2024年1月31日、弊社主催のオンラインセミナー「Cybereason 2024サイバー脅威予測セミナー　～トップランナーと考える2024年に警戒しておくべき脅威の傾向とは～」が開催されました。

本稿では、サイバーセキュリティクラウドセキュリティ技術戦略アドバイザー 明治大学サイバーセキュリティ研究所所長 レンジフォース代表取締役 齋藤 孝道氏によるセッション「2024年のサイバーリスクの概況」の概要を紹介します。

リスクとは

冒頭、齋藤氏は今後サイバーリスクが高まるものとして、以下の5つのトピックを挙げました。

• AI、通信インフラ
• 量子コンピュータ
• ネットフラウド（不正、詐欺）
• フェイクニュース（偽情報、誤情報）

ここでいうリスクとはどのようなものなのでしょうか。JISでは「目的に対する不確かさの影響」（JIS Q 27001）と定義されていますが、すこし抽象的で難しい概念であると齋藤氏はいいます。

では、サイバーセキュリティにおいて「リスク」とは何であるのか具体的な例を挙げて説明します。

たとえば、PCなどの「情報資産」に対して、OSなどの「脆弱性」があり、それを狙う攻撃者が「脅威」として存在する。その中心に情報漏洩やデータ破壊などのリスクが特定されると述べます。

一般には脆弱性や脅威が注目されがちですが、情報やソフトウェア、PCなどの物理的資産などの情報資産という視点で見ると、デジタル・トランスフォーメーション（DX）の進展により、この情報資産の規模や重要性が高まり、それに伴いリスクも高まっていくと解説します。

今日の脅威の実態

リスクのもう1つの要素である脅威とは何であるのか。その背景には、西欧をはじめとする諸国が掲げる自由主義と、それと対立する専制主義があります。

特に、冷戦後において、米国が経済的・軍事的に圧倒的な力を持ち、それに対して世界は「通常兵器では太刀打ちできない」という現実を目の当たりにし、これが反米主義国家の対米戦略に大きな影響を与えていると言えます。具体的には、軍事力による武力紛争に至ることなく適用できるデジタル影響工作やサイバー攻撃などの情報戦の能力を高める方向に動いた、といいます。したがって、このような地政学的な背景によって、サイバーリスクは今後さらに増大すると分析しています。

「このように高まる一方のサイバーリスクですが、国と国との戦いという観点でいうと、外交や軍事などのさまざまな攻撃手段の中の1つに過ぎません。今は軍事的な脅威が高まっていますが、このような流れの中で軍事力を増強するために、軍事技術を他国から盗み出したり、軍事費を確保するために仮想通貨を盗み取ったりなどの手段として、サイバー攻撃が使われております。さらに、今日では戦いの性質が変わってきており、これまでは軍事だけに注目されがちだったものが、サイバー、外交、政治、文化や経済などを連動させながら相手の国を痛めつけるというのが現状です。」（齋藤氏）

「一方、サイバー攻撃の対象領域に注目してみると、OSやネットワークなどの論理ネットワーク層に注目が行きがちですが、それだけでなく、デバイスやケーブルなどの物理ネットワーク層、そして人やコンテンツの領域であるサイバーペルソナ層も攻撃の対象となったり、またこれらの領域を横断的に悪用するケースも増えており、総合的に見て、立体的で複合的なリスクが高まっていると認識すべきだ」（齋藤氏）

ここで齋藤氏は、冒頭に挙げた2024年の5つのリスクについて具体的に触れていきます。

■１）AI
1つ目のリスクはAIについてです。

この数年でビッグデータとそれを処理する計算能力の向上により、AI技術が大きく進みました。一方、1980年代より情報化が進み、データを大量に集められるようになったことから、データ量が爆発し、分析能力が不足する問題がでてきたと齋藤氏は指摘します。ビッグデータの時代、人手だけでは処理が不可能になり、ビッグデータの処理にAIが欠かせなくなってきています。

AIを使う上でどのようなリスクがあるのか、4つのポイントを挙げました。

• AIを扱うことができる高度な人材：AIを使いこなすためには高度人材が必要であるが、このような人材は市場での希少性も高く、継続的に確保・育成することがリスク要因となる可能性がある。
• 良質なデータ：実データは非構造的であり、加工が必要なので、漠然と集めても意味がない。さらに、攻撃者が偽のデータを送り込んでくるリスクもある。
• 法令遵守と倫理：西側諸国では法律や倫理の制限があるが、例えば顔認証データなど、個人情報などを規制なく使うことができてしまう国家もあることから、そこで技術的な差がでてくる可能性もある。
• 信頼性：AIの導入当初はパフォーマンスが低下することもあるが、使い続ければ改善されていく。信頼性が低下したという状況を見て、導入しないほうがいいという声も上がることがあるが、信頼性が一時的に下がることを認識した上で、使い続けることが大切である。

