サイバーインシデント報道スタンスの日本とグローバルメディアの違いとは

サイバー攻撃が日常的な脅威となる中、その報道のあり方にも国や地域による違いが見られます。本セッションでは、Financial Timesのサイバーセキュリティ担当記者 Hannah Murphy（ハンナ・マーフィー）氏をお迎えし、日本とグローバルメディアのサイバーインシデント報道におけるスタンスの違いを掘り下げます。日本では被害企業とその対応などが主に報じられるのに対し、欧米では脅威アクターに焦点が当たる傾向があると指摘するマーフィー氏。その背景にある文化や制度、報道姿勢が社会に与える影響を、PwCコンサルティングでディレクターを務める上杉謙二が聞きました。

登壇者

Financial Times
Technology Correspondent
Hannah Murphy（ハンナ・マーフィー）氏

PwCコンサルティング合同会社
ディレクター
上杉 謙二

グローバル報道が追うのは「企業」ではなく「攻撃者」

上杉：
マーフィーさんはテクノロジー特派員として、さまざまなサイバーインシデントを取材されてきました。本セッションでは、グローバルメディアが被害企業ではなく、脅威アクター（攻撃者）に焦点を当てる理由について議論します。主に取り上げるのは、次の4つの質問です。

1. なぜグローバルメディアは攻撃者に焦点を当てる傾向があるのか
2. 海外のサイバー記者の情報収集方法はどのようなものか
3. 記者会見のスタンスの日米の違い
4. 日本企業への推奨事項

最初に私から日本とグローバルのサイバーインシデント報道の違いを説明します。以下のスライドは、一般的なサイバーインシデント報道における見出しの違いを例示したものです。

左側の日本メディアでは、「企業」が主語となり、「企業から情報が漏えいした」「企業がサービスを停止した」といった内容が中心です。一方、右側の米国メディアは「ハッカー」「国家主体」「アタッカー」など、脅威アクターに焦点が当てられています。

こうした違いは、どこから生まれてくるのでしょうか。なぜグローバルメディアは攻撃者に注目する傾向があるのですか。

マーフィー氏：
米国を中心とするグローバルメディアはサイバー攻撃が発生した際、「誰が攻撃したか」の特定に強い関心を示します。特に攻撃者が国家や犯罪組織、地政学的背景と関わる場合、その傾向は顕著です。背景には、サイバー攻撃を単なる企業の問題ではなく、国家安全保障や国際犯罪の一環として捉える視点があります。

一方、日本のメディアは攻撃者の特定よりも、被害企業の対応や社会的影響に焦点を当てる傾向があります。こうした違いは、報道文化やステークホルダーの関心、セキュリティインシデントに対する社会全体の意識の差から生まれています。

上杉：
グローバルメディアが、サイバー攻撃の犯人特定や背景の分析に注力した具体的な事例を教えてください。

マーフィー氏：
米国企業がサイバー攻撃を受けた事件の際の報道を紹介しましょう。この時、米国メディアは攻撃者の身元を広く報道しました。海外拠点のハッカーであることと、その侵入の経緯を詳細に伝えています。

これは、攻撃者の特定や地政学的背景を、国家安全保障上のリスクとして捉える米国メディアの姿勢を示す好例です。同様に、海外系ランサムウェアグループによる米国企業への攻撃でも、犯行の手口や背景に迫る報道が多く、犯罪組織としての実態を明らかにしようとする意図が見て取れます。

さらに注目すべきは、「誰が攻撃したか」だけでなく、「どう攻撃したのか」「どのような手法が広がりつつあるのか」といった技術的側面にも焦点を当て、詳細に報じていることです。

例えば私は2024年、大規模言語モデル（LLM）の普及に伴い、AIモデル自体が攻撃対象となっている現状を報じました。中でも「ジェイルブレイキング（jailbreaking）」と呼ばれる手法では、チャットボットに巧妙なプロンプトを入力することで、本来出力されない情報や発言を引き出すことが可能になります。これは、AI企業が設けたガードレール（安全制限）を意図的にすり抜ける行為です。

こうした「攻撃者・技術・戦術」への深いフォーカスは、日本のメディアのスタンスとは対照的です。日本では、企業の評判や再発防止策に関する報道が中心であり、「誰がどのような技術で攻撃を行ったか」といった視点は、あまり掘り下げられていないのが現状です。

