【第1回】はじめてのサイバーセキュリティ「なぜ今サイバーセキュリティなのか？」

はじめに

はじめまして。JACI認定英日会議通訳者の山本みどりと申します。

2009年よりフリーランスとして稼働しています。2014年ごろを境に、サイバーセキュリティ関連の案件を多く請けるようになりました。

2020年4月22日に遠隔セミナーにて「はじめてのサイバーセキュリティ」講座の講師を務める機会をいただきました。その流れで「ついでに連載も書いてみない？」という理事の甘いささやきに「いいですよ」と簡単に答えてしまい、本連載をする運びとなりました。ようやく今、事の大変さに気が付いて、かつてない本気を出したところです。やればできるはず。

遠隔セミナーの際に用意した資料は上記リンク先に格納されています。ぜひ本連載と併せてご覧ください。

本連載のゴールとTo do

本連載は、上記遠隔セミナーの内容に大幅に加筆・修正を加えて、サイバー攻撃の基本、通訳案件の種類、事前準備のコツなどについて筆者の筆の向くままに説明していきます。本連載の読者の大部分は現役通訳者だと思います。そんな皆さんが仮に明日サイバーセキュリティ案件をアサインされたとしても、役立つような情報を提供したいと考えています。具体的には、全体像を説明してから個別のトピックに入っていく予定です。サイバーセキュリティの世界は個別の技術やトレンドはすぐに陳腐化してしまいます。ですので、通訳の準備としても、この連載では基礎をおさえていただき、各論は案件がアサインされたときに具体的に予習していくと効率よく学習できるでしょう。

また、最新情報に触れるための情報ソースは連載の後半部分で紹介していく予定です。

Not to do

筆者はサイバーセキュリティの専門家ではありません。サイバー攻撃の手法や攻撃者の種類について網羅的に説明したり、技術的な詳細に触れたりすることはできません。

ディスクレイマー

本連載中の情報については、可能な限り正確なものをお伝えするよう努めておりますが、誤情報が入り込んだり情報が古くなったりすることがあります。特にこの業界は変化が激しく、情報が最新であることを担保できません。また、必ずしも正確性を保証するものではありません。また、本連載では特定の組織については述べません。

背景と目的：サイバーセキュリティとはなにか？

サイバーセキュリティ全体を図にしたものがこちらになります。

サイバーセキュリティとは、組織が所有するサーバーやネットワーク、PC、ソフトウェアやアプリケーションなどのIT資産のなかにあるデータを攻撃者（attacker, threat actor, bad guys）から守ること、またそのために講じる様々な策のことをいいます。

サイバーセキュリティの業務には3種類のプレイヤーがいます。攻撃者、防御する側、そして我々通訳者です。本連載では、前述のようにまずは全体像を説明したうえで、各論に入っていきます。具体的には、

・攻撃事例の紹介（←本稿）
・攻撃者について
・防御側について
・通訳業務について
・通訳者の準備について

という流れで、筆任せにすすめていきます。上記のような順番にしたのは、参考資料もこの流れで説明していたからです。推測するに、孫子の言うように「彼を知り己を知れば百戦殆うからず」ということなのでしょう。

なぜ、サイバーセキュリティか？

皆さんも毎日のようにサイバー攻撃のニュースを見聞きしていることでしょう。研究によると、米国では39秒に1回、ハッカーがサイバー攻撃を仕掛けているとのことです[i]。それだけデータには価値があるのです。データは、現代の石油のようなものです。例えば、グーグルは、検索エンジン、Gmail、Google Calendar、Google Mapなど便利な無料サービスを数多く提供しています。その背後で、やりとりされる情報をすべて集め、分析し、ユーザーに最適な広告を表示します。その広告料がグーグルの重要な収益源となっています。ユーザーから得る情報は、それを元手に巨大ビジネスが成立するくらい大きな価値がありますが、会計上は評価しにくいのです。攻撃者の立場から見れば、言葉を選ばなければ、データの窃盗は大変「コスパの良い」犯罪だと言えるでしょう。一例を挙げると、名前、住所、電話番号、社会保障番号、メールアドレス、銀行口座などID情報がまとめて入手できた場合、地下経済では30~100USDほどで取引されているとのことです[ii]。

