テレワークで増えるサイバー犯罪への扉
新型コロナウイルスの拡散防止策として効果が認められる在宅勤務。しかし、こうした働き方にはコンピューターウイルス拡散を助長するという面もある。自宅の数だけ企業システムへの侵入ルートが増えるからだ。それにもかかわらず、多くの企業はいまだサイバー犯罪から効果的に身を守る術を持たない。
9月末、スイスの時計製造大手スウォッチグループがハッカーの標的となった。スイスの金融メディアAWP通信の報道によると、ある幹部社員が米国内の社内コンピューターに接続したUSBメモリーがウイルスに感染していたことから、次々と被害が広がった。
スウォッチ側は「現在は全てコントロール下にある」として、暗号化されたデータ解除のための金銭は支払っていないと主張している。いずれにせよ、このサイバー攻撃で世界有数の時計メーカーである同グループの企業活動は大きく混乱した。中でも最も被害を被ったブランドはオメガで、操業に支障が出たばかりでなく、内部情報によると社内では少なくとも1カ月にわたり、インターネットへのアクセスに不具合が残った。
ハッカーらが現行犯で捕まることはまれだ。コンピューター犯罪の特徴の1つとして、事件発覚までに数カ月掛かるという点がある。
サイバーセキュリティー専門家のソランジュ・ゲルナウティ教授によると「企業がシステム内のマルウェアを検知するまで平均200〜400日を要する」。最初に顧客や提携先が被害に気付いて当該企業に警鐘を鳴らすケースが多い。
スウォッチグループの事件が単発例ではないのは言うまでもない。例えば5月には、英格安航空大手イージージェットから900万人分の顧客データが盗まれた。また、10月初旬にはドイツ語圏の複数の大学で、ハッカーらによる職員の給料乗っ取り事件が発生した。
スイスの大手企業としては先頃、鉄道車両メーカーのシュタッドラー・レールが身代金600万フラン(約7億200万円)を要求されている。データを暗号化し人質に取るという、マルウェア被害の犠牲になった。
ネットを介して世界がつながればつながるほど、サイバー攻撃は指数関数的に増加する。最悪の場合、メールや電話、事務や納品、支払い、予約などのシステムが全て停止し、1社全体が機能不全に陥ってしまう。
サイバー攻撃が莫大な被害をもたらしうることの一例が、ノルウェーのアルミニウム大手ノルスク・ハイドロのケースだ。同社は多数の拠点や工場をシステムから切り離さざるを得なくなり、損害額は3千万フランに上るとされる。
ロックダウン中に攻撃増加
3月に新型コロナウイルスの「第1波」が始まると、多くの企業が事実上、一夜にして在宅勤務への切り替えを迫られた。政府主導のこの措置は、COVID–19の感染拡大抑制には効果を発揮したものの、一方でコンピューターセキュリティーに穴が生じることにもなったため、あっという間にハッカーの侵入を招いた。
数字もそれを裏付ける。4月中旬部分的ロックダウン期間中、スイスでは全労働人口の約半数が自宅勤務に従事していたが、国立サイバーセキュリティーセンター外部リンク(NCSC、旧MELANI)によると、年初は週100件あまりだった被害件数が4月には週400件近くに上るなど、この間に被害件数が激増している。
サイバーセキュリティーの国際的専門家であるソランジュ・ゲルナウティ教授(ローザンヌ大学)にとって、この数字は意外なものではない。「テレワークは企業のITシステムへの侵入ポイントを増やす。また、戦略上重要な情報のやり取りが増えるため、ハッカーにとってはデータの流れ的にも魅力が増す」
緊急措置として急きょ決定された在宅勤務だが、それ以前も安全とはみなされていなかった。私物コンピューターの使用や安全性に欠ける接続方法、社内システムへのアクセス認証における弱点などは全て、ハッカーにとっては招待状も同然だ。
また、テレワークでは物理的リスクも増大する。会社の備品が盗まれたり、うっかり漏らした戦略上の情報が鋭い目や耳に拾われたりする可能性があるからだ。
「自粛は安全につながる。パンデミックと戦うために家で過ごしたりマスクをしたりするように、コンピューターウイルスと戦うためにはリスキーな行為は止めておくといった慎重さが求められる」 ―サイバーセキュリティー専門家ソランジュ・ゲルナウティ教授
