ビットコインで支払われた身代金
先日のロシアの犯罪集団による米国主要パイプラインへのサイバー攻撃にはびっくりしました。
更に驚いたのは、身代金がビットコインで払われた事でした。
遂に暗号通貨が犯罪者にも使われる様になったかと驚いたものですが、この身代金の大半を米国当局が取り押さえた様です。
このパイプラインの事件は世界で頻発するサイバー攻撃の氷山の一角でしかありません。
サイバー攻撃の被害を受けた会社は通常、身代金を払って泣き寝入りするのが通常で、警察にも通報しません。
従って、サイバー攻撃の実際の被害はかなり大きな数字に達しているはずです。
英誌Economistが「To stop the ransomware pandemic, start with the basics」(サイバー攻撃を防ぐには、まずは基本から)と題する記事を掲載しました。
かいつまんでご紹介したいと思います。
Economist記事要約
5月7日、サイバー犯罪者は、アメリカの東海岸に必要な石油の半分を供給するパイプラインを5日間閉鎖しました。
それを再び稼働させるために、彼らは所有者であるコロニアルパイプラインカンパニーに430万ドル(4億7千万円)の身代金を要求しました。
数日後、同様の「ランサムウェア」攻撃により、アイルランドのほとんどの病院が機能不全に陥りました。
このような攻撃は、テクノロジー企業から学校や軍隊に至るまで、すべての人に影響を与えるサイバーリスクの高まりをあらわしています。
脅威の1つは大惨事です。
航空交通管制システムや原子力発電所の故障について考えてみてください。
しかし、サイバー犯罪は多くの産業のデジタル化を妨げ、世界の生活水準を上げることを約束する革命を妨げるため、その影響は甚大です。
ランサムウェアの最初の試みは1989年に行われ、フロッピーディスクを介してウイルスが拡散しました。
より多くのデバイスがネットワークに接続され、地政学が不安定になるにつれて、サイバー犯罪は悪化しています。
西側諸国はロシアや中国と対立しており、いくつかの独裁政権がサイバー犯罪者に聖域を与えています。
数兆ドルが危機に瀕しています。
London Business School(LBS)の調査では、20年以上にわたって85か国の12,000の上場企業が投資家に対して行ったコメントを調査することにより、その傾向を把握しています。
サイバーリスクは2002年から4倍以上、2013年から3倍になりました。
活動のパターンはよりグローバルになり、幅広い業界に影響を与えています。
パンデミックの最中に自宅からログインする従業員は、確実にリスクを高めています。
この状況に直面して、サイバー攻撃によって引き起こされる壮大な危機について心配するのは自然なことです。
すべての国には、石油パイプライン、発電所、港などの脆弱なインフラがあり、その障害により多くの経済活動が停止する可能性があります。
金融業界は拡大するサイバー犯罪の標的です。
最近、銀行強盗は覆面よりもラップトップを好みます。
規制当局は、銀行が崩壊する可能性について懸念し始めています。
一方、新しいテクノロジーへの脅威は、テクノロジーに対する信頼を低下させます。
コンピューターは車、家、工場あらゆる場所に組み込まれ、産業用の「Internet of things」(IOT)を作成します。
データの海から収集された洞察は、ヘルスケアに革命をもたらすことを約束します。
理論的には、これらすべてが生産性を高め、今後数年間多くの命を救うでしょう。
しかし、デジタルの世界が不安に悩まされるほど、より多くの人々がそれを敬遠し、より多くの潜在的な利益が失われます。
誰かのコネクテッドカーに搭載されているランサムウェアについて想像してみてください。「5,000ドル支払わなければ、ドアをロックされたままにするぞ。」
サイバー攻撃の被害者には、企業や公共団体が含まれます。
加害者には、スパイ活動を行い、戦争能力をテストしている国だけでなく、西側を苛立たせるためにその存在が容認されているロシア、イラン、中国の犯罪組織も含まれます。
サイバー攻撃に関連する秘密主義は、困難を増幅させます。
企業はそれらを覆い隠します。
リスクを軽減するための通常のインセンティブはうまく機能しません。
多くの企業は、2段階認証などの基本を無視しています。
コロニアルは簡単な予防策さえ講じていませんでした。
サイバーセキュリティ業界には、クライアントを攻撃するサメがたくさんいます。
あるサイバー関係者の言葉を借りれば、販売されているものの多くは「中世の魔法のお守り」よりも少し優れている程度です。
これはすべて、金融市場がサイバーリスクの価格設定に苦労しており、保護が不十分な企業が支払うペナルティが小さすぎることを意味します。
たとえば、IBSの調査では、サイバーリスクは伝染性であり、株価に織り込まれ始めていると結論付けています。
しかし、データは非常に不透明であるため、その影響が実際のリスクを反映している可能性は低いです。
民間部門のインセンティブを修正することが最初のステップです。アメリカ、イギリス、フランスの当局者は、さらなる攻撃を助長するという理由で、身代金支払いの保険適用を禁止したいと考えています。
企業に攻撃を受けた事とその潜在的なコストを公表するよう要求するべきでしょう。
しかしアメリカでは、公表には随分時間がかかります。
より厳格で均一な開示により、投資家、保険会社、およびサプライヤーは、セキュリティに過小投資している企業をより適切に特定できます。
製造業者は、安全でないIOTデバイスの流れを食い止めるのに役立つ製品スタンダードを遵守する様になるでしょう。
政府は、正統的な金融システムとデジタル金融の陰の世界との境界線を監視する必要があります。
身代金はしばしば暗号通貨で支払われます。
お金が正当な出所を持っているという証拠なしに、通常の銀行口座に暗号通貨のお金をリサイクルさせることをより難しくしなければなりません。
サイバーリスクは地政学の問題でもあります。
従来の戦争や国境を越えた犯罪では、リスクを封じ込めるのに役立つ行動規範が存在します。
しかしサイバー分野では、新しい問題に直面して混乱が見られます。
外国の犯罪者からのサイバー攻撃に対する報復を正当化されるのでしょうか?
仮想侵入者に対して実際の応答が必要とされるのはいつですか?
出発点は、リベラルな社会が協力して攻撃を封じ込めることです。
最近のG7とNATOの首脳会談で、西側諸国はそうすることを約束しました。
しかし、中国やロシアなどの国家と対峙することも重要です。
明らかに、彼らは彼ら自身を非難する西側諸国をスパイする事をやめません。
しかし、バイデン大統領とプーチン大統領の間の首脳会談は、サイバー犯罪に関する困難な対話を開始させました。
理想的には、世界経済の健全性を脅かすサイバーリスクに関する合意に取り組むべきでしょう。
デジタル社会の厄介な側面
デジタル化は社会の進歩のために必須だと思います。
しかし、デジタル化が我々の生活を必ず便利に安全にしてくれるとは限りません。
デジタルツールにインプットを迫られるパスワードは年々、複雑になり、数字だけで良かったものが、文字も入れろ、更には大文字を混ぜろだ特殊記号も必須だと要求され、挙げ句の果ては半年ごとに新しいパスワードに交換しろなんて言われると途方にくれます。
最近、銀行のATMで現金が引き出せない事故が相継ぎますが、おそらく銀行は想像を絶する様な複雑なプログラムを組んで、ハッカーの攻撃を防ごうとしているので、それが事故に繋がっているものと推測します。
こんな事故を見ていると、アナログの世界も一部残しておいた方が、いざと言う時に助かるのではと考えたりします。(素人の意見ですが...)
最後まで読んで頂き、有り難うございました。