■２）通信インフラ
２つ目のリスクとして挙げたのが通信インフラです。

日本の国際通信は99%を海底ケーブルに依存しており、海底ケーブルの陸揚げ地点が房総半島や志摩半島といった限られたエリアに集中しており、これらの物理的破壊がリスクになる可能性があります。実際にあった例として、台湾では2023年に本島と離島を結ぶ海底ケーブルが船により切断され、離島では島外との電話やネットが遮断されて使えなくなり、大きな障害になりました。この事例からみて、ITによる利便性が『脆弱性』となる時代となったと言えるでしょう。

これらのリスクを回避する方法としては、別の通信手段、例えばスターリンクに代表される低軌道衛星の利用が考えられますが、私企業なので、その企業の対応に左右されることもあり、引き続きリスクは残ると言えます。

■３）量子コンピュータ
3つ目のリスクとして挙げたのは量子コンピュータです。

各国が開発にしのぎを削る量子コンピュータは、従来のコンピュータから格段に計算能力が上がることから、暗号が解読されてしまう脅威となります。「暗号を制するものが世界を制する」といわれるように、暗号のキャスティングボードが量子コンピュータを握る国にもっていかれてしまう可能性もあります。2030年頃までにはRSA暗号が解読されという予測もあり、耐量子暗号の開発も進んではいますが、どれほどの有効性実効性を確保できるかは注視すべきであると齋藤氏はいいます。

■４）ネットフラウド（不正・詐欺）
4つ目のリスクはいわゆるネットを使った不正や詐欺です。

従来の情報セキュリティとは少し異なりますが、クレジットカードの不正使用は年々増加しており、その要因としてECサイトからの情報流出が疑われていて、このように盗まれたカード情報への対策や、詐欺のスキームとしてもネットフラウドが行われており、新たな脅威として増える一方にあります。

■５）フェイクニュース（偽情報・誤情報）
5つ目のリスクはフェイクニュースです。

SNSなどで、AIやアドテクを駆使して世論を誘導するような脅威が高まっています。発言・表現の自由があるがゆえに、攻撃者がSNSを悪用することで、敵対国家の世論を誘導します。自由主義国家・西側諸国の最大の弱点ともいわれており、特にSNSなどで世論誘導することで、選挙を乗っ取ってしまうことも可能です。

代表的な例が2016年の米国大統領選です。露のプーチン大統領によって主導されたプロジェクト・ラフタは、国の情報機関を使い不正アクセスを行って米国内の大学や民主党の情報を盗み出し、その情報をリークサイトに掲載し暴露、SNSを使って拡散して世論を誘導していきました。そこにトランプ陣営が乗っかって選挙工作を行った結果、世論が動き、本命視されていたヒラリー・クリントンが選挙戦で負けて、トランプが大統領に就任したという経緯は米国の公文書の中でも示されています。

今年（2024年）11月には米国大統領選挙があり、再び選挙への干渉や世論の分断化などが予見され、大きな影響を受けるだろうと見られています。

まとめ

最後に2024年のサイバーリスクに対するまとめとして、齋藤氏は次の5つを挙げました。

• 専制国家は、自由主義国家のオープンな点を悪用して、情報戦などを挑んできている
• 武力紛争に至らないグレーゾーン・閾値以下の戦いは既に行われている
• AIや半導体、量子コンピュータなどの新興技術が国家間競争の行方を担う
  →他国の技術を盗み出す手段としてサイバー攻撃が行われる
• 「自由主義国家」へのサイバー攻撃の烈度はより上がっていく
• 地政学的リスクは「ITビジネス」にも大きな影響を与えていく

こう述べて、話を締めくくりました。

【調査結果レポート】2024年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜

サイバーリーズンでは、1,008名の企業のIT担当者を対象に、2024年度のランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。

本レポートでは、詳細な調査結果を紹介するとともに、企業がとるべき対策として6つの核となる課題を取り上げて、それぞれの課題に対する推奨対策について紹介しています。

https://www.cybereason.co.jp/product-documents/survey-report/11873/