WithSecure社(旧F-Sucure)は1988年の創業以来拡大を続け、現在は日本でも富士通やSHARP等数々の大企業と提携するグローバル企業だ。ウィルス・ハッキング対策だけでなく、包括的なコンサルティングも多岐にわたり提供するWithSecure社で、30年以上ネット犯罪の現場を目撃してきたのが現CRO(主席研究員)ミッコ・ヒッポネン氏。TEDトークにもしばしば登壇するサイバーセキュリティ界の世界的権威である同氏が今、日本企業に伝えたいこととは。
現代ネット社会におけるセキュリティ脅威
「銀行強盗」という言葉、最近はめっきり聞かなくなりましたよね。フィンランドで最後に起きた銀行強盗は約12年前で、それ以来物理的な銀行強盗は起きていません。銀行のオンライン化が進んで現金を保持する銀行が減り、犯罪者も打つ手がなくなってしまったのです。
そこでお金を盗むことを諦めてくれればよかったのですが、彼らは現在オンラインに足場を移して引き続き”銀行強盗”を行っています。
「トロイの木馬」と呼ばれるマルウェア(注・悪意のあるソフトウェアで、感染したパソコンから様々な情報を抜き取る)を送りつけたり、キーロガー(注・キーボードの入力を記憶し、パスワード等を摘出)を集めたり、何より最近では仮想通貨市場がその標的となっているのです。
仮想通貨関連の犯罪には、日本のコインチェック不正流出事件のようにハッキングで直接仮想通貨を得るものもあれば、クラウドサーバーを不正に利用し、仮想通貨のマイニングを行わせるといった手法もあります。クラウドサーバーの良いところは利用者の数に合わせてそのスケールを変えられることですが、そのリソースを悪用するのです。
近年の著しいインターネットの発達、IoT化の結果、その可能性を逆手に取ったサイバー犯罪が増加しています。
日本もフィンランドも、国際的な統計でみると犯罪発生率の低い“安全な”国と見なされていますが、オンラインの話となると、国境がまったく意味を成しません。日本のインターネットも決して安全とは言えない状況にあるのです。
世界中のほとんどがインターネット上で接続されるようになった結果、システムの無限のつながりのうちのどこかにある脆弱性を突き、そこから目的の場所まで入り込むことができるようになってしまった、ということです。先述のクラウドサービスを悪用したサイバー攻撃なども発生しています。これは2019年時点の調査ですが、FBIによると年間430億ユーロ(約6.2兆円)以上もの損害がネット犯罪によってもたらされています。
私が提唱し、今年出版した書籍のタイトルにもなった「If It’s Smart, It’s Vulnerable(“スマート”という名称がついている物は脆弱である)」は巷で「ヒッポネンの法則」と呼ばれているのですが、IoT化が進むことはそれだけ攻撃を受ける可能性も増すという事で、我々は世界中で協力してそれに対応していかなければなりません。