(イメージ:写真AC)

メタバースやWeb3(ウェブスリー)によって新たな価値がもたらされるかもしれない。そして、新たな価値を享受するのは何も私たちだけではない。 そして、現実世界においては緊張状態の続く、ロシアとウクライナとの関係。ここでもサイバー攻撃の状況は刻々と変化している。

ウクライナ侵攻とサイバー攻撃

ウクライナ国防省は9月26日、ウクライナの重要インフラ企業に対して、ロシアの支援するハッカーがサイバー攻撃を計画していると短い声明で警告した。*1

BlackEnergyというマルウェアを用いた2015年のサイバー攻撃と、Industroyerというマルウェアを用いた2016年のサイバー攻撃でも、ウクライナの電力供給は被害を受けている。そして今回は、ウクライナ東部と南部の電力供給施設に対するミサイル攻撃の影響を、このサイバー攻撃によって高めるためだとする声も聞かれる。

また、ウクライナに近い同盟国であるポーランドとバルト海沿岸諸国に対しても、アクセスを集中させることで標的となったシステムが身動き取れなくなってしまうDDoS攻撃が重要インフラに対してより強大なものとなることをこの声明において警告している。

実際、セキュリティ企業による観測では、DDoS攻撃の規模が2022年の第一四半期に過去最高記録を更新したとするものもある。*2

一部ではロシア軍が劣勢とも報じられているが、サイバー攻撃は自国の軍事力を深刻な危険に晒すことなく対応できる手段ではある。

さらに、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)からは、西側諸国の政府や組織に対するサイバー攻撃が増加する可能性が高いことを警告したセキュリティガイダンスも発行されている。*3

このセキュリティガイダンスでは、不正侵入被害に遭う可能性を減らし、組織全体がセキュリティ体制を強化するためのガイダンスを提供しているので、いくつか紹介する。

(一例)
・ソフトウェアが最新であることを確認し、CISAによって悪用されたことの確認された既知の脆弱性に対処するための更新を優先的に行う。
・ビジネス上、必須ではないすべてのポートとプロトコルを無効にする。
・不正侵入が発生した場合に対応するための準備ができていることを確認する。
・これらは他でもよく聞くアドバイスであるが、それだけ重要かつ一定以上の効果が期待できるということでもある。

 

ここで「ポート」とか「プロトコル」といった言葉を聞きなれない方もおられることと思う。厳密には異なるが、これはサーバやシステムがネットワークに接続するためのドアとか、そこを通る時の決まりごとなどのように便宜上イメージしていただければ良い。

例えば、空の旅に出るのであればエアポート(空港)から飛行機の決められた座席に乗り、航空ネットワークを介して目的地のエアポートに向かうことになるが、概ねそのようなイメージだ。

そして、ビジネス上不可欠ではないポートやプロトコルがあれば、それらを無効にしておくべきだと述べている。さらに、安全ではないことが広く知れ渡っているプロトコルでさえも、多くの企業や組織において有効になったままだとする調査結果もある。*4

相互接続性の向上

さて、空の旅を思い浮かべていただいたが、ここでは赴いた先の電源プラグについて思い浮かべていただきたい。

日本の家庭にあるコンセントのプラグ形状はA型という縦長の穴が二つ開いたもので米国も同様、欧州であればC型と呼ばれる丸穴が二つ開いたもので、英国にいたっては縦長の穴が三つも開いたBF型と呼ばれるものが用いられている。当然、プラグが異なれば形状も電圧も異なり、異なる環境にも対応している製品もしくは変圧器が無ければ、電気製品は動かないどころか出火してしまうことさえもある。

これらのコンセントのように従来は別個のものとして存在していたものがインターネットによって相互接続され、業務効率の改善やさらなる付加価値がもたらされている。これらはサイバー空間内での接続だけでなく、IoTによって現実世界とも繋がったり、DX(デジタルトランスフォーメーション)によってビジネスプロセスとも繋がる。また、昨今よく耳にするようになったメタバースやWeb3などでの没入型体験などによってサイバー空間と現実世界との境界線は一層曖昧なものとなってくるだろう。

ところでこの「メタバース」という言葉であるが、1992年の小説「スノークラッシュ」で著者のニール・スティーブンソンが用いた造語だ。

相互接続性が向上することで、私たちの仕事や生活に関するデータは増大し、その価値も増大する。サイバー攻撃を仕掛ける者にとってはより価値のあるものがサイバー空間に増えることになる。実際、メタバースでの没入型体験を得るために、より多くの生体情報を私たちは提供することも考えられるし、多くの子どもたちもメタバースに参加することとなれば、収集されるデータは大人のものだけではない。

これらだけが理由ではないものの、そのような背景もあり、現在世界中でサイバーセキュリティやプライバシーに関連した法規制の整備や厳格化が急速に行われている。日本でも今年4月1日より改正個人情報保護法が施行されていることは記憶に新しいだろう。

米国では証券取引委員会(SEC)によって、サイバーセキュリティの透明性と説明責任を高めるための新しい法案が導入され、関連する事業者はサイバー攻撃の被害に遭った場合にはそのことを開示しなくてはならない。また、子どもに関連するデータを収集している場合には、より多くの法規制が適用される可能性もあり、対応も一層複雑化することになる。