セキュリティー新時代(7)人間の脆弱性もリスク

2018-10-17

つながる時代のサイバーリスクについて、少し視点を変えて考えてみよう。製品だけではなく、人の行動もインターネットと接続され、リアルな世界とサイバー空間にはある種の融合が始まっている。ただ、このような世界であっても、事故を引き起こす主役はやはり人間となる。サイバーセキュリティー対策は、テクノロジーだけでは限界があるのだ。

例えば、仮想通貨交換業者から580億円相当の仮想通貨が流出した有名な事件、これはリアルな世界で人を信用する行為に起因するサイバー事故だ。報道によると、犯人は数カ月もの時間をかけて交流サイト(SNS)を通じて社員と信頼関係を築いた上で、会社宛のメールアドレスを介して犯罪を成功させたという。

このような攻撃は人間の脆弱性(弱さ)を突いた手法であり、テクノロジーのみで回避することは困難となる。有名なハッカーであるケビン・ミトニック氏はその著書「欺術」(ソフトバンククリエイティブ)で、人間には6つの脆弱性があると指摘している。あなたにも当てはまる「脆弱性」があるのではないだろうか。私自身も、ここに挙げたすべての脆弱性を有している。

人間の脆弱性

これらの人間の脆弱性をつくサイバー攻撃は一般的に「ソーシャルエンジニアリング」と言われ、昔から攻撃者が利用する古典的な手法である。最近では、ビジネスメール詐欺(BEC=ビジネス・Eメール・コンプロマイズ)という新用語で呼ばれ、世界的に大きな被害をもたらしている。

「重要な取引先が言うのだから(権威)」「長年苦楽を共にしたメーカーの担当者が言うのであれば(好意)」など、このような人間の脆弱性はテクノロジーが今後いかに発展しようとも解消はされないだろう。

取引先に確認すれば簡単に回避可能だと考える方もいるかもしれない。しかし、取引先にこのようなことを確認することは、自社のセキュリティー対策が十分でなかったことを暗に伝えることにならないだろうか。こうした心理まで攻撃者は計算していることも考えられる。

古くて新しい問題である「人間の脆弱性」を利用するサイバー事故への対応。まずは自分自身の脆弱性を認識することから始めていただければ幸いである。

綾部 泰二

パートナー, PwCあらた有限責任監査法人

Email

※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。

※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。

※法人名、役職などは掲載当時のものです。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}