攻撃者には国家（Nation State）、犯罪組織（Organized Crime Group）、ハクティビスト（Hacktivist）、愉快犯（Individuals）などさまざまな種類があり、攻撃の目的もそれぞれ異なります。一方、攻撃を受けた側は、多大な金銭的損失を被ることになります。また、攻撃を受け、それを公表することは社会的信頼を失うことにもつながります。米国サイバーセキュリティ・ベンチャーズの予想では、2021年までにサイバー犯罪による被害額は年間6兆ドルになるとのことです[iii]。「被害額に含まれるのは、データの破壊、盗まれたお金の額、生産性の低下、知的財産や個人情報の窃取、横領、通常業務の中断などの被害のほか、サイバー攻撃に関する調査、侵入されたデータやシステムの復旧や削除にかかった費用、風評被害などです。」[iv]組織はなんとしてでもサイバー攻撃を防ぎたいと考えており、そのための対策を講じる必要があります。そういった企業のニーズに応えるべく、さまざまな製品やサービスを提供する企業（ソリューションプロバイダー）が外資系で多く存在し、日本の企業や官公庁と取引をしています。サイバーセキュリティの世界では通訳に対する一定のニーズがあるのです。

事例紹介

では早速事例紹介に入りましょう。こういった事例を通して、サイバーセキュリティに慣れ親しんでいただき、ビジネスインパクトの規模感を把握していただければと思います。また、このような業務に携わる通訳者にもプロフェッショナリズムが求められます。なお、太字の用語は重要ですが、説明は次回以降で詳しくしていきます。

【その1】　米国小売企業ターゲットに対する攻撃（2013年12月）
クリスマス商戦まっただなかの時期に、クレジットカード情報4,000万件、顧客情報7,000万件が流出。攻撃者は、ターゲットと取引のある外部の空調業者の認証情報（credential）を入手、そこからターゲットのシステムに入り込み、PoS（Point of Sales）システムにアクセスすることで情報を漏洩させました。

標的とする事業会社そのものではなく、関連する企業に攻撃を仕掛け、それを足掛かり（leg up）として標的までアクセスしているため、「サプライチェーン攻撃」と呼ばれています。

また、2014年9月には同じく小売大手のホームデポの決済システムが攻撃を受けたことを発表しました。

こういった小売企業の情報漏洩を受けて、アメリカではクレジットカードの磁気ストライプ型からICチップ型への転換が加速化しました。また、情報漏洩の規模としては小さかったものの、アメリカ国民にとって「サイバー攻撃は自分には関係のない、よくわからないことではない。自分も被害者になりうるものなのだ」という危機感を持たせるには十分なものでした。

【その2】　ブリティッシュ航空への攻撃（2018年6月ごろ）
顧客データ5,000万件がウェブサイトとモバイルアプリから流出。
専門家の分析では、Magecart（メイジカート）による可能性が高いとのことです[v]。攻撃者はウェブサイトに悪意あるコードを埋め込み、クレジットカード情報などを盗み出しました。この攻撃の特徴は、標的となる事業会社そのもののウェブサイトに攻撃を仕掛けるのではなく、そこで使われているサードパーティ・プラグインに攻撃を仕掛け、乗っ取ることです。
この事件を受けて、ブリティッシュ航空は個人情報保護監督機関に1億8300万ポンド（約239億円）の罰金を科せられました。（ちなみに、2018年のブリティッシュ航空の売上は130億ポンドでしたので、単純に計算すると売上の約1%に相当する金額でした）

この二つの事例に共通しているのは、攻撃者はまずサードパーティの事業者やサービスを狙い、そこから足がかりを得て標的とする組織の資産にアクセスしたということです。いくら自社の資産をしっかりと防御しても、それに繋がっている外部の組織・人・モノまではコントロールしきれない、という点に付け込まれているのです。

ソリューションベンダ－の外国人スピーカーがこのような事例を日本の顧客企業に紹介するのは、「御社はそこまで考えてセキュリティを設計していますか？大丈夫なのですか？」という注意喚起をする意図があるからではないかと思います。

以上、海外で起こったサイバー攻撃の事例を2つ取り上げてみてきましたが、インパクトの大きさをご理解していただけましたでしょうか？また、こういった脅威にさらされている組織の危機感を想像できましたか？

まとめ

第1回の今回は、サイバーセキュリティの背景と事例紹介を行いました。次回は攻撃者に焦点を当てていきたいと思います。

ご意見・ご要望があれば、日本会議通訳者協会の会員限定Facebookページ、もしくは同協会ホームページのお問い合わせフォームよりお寄せください。

[i] 参考：https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds

[ii] 参考：Symantec 2019 Internet Security Threat Report　　https://docs.broadcom.com/docs/istr-24-2019-en

[iii]  参考：https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/

[iv] 出典：松原美穂子（2019）『サイバーセキュリティ: 組織を脅威から守る戦略・人材・インテリジェンス』　新潮社

[v]  参考：https://www.riskiq.com/blog/labs/magecart-british-airways-breach/