角川が大規模なサイバー攻撃(ランサムウェア)を受けた問題で、大きな影響を与えたのは、メディアから「ハッカーの要求に対し、KADOKAWA側が298万ドル(約4億7000万円)相当の暗号資産を送金し、さらに追加要求されている。」と報じられたことです。
その後の経緯や真偽は追いかけてないので、わたしはあまり分かってないのですが、この報道により思ったのはー
サイバー攻撃はビジネスモデルの一種である。
ということです。
もちろん、こんなビジネスモデルはあってはならないものだと思います。
しかし、現実は、サイバー攻撃を仕掛ける組織は、大きな利益を得る可能性があります。
サイバー攻撃はビジネスです。
どんなビジネスも、成功させるには、マーケティングが必要です。
サイバー攻撃を行う組織もマーケティングを学習してます。
横道にそれます。日本でマーケティングの概念がもたらされたのは、1955年とされてます。
これは、日本生産性本部の米国視察旅行の会見で、団長の石坂泰三氏(旧東芝の社長)が「これからの日本企業には、マーケティングが必要である」と発言したことがきっかけです。
その後、日本は高度経済成長へと発展します。
わたしは大学の授業でマーケティングを学んだとき、はじめに目にした用語が「マーケティングの4P」でした。
マーケティングの4Pは、製品(Product)、価格(Price)、場所(Place)、プロモーション(Promotion)の4つの要素を指します。
- 製品(Product):消費者に提供する製品やサービスそのもの。
- 価格(Price):製品やサービスの販売価格。
- 場所(Place):製品やサービスを提供する場所や流通経路。
- プロモーション(Promotion):製品やサービスを消費者に知らせ、購買を促す活動。
社会人になってからもマーケティングとは「4Pの要素をバランスよく組み合わせること」だと思ってます。
ただ、マーケティングの4Pを見ると、そこに「顧客」の概念がありません。
顧客が集団になり、市場を形成します。マーケティングの4Pは、市場は全てと解釈してます。
市場を全てと解釈するマーケティングは、マス・マーケティングと呼ばれます。
高度経済成長期の日本は、マス・マーケティングの導入によって成しえました。
サイバー攻撃に話を戻します。
サイバー攻撃が問題になったのは、インターネット革命(←死語)の2000年からです。
その黎明期は、特定のターゲットを狙わず、不特定多数の対象に対して攻撃を行う方法が主流でした。
あの頃の代表的な攻撃は、スパムメール(迷惑メール)です。
スパムメールは、受信者の許可を得ずに一方的に宣伝するメールです。広義ではマルウェアへの感染を目的としたフィッシング攻撃を含みます。
謎の差出人から、日々送り続けられるスパムメールは社会問題化しました。
2002年に施行された迷惑メール関連法では、宣伝・勧誘のメールを送る場合は「未承諾広告※」の表示や送信者の氏名、名称、住所等を表示することが義務付けられました。
ここでは、迷惑メールの受信を拒否する人に送信してはいけないことになっています。これをオプトアウトと呼びます。
さらに、2008年の改正により、あらかじめ同意した相手に対してのみメール送信が認められるオプトインが導入されました。
オプトインが導入されたことで「未承諾広告※」を付ける意味はなくなりました。
スパムメールに記載された偽のウェブサイトへのリンクを送信し、個人情報を収集しようとすることで、最終的には利益を得ようとする攻撃はいまも後を絶ちません。
スパムメールのように不特定多数を狙う攻撃をランダム攻撃(無差別攻撃)と呼びます。
当初のサイバー攻撃は、ターゲットを特定しないマス・マーケティングの考えに基づいて発展してきました。
しかし、いまのサイバー攻撃の主流はマス・マーケティングの考えに基づいてません。
いまや多くのメーラには迷惑メール対策装置が導入されてます。迷惑メール対策装置にはAIが導入され、スパムと判断されたメールは、通常の受信トレイとは別なフォルダに自動振り分けされます。
ランダム攻撃の成功率は、低下しましました。
それでも、サイバー攻撃の脅威は変わりません。
攻撃者がより効果的にターゲットから利益を得るため、市場を全体として見るのではなく、細分化してるからです。
ランサムウェアは、顧客情報を手玉にとり身代金を要求します。多額の身代金を奪うためには、KADOKAWAのような多くの顧客情報を持っている企業をターゲットにするのは、容易に想像できます。
それは、サイバー攻撃が成長期から成熟期に差し掛かっている証だと思います。