株式会社アイシーアイ

パスワード16億件流出

闇サイトで売られていた16億件のメールアドレスとパスワードの組み合わせのリストが、現在は誰でも無料でダウンロード可能な状態にある。

リストには、ソニー、東芝、トヨタ自動車、ホンダ、パナソニックなど大手企業の名が並ぶ。小生も試しに、大分以前に使っていたメールアドレスをチェックしてみたら、そのリストに掲載されていた。幸い、現在使用中のメールアドレスは掲載されていなかった。おそらく、大分古いリストなのかも知れない。

しかし現在、全世界で1日800億件の不正スキャンが行われ、毎日新種のマルウェア30万種が生まれ、毎日78万件のデータがハッキングにより流出している(マカフィー調査)。

その結果、2017年に日本企業70.4%がセキュリティ事故を経験しており、そのうち27%は社内PCのマルウェア感染で、17%が人為ミスによる個人情報の流出・漏洩、16%がなりすましメールの受信、10%がサイバー攻撃、9%がサーバーなどへのDDos攻撃などである(日本情報経済社会推進協会)。これ以外にも企業が気がつかないセキュリティー事故が多くある可能性が高い。

また、盗まれた情報は闇市場で売買されている。例えば、クレジットカードの情報1件の値段は1~40ドル、銀行口座のユーザー名とパスワードは残高の0.5~10%、スパイウェア15~50ドル、ランサムウェア・ツールキット5~450ドルなどである(シマンテック)。

では、誰がサイバー攻撃をしているのか。その手口から4つの国の関与が推定できる(日経ビジネス)。北朝鮮、中国、ロシア、イランである。この4カ国はサイバー攻撃の手口を教え合い攻撃能力を高めている。

北朝鮮のサイバー部隊は隊員数5,000人で、サイバー攻撃だけではなく、バングラデッシュ中央銀行から約89億円をハッキングで盗み出すなどの多額の金銭を奪う事件の関与が疑われている。

この4カ国に対抗するために、米国の国家安全保障局とイスラエルのモサド秘密部隊などは共同で作戦を立て、情報の共有を行っている。日本ではやっと今年3月に陸上自衛隊のサイバー部隊「サイバー防衛隊(約150人)」が民間人30人を予備自衛官として極秘訓練をしたところである。米国など外国のサイバー部隊に比較すると、規模、技術レベルも格段に劣る日本のサイバー部隊であるため、結局民間企業は自社でサイバーセキュリティ対策を講じざるを得ない。

経団連の「サイバーセキュリティに関する懇談会」では、やっと米国企業に面談し、機密を扱うノウハウを学んでいる状況である。日本では、経営者がセキュリティに対して関心が低い。そのため、社内にCISO(最高情報セキュリティ責任者)を設置して、企業内あるいは企業グループ内のセキュリティに取り組んで行く必要がある。特に企業内の旧式でリスクの高い「レガシー・システム」の洗い出しと対策を打つ必要がある。また、情報漏えい・サイバー攻撃を100%防止するのは困難な時代となった。むしろ万が一、サイバー進入を受けたときに、被害を抑える素早い対応が求められるようになってきた。

全世界のサイバー攻撃被害は年間66兆円(2017年マカフィー調査)に達する。企業経営の根幹に関わる問題となってきたことを、経営者は認識すべきである。