【対談】AI活用で巧妙化するサイバー攻撃、驚きの手口とそれを撃退する圧巻の対抗策、日本も官民挙げて対策強化を

日本では、サイバー空間において能動的なサイバー防御（Active Cyber Defense、ACD）を可能にする法律（ACD法）が5月に成立し、やっと先進国並みのサイバーセキュリティを実施できるところまで来た。ただ安全保障や犯罪に直結するサイバー攻撃のトレンドもまた進化しており、セキュリティ対策も常に進化が求められる。ACD法は日本のサイバー史には大きな一歩となったが、日本はそのスピード感についていけるのかどうか懸念が残るところだ。

そんな日本が直面するサイバー脅威について、サイバーセキュリティに精通し、能動的サイバー防御に関する有識者会議のメンバーでもあった山岡裕明弁護士と、シンガポールと東京に拠点を置くサイバーセキュリティ企業サイファーマのクマル・リテシュCEOに対談してもらった。

攻撃者が自社の“ニセモノ基幹業務システム”を構築、気づかずデータ入力

山岡裕明弁護士（以下、山岡）　最近のサイバー攻撃のトレンドを見ていると、下火になったかのように見えるランサムウェア（身代金要求型ウイルス）の攻撃ですが、現実にはまだ続いています。一時期ほど報じられなくなりましたが、多くの日本の企業がいまだランサムウェアのリスクにさらされています。

　ランサムウェアの対策に関連して、日本企業のサイバーセキュリティ対策に関わる実務家の立場から見ると、「サイバーセキュリティは技術的な問題から組織的な問題へとシフトしている」と感じています。

　例えば、警察庁は、毎年、ランサムウェア攻撃の60%が、リモート接続などで使われるVPN（仮想プライベートネットワーク）経由だったと公表しています。この情報のおかげで、企業のセキュリティ担当はランサムウェア対策としてVPNを優先的に取り組むことが重要であるという認識が広がりつつあります。

　ところが、技術的な対策を把握したうえで、いざ対策を強化しようとすると、利便性や使いやすさが低下することを理由に組織の反対に遭うということがある。

　一例を挙げると、セキュリティ部門が二段階認証を導入しようとすると、「毎回パスワードを二回入力しなければならないから不便だ」という理由で事業部門から反対の意見が出るのです。そして取締役や役員も事業部門からの意見を尊重してしまう。その結果、有効なセキュリティ対策は分かっているのに組織の理解が得られずに導入が進まないという事態が発生しています。

　これが、サイバーセキュリティは技術的な問題から組織的な問題になっているという趣旨です。

クマル・リテシュ氏（以下、シテシュ）　完全に同意ですね。今、インフラなど公共のプラットフォームの分野でも、ランサムウェアが減少し始めたというニュースもあります。しかし、それは事実ではありません。

　2022年には11秒ごとにランサムウェア攻撃が起きていましたが、実際には23年には27秒ごと、24年には19秒ごとに起きています。つまり、今では実際に、これまで以上にはるかに頻発しているのです。常態化してきて、メディアでもあまり報じられなくなりました。企業なども、報告もしなくなっていることも挙げられます。

　しかも企業などが、ランサムウェア攻撃者に、以前よりはるかに多くのお金を支払っている実態もあります。2022年、2023年、2024年を見ると、被害組織は平均すると約80万ドルを支払っていました。今日では平均して150万ドルほどを支払っています。

　アメリカやイギリス、東南アジアの多くの企業が身代金を支払い始めているのですが、理由は、セキュリティに予算を確保するようになったからです。

　攻撃の手口を見ると、これまでは二重の恐喝が起こっていました。ランサムウェア攻撃の際に、攻撃者は組織のネットワークを暗号化するだけでなく、同時に情報も抜き出し、それを公開してほしくなければ身代金（ランサム）を払え、と二重の脅しをしていました。

　だが今、彼らは三重の恐喝を行っています。組織が身代金、支払うか、支払わないかは関係ありません。攻撃者は、盗んだ莫大なデータをAIに入力し、そこから将来の攻撃に使用するための資格情報やサーバー情報など使える重要な情報を探す。そしてAIが導き出した情報を使って再び攻撃するために戻ってくるのです。