国家と記者が築く、サイバー監視のエコシステム

上杉：
次に情報収集方法の違いについて伺います。米国のメディアが攻撃者に関する報道を行う際、どのように情報を収集しているのでしょうか。日本との違いも含めて教えてください。

マーフィー氏：
米国のサイバー記者にとって、報道の土台となるのは政府や情報機関との継続的な関係構築です。特に国家支援型のサイバー攻撃や組織的な犯罪に対処するには、政府主導のセキュリティ戦略や調査活動へのアクセスが不可欠です。そのため記者たちは、国家機関の担当者や脅威インテリジェンス企業、現場のセキュリティアナリストと信頼関係を築き、日常的に情報を収集しています。

先述したとおり、米国ではサイバー攻撃は単なるインシデントではなく、国家戦略の一部として捉えられています。特に国家による攻撃は、国際関係や地政学的緊張、スパイ活動や武力紛争と密接に結び付いて報じられます。サイバーセキュリティは、国家政策や法執行、外交の延長線上にあるという認識がメディアにも根付いているのです。

そのため米国メディアは、攻撃の被害だけでなく、その背後にある政治的意図や国家間の力学に強く関心を寄せています。脅威アクターの特定は、事件を正しく文脈化するために欠かせない要素です。

欧米のインテリジェンス機関や脅威分析企業は、国家支援を受けた攻撃グループ、いわゆるAPT（Advanced Persistent Threat）を継続的に監視しており、ロシア・中国・イラン・北朝鮮の4カ国を主な対象としています。

米国ではAPTを追跡・分析するエコシステムが整っており、メディアもこれらの活動を注視しています。サイバー攻撃を単独の出来事として扱うのではなく、脅威の動向にも強い関心を寄せて報道に当たっています。

上杉：
米国では近年、企業にサイバーインシデントの情報開示を義務付ける制度が強化されていると聞きます。こうした制度化は、メディアの報道活動にどのような影響を与えているのでしょうか。

マーフィー氏：
ご指摘のとおり、米国では企業に対するサイバーインシデントの情報開示義務が急速に強化されています。その背景には、国家防衛だけでなく、市場の透明性や投資家保護といった観点もあります。例えば2023年には、証券取引委員会（SEC）が新たなサイバーセキュリティ開示ルールを制定し、重大なインシデントについては4営業日以内に開示することを、全ての上場企業に義務付けました。

こうした制度があることで、私たちジャーナリストは公式文書を通じてインシデントをいち早く把握でき、記事の裏付けにもなります。開示情報を起点に、攻撃の経緯や対象、攻撃者の特定に関する追加取材を行い、報道に反映しています。

上杉：
制度面だけでなく、文化的な違いも大きいように思います。日本と比べて、開示への意識にどのような違いがあると感じますか。

マーフィー氏：
米国では「情報は共有してこそ守れる」という考えが根付きつつあり、開示は企業の責任とされるだけでなく、社会的に当然の姿勢と受け止められています。開示された情報は政府機関にも共有され、攻撃の傾向把握や早期対応に生かされます。

一方で課題もあります。開示内容が詳しすぎると攻撃者に手の内を明かすことになりかねません。また、法的リスクや経営判断の重圧から、CISO（Chief Information Security Officer）や開示責任者の辞任が報じられることもあります。

対照的に日本では、サイバー攻撃を「企業の不備」として受け止めがちで、攻撃者の特定や背景分析に重点が置かれない傾向があります。この違いは単なる報道方針の差というより、価値観、情報共有のインフラ、そして記者がアクセスできる情報源の成熟度の違いに起因していると思います。

読者が求めるのは「事実」と「舞台裏」

上杉：
次に、読者の視点について伺います。企業の記者会見や発表を受けて、読者はどのような情報を求めているのでしょうか。Financial Timesの読者は、公式な発表以外でどのような情報に注目していますか。

マーフィー氏：
まず関心が向けられるのは、「どのような攻撃が、どの程度の規模で起きたのか」といった事実関係です。他社への波及リスク、被害を受けた顧客の数、攻撃者の潜伏の有無、対応に要したコストなど、影響の具体性が重視されます。特に投資家視点を持つ読者が多いため、業績や株価への影響は大きな注目点です。

