人工知能(AI)とIoT(モノをインターネットに接続して使うこと)の進化によって、データが価値を生む時代に入った。しかし、企業からのデータ漏えい事件が絶えないのは、個人情報や知的財産を狙ってサイバー攻撃を仕掛けてくるハッカーの生態に対する知識の欠如が大きな要因だ。

「最近、メールアドレスなど大量の個人情報を盗み“ダークウェブ”上で10万ドルで売ったロシアの少年を特定し、通報した」。イスラエルに本社を置く世界的セキュリティー企業KELA(ケラ)グループの日本事業責任者ドロン・レビット氏は3月、『週刊エコノミスト』編集部の取材に応じ、こう述べた。

 少年がデータを売ったダークウェブとは、特殊なソフトを使わないとアクセスできないウェブサイトの総称だ。ダークウェブの大半は、メールアドレス、クレジットカード番号やパスポート番号など盗難データのほか、麻薬や武器などの取引を仲介する者たちの違法サイト。2013年に米連邦捜査局(FBI)に摘発された「シルクロード」もその一つで、当時100万人もの利用者がいたという。

◇イスラエルの元軍人が作ったセキュリティー企業

 そのダークウェブを常時監視しているというKELAはイスラエルの元軍人が作った会社だ。国レベルでセキュリティーを構築してきたサイバーの専門家が技術や経験を生かし、盗まれたデータがどこにあるか、どのような経路で売買されたかを突き止める技術においては、民間企業としては抜きんでた技術を持っているという。

 だが、レビット氏の話で驚いたのは、少年がハッカーとして特段優秀というわけではなかったことだ。つまり、ハッキングの技術が未熟でも、情報を簡単に盗むことができる時代に入った。狙いやすいのは、セキュリティーレベルの低い小規模な事業者。

 例えば、大企業に勤める人が出張で使う小規模なレンタカー事業者に会社のメールアドレスで連絡した場合、勤め先の大企業のセキュリティーが強固でも、サイバー攻撃を受けたレンタカー事業者からメールアドレスが流出する可能性がある。そのメールアドレスに攻撃者がなりすましメールを送るなどして攻撃を続けることで、さらに重要な情報を得ることも考えられる。

 もう一つ、ダークウェブからは高度に進化した「ハッキングツール」を入手できるだけでなく、ハッキング方法を教えるコミュニティーもある。このため全体としてハッカーのスキルは落ちているものの、ハッキング被害の数は急激に増加しているといい、「パソコンとネットがあれば、誰でもハックできる時代になった」とレビット氏は指摘する。

 ◇攻撃方法の把握が重要

 レビット氏はデータを守る上で大事なことは、セキュリティー構築にいくら投資したかではなく、守るべき情報は何かを的確に理解した上で、それに対してハッカーがどんな方法でアクセスしてくるかを知ることだと警告する。柵も監視カメラもあり堅牢に見える家でも、ハッカーから見れば、家庭内のさまざまなデジタル機器でウイルス対策がされておらず、初期設定パスワードが容易に知られるものは“鍵のかかっていない扉”同然だ。勝手に侵入できる入り口はいくらでもある。

「相手がどう侵入してくるかが分かっていれば、簡単に防御できる」(レビット氏)。誰でもハッカーになれる時代に、セキュリティー対策の勘所を誤らないようにしたい。
(編集部)

*週刊エコノミスト4月17日号 「データ×技術」