最悪のシナリオとは何か

サイバー攻撃と物理的攻撃を組み合わせると際限なく最悪の事態が思いつく。最も簡単なのはピストルを突きつけてパスワードを言わせる。これはどれほどセキュリティを強化しても防げない。銀行の金庫のようにパスワードがわかっても、解錠できる時間に制限を設けて対策しているところもあるがその程度。また、ある種の爆弾を爆発させて電波を一時的に妨害することも可能だ。その間に不正を実行に移す。イスラエルはシリアの核燃料製造施設を攻撃するために、防空監視システムに入り込んで攻撃するときにシステムを停止させた。身内の被害が出ない爆撃を実行した。

サイバー攻撃ではないが思いがけない誤入力で大きな被害が発生するケースもある。例えばイギリスのエセックス州にいた27歳のゲアリー・フォースターは誤入力された処方に従って致死量の化学療法薬品を投与され、ロンドンの病院で死亡した。また、カリフォルニア州ではコンピューターの不具合でギャング、婦女暴行犯などを含む450人の危険な犯罪者が刑務所から釈放された。

企業にとっての脅威には、サプライチェーンから調達した機器にプログラムが仕込まれ勝手に通信されるケースも考えられる。米国では中国の大手通信メーカー「HUAWEI」から調達した機器が深夜に動き、本国にデータを送信していた疑惑がある。また、中国のスマートフォンメーカー「Coolpad」が製造したハイエンド向けAndroid端末にバックドアの設置が発覚。このような例はたくさんある。

今後もサイバー攻撃は進化を続ける。間違いなくAI人工知能)機能付きのソフトウェア、マルウェアが出現してくるだろう。

研究者は進化に対応できるように今から検討する必要がある。一般の技術者は技術の進展を含めたセキュリティ関連の動向を注意深く監視しなくてはならない。

[2016年4月8日に開催したIT-BCPセミナー講演より]