Farnell の、業界リーダーへのインタビューシリーズ「Top Tech Voices」から、サイバーセキュリティーの第一人者ヴィクトリア・べインズ氏が語った「サイバーセキュリティとデータプライバシー」を、3つの記事で紹介します。今回はその第2回です。
当たり前のことが多く語られていますが、慣れていない人、逆に慣れすぎてしまった人が、多分大丈夫と思っていることが落とし穴になります。その「そんなことで?」の意外な落とし穴が、今回のトークの面白い点です。
前回の、第1回目はこちら。
インタビューは英語ですが、Youtubeの日本語字幕でご覧いただくことができます。
国家規模の影響操作から魚の水槽まで:「高度なもの」と「ばかばかしいもの」が同時に存在するサイバー脅威とは
サイバー攻撃は、専門知識を持つ人が扱う「特殊な事件」と思われがちです。しかしヴィクトリア氏は、サイバー攻撃の脅威の正体はもっと多様で「非常に高度」なものから「信じられないほど単純」なものまで、両極端に広がっていると語っています。ここでは、彼女が紹介した具体的な事例を中心に、現代のサイバー攻撃の脅威がいかに幅広くそして身近なのかを見ていきます。
フェイクニュース:人の感情を揺らす最先端の攻撃
最初の事例は、フェイクニュースに関するものです。ヴィクトリア氏 によると、フェイクニュースは単なる「正しくない情報」ではなく、れっきとしたサイバー攻撃の一形態だと言います。彼女が紹介した事例はとても象徴的でした。
- とある国が マケドニアの10代の若者たちに偽情報の発信を外注していた
- 選挙時期に、すでに亡くなっている政治家をAIで「蘇らせ」、支持を呼びかける動画が出回った
これらは、事実の正確性よりも「人の感情を動かすこと」 を目的にしています。怒り、不安、正義感といった感情が刺激されると、人は内容を裏取りせずに拡散してしまう。ここが攻撃者の狙いです。
ディープフェイク音声による「高度な詐欺」
ヴィクトリア氏は、フェイクニュースと並行して、ディープフェイク音声による詐欺にも触れました。例えば、
- 上司の声をAIで生成し、社員に送金を依頼する
- 本人の声にそっくりな音声で、緊急指示を伝える
こうした手口は本物らしさが極めて高いため、とても高度な攻撃と言えます。特に企業においては「信用」や「言葉の真実味」が意思決定に直結する 場面が多いため、こうした攻撃は大きな被害につながります。
「ばかばかしいほど単純」なのに深刻な影響を及ぼす攻撃
一方で、ヴィクトリア氏が語った事例の中には「本当にそんなことで?」と驚くほど単純な侵入口が、重大な被害に発展したケースもあります。
「魚の水槽のスマート温度計」事件
カジノで、展示用水槽に取り付けられたスマート温度計が初期パスワードまま使用されていました。攻撃者はここから内部ネットワークに侵入し、最終的に大量のデータが盗まれ、国外サーバーに送信されてしまいました。水槽の温度計が企業の「最弱リンク」だったのです。
さらに ヴィクトリア氏は、交通インフラに関するケースも紹介しました。
信号機停止の背景にあったのは「たった1通のメール」
政府職員が、誤ってフィッシングメールを開いてしまいました。そしてそのネットワークは、交通信号のシステムと分離されていなかったのです。結果として、信号機が停止する事態に発展してしまいました。
技術の問題というより、非常に日常的なミスが引き金になったケースです。
では、どう身を守るのか?
ヴィクトリア氏の話を総合すると、サイバー脅威は「高度 vs 初歩的」という対比ではなく、「多層的で、複数の要素が噛み合った結果起きる」 という特徴を持っています。攻撃を防ぐポイントとして、彼女はいくつかの基本的な行動を示しています。
パスワードは初期設定のまま使わない
特にIoT機器は、初期パスワードのまま使われがちです。水槽の温度計の事件が象徴するように、
- 初期パスワード
- 設定が更新されていない
- 使われていないデバイスが放置される
これらが簡単に突破できる入口になってしまいます。
ネットワークを分離する
信号機停止のような事例から分かるのは、
- 重要なシステムと一般ネットワークを同じ空間に置かない
という基本原則の大切さです。ネットワークの分離は、被害が広がらないようにするための最後の防波堤といえます。
情報は「単体では無害」でも、「組み合わさると脅威」になる
ヴィクトリア氏が強調していた重要な視点がこれです。
「1つ1つの情報は無意味でも、組み合わせることで強力な情報になる」
例として彼女が挙げたのは、運動アプリのデータが軍基地の位置情報を浮かび上がらせてしまった事例です。走ったルート、活動時間、ユーザーの動線が組み合わさることで、存在を秘匿すべき場所の位置が明らかになるのです。これは、一般の私たちにとっても重要な視点です。
- SNSの投稿
- 位置情報
- 日々の行動の記録
- IoT機器のログ
1種類の情報だけでは 無害でも、複合すれば「個人情報の地図」になる可能性があります。
脅威は多様だが、理解すれば怖がりすぎる必要はない
高度な攻撃とばかばかしいほど単純なもの。AIを駆使したディープフェイクと水槽の温度計。国家による影響操作と職員のワンクリック。これらでヴィクトリア氏が伝えたかったのは、「サイバー攻撃は特別なものではなく、私たちの日常と地続きにある」という事実でした。
だからこそ、パスワード等の認証による保護ネットワーク分離、情報の組み合わせへの意識といった基本的な行動を積み重ねることが、どんな高度な攻撃にも、どんな初歩的な攻撃にも対抗する一歩になります。
このエピソードが語られた動画について
スピーカー:ヴィクトリア・べインズ(Victoria Baines)FBCS教授、オンラインの信頼性、安全性、サイバーセキュリティ分野の第一人者
案内役:ジョージア・ルイス・アンダーソン、AIコンテンツとプロンプト工学ストラテジスト
この記事は、動画の内容を抜粋して記事化しています。動画からの抜粋にAIを使用しています。
Farnellについて
2,000社を超えるメーカーの100万点を超える電子部品を、1個からeコマースで販売し2-4日でお届けしています。
jp.farnell.com