叡智の三猿

~情報セキュリティで森羅万象を捉える~

2021年の脅威

今年も昨年に続き、情報セキュリティを意識した内容をブログで発信していきたいと思います。

2020年も情報セキュリティのさまざまな事件がニュースに取り上げられました。

わたしは情報セキュリティ事件や事故を中心に、気になった新聞記事をクリッピングしてスクラップ帳に張り付けています。

f:id:slowtrain2013:20201123175144p:plain
新聞記事のクリッピング

新聞を読むと情報セキュリティの問題は、年中無休で起きていることを実感します。

年末年始は一年を振り返るのにいちばんいい時期だと思いました。振り返ることで、情報セキュリティの脅威の大きさを改めて確認できます。

情報セキュリティの脅威は「個人への攻撃」と、「組織への攻撃」に分かれます。

IPA(独立行政法人情報処理推進機構)は、その年の情報セキュリティの10大脅威を発信しています。例年通りであれば1月の終わりころに発表になると思います。

2021年はどのような脅威がランクインするのでしょうか!?とても気になります。

今回はわたしが独断で「2021年はこれが大きな脅威になる!」と感じた、情報セキュリティ事案を書いてみます。

個人編と組織編・・・それぞれでわたしなりのナンバーワン脅威を選びます。

個人編:ネット上の誹謗・中傷・デマ

f:id:slowtrain2013:20201123181507p:plain:w200
個人への攻撃は迷うことなく「ネット上の誹謗・中傷・デマ」を選びたいです。

ネット上の誹謗・中傷は昔からある問題です。

ただ、2020年が特徴的だったのは、プロレスラーの木村花さんがネットでの誹謗・中傷に悩み、亡くなってしまったことです。誹謗・中傷が原因で命を落とす方は、以前からいたでしょう。しかし、人気のテレビ番組に出演している有名人が亡くなったことで、この問題は社会的な注目を集めました。

リスクマネジメントは、「発生のしやすさ」と「影響度」をマトリックスとしてあらわすツールがよく使われます。影響度は経済的な影響もあれば、人命的な影響もあります。ネット上の誹謗・中傷の影響度は、経済よりも人命的な影響を基準にするのがいいでしょう。

ネット上の誹謗・中傷は日常的に発生しています。しかし、誹謗・中傷による人命への影響はそこまで大きいとまでは思われていませんでした(実際はたくさんの痛ましい事件が発生していても・・・)。しかし、昨年の誹謗・中傷は、極めて深刻な問題だと、社会が気づくきっかけとなりました。

f:id:slowtrain2013:20201122203716j:plain:w500
リスクが深刻化するネットの誹謗・中傷

事件をきっかけとして、情報発信者を特定しやすくする「プロバイダー制限責任法」の見直しがすすみました。

ただ、この見直しはインターネットの特徴である、匿名性が低下する可能性があります。匿名性は表現の自由を促し、内部告発のようなプラス面もあります。

誹謗・中傷対策として、いちばん望ましいのは、情報を発信する側の情報倫理・情報リテラシーを向上させる教育が行き届くことです。

残念ながら2021年もネットは「誹謗・中傷・デマ」の投稿であふれるでしょう。

それにより、表現の自由への規制は次第に厳しくなっていくように思えます。

組織編:ランサムウェアによる被害

f:id:slowtrain2013:20201123181545p:plain:w200
組織編はとても迷いました。迷った挙句「ランサムウェアによる被害」が、2021年のいちばん大きな脅威になると予想しました。

これはカプコンを狙った身代金要求の事件を受けてです。

ランサムウェアは、犯罪集団(カプコンの事件では、Lagnar Locker・ラグナロッカー)により、ターゲットとなる会社のコンピュータに不正アクセスを行います。そして、会社の重要なデータを暗号化します。この暗号化されたデータを盾にして、データを復旧したければ、仮想通貨(ビットコイン等)で払えと脅します。

カプコンに対して犯罪集団は11億円を要求したとされます。

ランサムウェアの被害にあった会社は究極的にふたつの選択のどちらかを選びます。

  • 犯罪集団にお金を払いデータを復元してもらう。
  • お金を払わず会社の重要データが公開処刑される。

一般的なサイバー攻撃は、ターゲットとする会社の事前調査→権原取得→不正実行→後処理の4段階で行われます。不正実行により、収集した機密情報を闇市場で転売することで、犯罪集団は利益を出します。

f:id:slowtrain2013:20200908165743p:plain
攻撃者の一般的な流れ

犯罪集団にとってこの攻撃のリスクは小さいと思います。しかし、お金を得るまでには相応の時間がかかると思います。

一方、ランサムウエアはターゲットとする会社を直接、脅します。この時点で犯罪が公になります。犯罪集団にとってリスクの大きな選択です。しかし、ターゲットとする会社の出方次第では、早いタイミングで多額のお金を得られる可能性があります。

ランサムウエア攻撃は、犯罪集団にとっては「投機的なビジネス」のように思います。

2021年も、コロナ禍で世界の経済活動が停滞する可能性は高いと思います。

お金の循環がうまくいかない世の中、ランサムウエア攻撃はより多く、より強引な手口で行われると、危惧してます。

この予想が当たるか当たらないか・・・一年後にまた振り返りができればいいなと思います。

本年もよろしくお願いします。