった相手を脅すだけでした。

被害者は個人が多く、代金もパソコン１台２００ドル程度でした。

ところが近年は、ウイルス作成者による「パートナー募集」の投稿が増えています。

「企業のネットワークに侵入するのが得意な人」「ウイルスを配布する手段をもつ人」「語学力があり企業と交渉できる人」など、「有能な人材」を集め、組織的な攻撃を展開している可能性が高いのです。

実際、特定組織に的を絞った、入念な下調べと高度な技術を要する攻撃が増えています。

国内では被害を受けても公表しない組織が多いため、ここ数年、ランサムウェアに関する報道は減っていますが、依然として「攻撃は高止まり状態」です。

最近では、新型コロナウイルスの影響で導入が進むテレワークに目を付けた攻撃も増えています。

社外のパソコンと社内ネットワークを安全につなぐ通信機器に脆弱性が見つかり、修正しないまま使い続けると、攻撃者が侵入する「穴」になってしまうのです。

セキュリティー会社「ラック」で緊急対応にあたる鷲尾 浩之・サイバー救急センター長は、以下のような、地味ですが基本的な対応を徹底することが重要だとしています。

１ 基本ソフトウェア（ＯＳ）やソフトは最新の状態に保ち、脆弱性を放置しない

２ 定期的にバックアップをとる

３ 心当たりのないメールの添付ファイルやリンクは不用意に開かない

以上、記事の内容の一部をご紹介してきました。

番組からはこれまでのサイバー攻撃の変遷をうかがい知ることが出来ます。

・「ばらまき型」 ⇒ 特定企業を狙う「標的型」（身代金額の高額化を伴う）

・データの暗号化による使用不能化 ⇒ 盗んだデータを暴露するとも脅す「二重の恐喝型」への進化

・単独の攻撃者 ⇒ 「有能な人材」チームによる組織的な攻撃

なお、最近、新型コロナウイルスの影響で導入が進むテレワークに目を付けた攻撃も増えているといいますが、東京商工会議所の会員の中小企業のテレワーク実施率が６７％に急増しているといます。（詳細はこちらを参照）

ですから、今後とも大企業に比べてサイバー攻撃への対策が不十分と思われる中小企業の被害が懸念されます。

さて、前回ご紹介した、北朝鮮のサイバー強盗団による日本での外貨荒稼ぎ（参照：プロジェクト管理と日常生活 No.646 『北朝鮮のサイバー強盗団による日本での外貨荒稼ぎ！』）などは、まさに国家レベルで集められた「有能な人材」チームによる組織的、かつ高度なサイバー攻撃と言えます。

しかも以前お伝えしたように、サイバー攻撃は１件当たりの被害額がとても高額で、摘発がとても困難なので非常に効率の高い犯罪行為なのです。

ですから、現在の捜査能力レベルでは今後ともサイバー攻撃を阻止することはほぼ不可能と思われます。

では、サイバー攻撃の究極のリスク対応策はどのようなものが考えられるでしょうか。

私は大きく３つあると思います。

１つ目は、世界各国からサイバー関連のエキスパート中のエキスパートをかき集めて組織化し、その組織（仮称：国際サイバー攻撃対策チーム）にサイバー攻撃を受けた場合の被害を最小限に食い止めるリスク対応策を継続的に検討・構築してもらうことです。

２つ目は、明らかにサイバー攻撃を行ったと見なせる場合、サイバー攻撃者を特定出来る技術を確立し、被害の有無に関係なく、サイバー攻撃者に高額の罰金を課すのです。

そして、その罰金を国際サイバー攻撃対策チームの活動資金源にするのです。

３つ目は、毎年、その年に特に大きな成果をあげた優秀なメンバーを報奨する制度を設け、報奨金、および名誉で報いるのです。

なお、報奨金については、サイバー攻撃組織のメンバーとして活動するよりも対策チームのメンバーとして活動する方がメリットがあると思わせるほど高額にすることが重要です。

なお、私の具体的なイメージでは、明らかなサイバー攻撃が発覚した場合、被害が実際に発生する前にすぐに攻撃者に警告を発し、同時に罰金を請求するという流れです。

ちなみに、以前からサイバー犯罪目的のメールが毎日のように私宛に届いております。

そして、ざっとでも一応内容を確認したり、迷惑メールとしての処理をしたり、あるいは削除したりと手間がかかっています。

また、企業がサイバー攻撃を受け、実際に被害を被ると、金銭面のみならず、その対応に少なからず手間がかかってしまいます。

また、大なり小なり企業イメージダウンをももたらします。

ですから、最強の国際サイバー攻撃対策チームを設けることはいろいろな面でメリットがあると思うのです。

さて、ここまで書いてきて一つ思いつきました。

それは国連などの国際組織主導で国際サイバー攻撃対策チームが立ち上がるまで待たなくても、どこかのセキュリティ関連企業がクラウドファンディングなどを利用して資金を集め、同様のチームを立ち上げてもいいのではないかということです。

要するに、継続的に利益が上げられるようなビジネスモデルが確立出来ればビジネスとして成り立つのです。

ただし、この場合の成功要件としては、こうしたサービスを利用する企業や個人から定期的に利用料金を受け取り、万一被害を被った場合の被害補償制度も完備することが求められます。

いずれにしても、先ほどお伝えしたように、明らかにサイバー攻撃を行ったと見なせる場合、被害の有無に関係なく、サイバー攻撃者に高額の罰金を課す制度を国際的に法制化することは必須です。

なお、他国の政府や企業の機密情報を入手することを目的としたサイバー攻撃は、自国の安全保障を高めるうえで、スパイ行為の一環として重視されています。

ですから、こうした国家自体によるサイバー攻撃と今回ご紹介したサイバー攻撃へのリスク対応策をどのように折り合いを付けていくかも大きな課題として残ります。