ゲルナウティ教授によると、スイスは近隣国に比べ特にサイバー攻撃に弱くはないが、対策が進んでいるともいえない。「サイバー犯罪者は至る所にチャンスを見いだす」。 同教授は、セキュリティーとは基本的に文化と教育の問題だと強調する。
つまり、セキュリティーは一朝一夕には成立しない。「既にテレワークや外出先での仕事を許可していた一部大企業の方が、慌てて在宅勤務に切り替えた中小企業よりも明らかにうまく対応できていた」(ゲルナウティ教授)
自衛のための「ノー」
サイバーセキュリティーと使いやすさは両立しない。ゲルナウティ教授は「ビデオ会議にZoom(ズーム)のような手軽な無料ソフトを使えば、その代償を払うことになる。その代償とはセキュリティーの不在だ」と話す。
自衛のためには何かを諦めなければならない場合もある。「自粛が安全をもたらす。パンデミックと戦うために家で過ごしたりマスクをしたりするように、コンピューターウイルスと戦うためにはリスキーな行為は止めておくといった慎重さが求められる」(ゲルナウティ教授)
リスクマネジメントとしては、社員や上層部の意識を高めたり新入社員を訓練したりといったことが主となる。同教授は学校のコンピューター教育にもサイバーセキュリティーを必須テーマとして取り入れるべきだと考え、長期的見地に立ったセキュリティーポリシーの構築を支持している。
おすすめの記事
在宅勤務時の光熱費は誰が負担すべき?スイスの場合
「緊急時に慌てて消火活動をするような対応を続けているのが最大の問題だ。セキュリティー面の制約やニーズの想定が行き届かず、先手を打った対策も不十分で長期的ビジョンが無い。こうした姿勢が日常業務に反映されるまでには何十年もかかるだろう」(ゲルナウティ教授)
スイスのサイバーセキュリティー専門企業イムニウェブのステファン・コッホ副社長は、もう一つの弱点を指摘する。スイスの法律がデジタル時代に対応していないという点だ。
「欧州連合(EU)内では、セキュリティー違反を起こした企業は売上高から一定割合の罰金を科せられる。スイスでは、ITセキュリティーの不備が引き起こした結果に対し、企業に相応の法的責任を問うことができない」(コッホ氏)
サイバー攻撃で企業倒産も
ゲルナウティ教授が指摘するように、サイバー犯罪や海賊行為への効果的な対策がきわめて重要なのは、サイバー犯罪で生じる総被害額が各国国内総生産の約1%に相当するからだけではない。最悪の場合、企業が倒産することもある。
コッホ氏は、サイバー攻撃で倒産に追い込まれたあるフランス企業を例に挙げる。「この会社の経営者の名を騙る何者かが、160万ユーロ(約2億円)を海外送金させることに成功した」。1年後、この会社は潰れ、44人の従業員が職を失った。
サイバー攻撃の影響は金銭面のみならず企業イメージにも及ぶ。多くの場合、企業はイメージダウンを恐れて被害について話したがらない。このためスイスではサイバー攻撃が経済に及ぼす影響について正確な数字が存在しない。現在、政府は報告義務の導入外部リンクの可能性を検討中だ。その原則については年内の合意が見込まれている。
デジタル版衛生対策
パンデミックで我々は、ウイルスを食い止めるには徹底した衛生対策が必要だということを学んだ。それと同じく、データ保護対策としてデジタル上の衛生意識も高まるのだろうか。
この点についてコッホ氏は懐疑的だ。今、大半の企業は生き残ることに必死でサイバーセキュリティーに投資する余裕がないと懸念している。「商売を続けるためにオンラインショップを立ち上げる場合、小さな店だとセキュリティーには目をつぶるかもしれない」
デジタル技術で全てを解決できるのかという、より根本的な問題もある。ゲルナウティ教授の答えは否だ。「パンデミックから派生した問題の一部はそれで解決できるだろう。だが、デジタル化の進行は経済やインフラの弱体化を伴う」。「オンラインの世界では、有効なセキュリティー対策無しにはやってはいけないことがある!」。これが、サイバーセキュリティー専門家である同教授のモットーだ。
(独語からの翻訳・フュレマン直美)
(Übertragung aus dem Französischen: Christian Raaflaub)
JTI基準に準拠
swissinfo.chの記者との意見交換は、こちらからアクセスしてください。
他のトピックを議論したい、あるいは記事の誤記に関しては、japanese@swissinfo.ch までご連絡ください。