加えて、企業の初動対応や意思決定の過程といった「舞台裏」にも強い関心が寄せられます。最初に何に気付き、誰がどう判断し、どんな混乱があったのか。取締役会の反応や広報準備の経緯など、組織の内情が垣間見える要素は、公式発表では見えないリアルを映し出し、記事の読みどころになります。

上杉：
その「舞台裏」まで迫るために、記者はどのように情報を集めているのでしょうか。

マーフィー氏：
重要なのは、被害企業との信頼関係を築くことです。広報発表だけでは得られる情報に限界があるため、社内関係者に加えて、支援ベンダーやランサムウェア交渉人といった第三者からの情報も積極的に取材します。政府機関や脅威インテリジェンス企業との連携も欠かせません。

例えば以前、ランサムウェア交渉人を取材したことがあります。彼らの中には、過去の交渉事例を分析して、犯罪グループの傾向や信頼度をデータベース化している人もいます。こうした情報は、世間にあまり知られていない事件の裏側を明らかにする助けとなります。欧米ではランサムウェアが深刻な社会問題と認識されており、こうした報道に対する関心も高まっています。

上杉：
取材姿勢の違いは、記者会見のスタンスや報道文化にも表れているように感じます。例えば日本では、企業発表をなぞる形式的な会見が多く、「公式発表の範囲内でしか質問しない」といった空気が根強いとの指摘もあります。

マーフィー氏：
おっしゃるとおりです。米国では、記者会見はあくまで出発点であり、記者はその場で新たな視点から問いを立て、発表内容の背景を掘り下げようとします。企業も、広報戦略として「何をどう伝えるか」を用意しますが、メディア側も読者に代わって「本当に知るべきこと」を引き出す責任を強く意識しています。この点に、日米の報道姿勢の違いが表れていると思います。

上杉：
サイバー攻撃を受けた際、記者会見を開くべきかどうかは日本でも議論になります。日米でその対応に違いはあるのでしょうか。

マーフィー氏：
米国では、サイバーインシデントに際して企業が記者会見を開くことはまれです。通常はプレスリリースで簡潔に公表し、影響を受けた顧客には個別に通知します。信頼関係のある記者に限定して追加取材に応じることはありますが、公開の場での発表は例外的です。

ただし、大規模な攻撃や政府機関との連携が必要な場合には、連邦当局と企業が合同で記者会見を行うこともあります。これは、企業単体ではなく、国家的なセキュリティ対応として説明責任を果たすためです。

上杉：
日本企業が情報開示を検討する際、どのような点に留意すべきでしょうか。

マーフィー氏：
情報開示は、信頼の確保とリスク回避のバランスが求められる繊細な判断です。企業は注目や批判を避けたい一方で、業界全体の透明性向上という社会的な役割も担っています。開示が進めば、報道の焦点も企業の対応から、攻撃者の実態や背景へと移っていきます。これは、報道の軸が「責任追及」から「脅威の可視化」へと移行することを意味します。

もっとも、開示には注意が必要です。脆弱性が攻撃者に伝わるリスク、顧客や投資家の不安、法的な責任など、影響は多方面に及びます。誰に、何を、どこまで伝えるか。その一つ一つが、企業の信頼とリスクを左右する重大な判断になります。

開示文化の転換が求められる日本企業

上杉：
最後に、情報開示や対応の観点から、日本企業が取るべきスタンスについてアドバイスをお願いします。

マーフィー氏：
大切なのは、「何が起きたのか」「誰に影響があったのか」「どう対応したのか」といった基本的な事実を、できるだけ正確に伝えることです。可能であれば、攻撃の発信元や関与した脅威グループなど、いわゆるアトリビューションも含めて開示することが望ましいでしょう。そのためには、社内のセキュリティ部門に加え、外部の脅威インテリジェンス機関との連携が不可欠です。

情報を共有することで、同様の攻撃が他の企業に及ぶ前に、攻撃手法や傾向を周知させることができます。開示には一定のリスクが伴いますが、個社の防衛だけでなく、業界や社会全体の防御力を高める意義もあります。

企業としては、第三者ベンダーとの協力にとどまらず、法執行機関や政府との情報共有を積極的に行うことで、有効なアドバイスや支援を受けることが可能です。

こうした取り組みが一般化すれば、サイバー攻撃に対する企業の向き合い方そのものが変わり、より開かれた、持続可能なセキュリティ文化が社会に根付いていくと考えています。

上杉：
貴重なお話をありがとうございました。