年間5人に1人が被害に遭っている…｢サイバー攻撃に狙われやすい個人パソコン｣の共通点

※写真はイメージです - 写真＝iStock.com／PUGUN SJ

サイバー攻撃の実態はどうなっているのか。富士通シニアエバンジェリストの松本国一さんは「企業だけでなく個人のパソコンやスマホも標的になっている。リスクをゼロにすることは難しいが、まずはパソコンの定期的なアップデートを後回しにしないことだ」という――。

※本稿は、松本国一『20分で誰でもわかるサイバーセキュリティ「超」入門』（ワニブックス）の一部を再編集したものです。

■年間で5人に1人がサイバー攻撃に遭っている

セキュリティ被害につながるサイバー攻撃、当然ながら日本でも多く被害が出ています。どれくらいの被害が出ているかと言うと、2022年で被害額、推定ですが1045億円です。また、過去1年間で成人の5人に1人以上（21％）が被害に遭っていると推定されています（「ノートンサイバー犯罪調査レポート2023」より）。

2021年の1年間では約7人に1人（約15％）が被害に遭っていました。ということは、毎年のように日本の人口の1～2割の方々が被害者になる。つまり皆さんも他人事ではないのです。

デジタルカメラやスマートフォンを使って写真を撮ることがありますね。そのデジタルデータをご自宅のパソコンのフォルダなどに保存しているとします。これをランサムウェアが攻撃すると、写真データがすべて暗号化されてしまいます。どのようなことになるかというと保管データがパスワード付きの圧縮ファイルにされてしまう感じです。そして皆さんのパソコンの中にメモが残っているわけです。

「暗号化されたデータ、貴重ですよね。回復（パスワードを入手）したければここにアクセスしてお金を払ってくださいね」

■パソコン上にある個人情報が取り出されると…

お金を払ったところで、その情報が取り戻せる保障はありません。さらに言うと、個人の写真がそのまま外部に漏洩してしまう可能性もあります。

自宅のパソコンにパスポートの情報やカードの番号、パスワードなどを記録している方もいらっしゃるでしょう。そんな情報も取り出される可能性があります。それが取り出されれば、カードの不正利用も簡単にできるようになってしまいます。

サイバー被害は、もはやいつ巻き込まれても不思議ではないのです。ですから、会社としてだけではなく、個人としてもしっかり認識しておく必要があるのです。

■侵入口は「玄関の入り口」だけではない

さて、実際にサイバー攻撃がどういうことをしているか、簡単にご説明しておきましょう。

まず皆さんの会社、ないしは自宅の入り込める場所を念入りに探します。例えば自宅で考えてみてください。人が入れる場所っていうとどこでしょう。

一番わかりやすいのは玄関ですね。では玄関に鍵をかけておけば安全でしょうか。それだけでは不十分です。窓が開いていれば、そこから侵入できてしまいます。窓もロックしておきましょう。それ以外にもあります。玄関ポストから入られてしまうことだってあります。あちこちから入り込む隙はあるのです。

サイバー上も同じです。単に玄関の入口だけじゃないのです。メールを受信するサーバーの入口、ウェブのアクセスをする入口、さまざまな入口が存在します。それらに穴がないか、鍵が開いてないか、念入りに探されます。ランサムウェアの攻撃のように、メールやサイトからアクセスをされるケースがあります。

写真＝iStock.com／Andrii Yalanskyi

※写真はイメージです - 写真＝iStock.com／Andrii Yalanskyi

■ウェブサイトのブラウザに罠が隠されている

ウェブサイトもそうです。ウェブサイトにアクセスをしただけで被害は受けないのでは？　と思うかもしれませんが、気をつけてください。

ウェブサイトにアクセスするブラウザ（Google ChromeやSafariなど）には、穴があることがあります。サイトにアクセスしただけで、その穴をついて不正なものを送り付け、会社や自宅の中に侵入することができるのです。そういったものを一つ一つ気をつけないといけません。

自宅に届く宅配物でも、差出人がわからない場合があったとします。「知らないけれど届く予定だったのかな」と受け取ってしまい、結果的に請求被害をうける可能性もあります。

皆さんのお家に入り込む隙があれば侵入されるように、サイバー上でもプログラムを送り込めるような隙が見つかると、そこから送り込んで実行してきます。一見入り込めなさそうな小さな穴であっても、中に入り込めればプログラムを使って外にファイルを送ることもできるようになります。

■利用しているネットバンキングは安全か

一つの例を考えてみてください。

差出人のわからない宅配物が届きました。小型のテレビが届いて、便利そうだと思ったあなたが使う気になったとします。でもその中に、盗聴器が仕掛けられていたらどうでしょう。電源を入れてテレビを見てるあいだ、全部の音（情報）が外部に漏れています。サイバー空間上でも同様に、気がつかないうちにデータを外に持ち出されることがありえます。

さらにアクセスできる範囲内にあるファイルを、プログラムが片っぱしから暗号化してしまえば、ランサムウェアとなります。そうなると、使用できなくなります。

自宅の手帳や通帳などを盗られてしまえば、そこに書かれていた情報にアクセスできなくなりますね。それと同じことが起きます。

また、プログラムを実行して、皆さんがパソコンに入力した情報を外に取り出すこともできます。

銀行のサイト、最近便利ですね。インターネットバンキングでは、振込などもオンラインで処理ができます。ログインで入力するパスワードなどの入力情報、プログラムを使えば外に漏洩できます。

■大量のデータを送り込むDDoS攻撃の怖さ

先ほど例に出した盗聴器ですが、実際に仕掛けられた友達がいます。盗聴器を仕掛けられて、話していた内容が外に漏れたのです。もし、その中に悪用できるような情報が入っていたら、それを利用してリアルで犯罪をおかすわけです。

つまり、デジタル上で不正に取得した皆さんの情報を使って、リアル（現実）で不正利用される可能性があるわけです。

DDoS攻撃も同じです。DDoS攻撃は大量のデータを送り込むことによってシステムが停止することもあります。

これはリアルで言うと、ウーバーイーツなどの出前サービスから大量にお届け物が届きます。でも、皆さんは発注した記憶がありません。どんどん届きます。受け取れないですよね。

ですが、あなたは次々と届く物に延々と対処しなければなりません。皆さんの時間がそれに対処することにとられてしまいます。会社のシステムに大量のデータを送り込まれると会社の業務が回らなくなります。結果的に皆さんは他の作業がなにもできなくなります。

リアルとデジタル、実はやっていること、被害を受けていることはそんなに大きくは変わらないのです。

■パソコンやサーバー以外も攻撃対象となる

こういった被害は、パソコンやサーバーだけではありません。例えばネットワーク上につながっているストレージ、NAS（Network Attached Storage＝ネットワーク接続型ストレージ装置）。NASはパソコンと違い、プログラムが動いているように見えないかもしれませんが、中でプログラムは動いています。そこに隙があったら入り込みます。

実際に、とある会社のNASに穴があったようで、そこを攻撃対象として攻撃をされ、NASのデータを圧縮されてしまうランサムウェアの被害に遭いました。つまり、皆さんのご家庭にあるNASも被害対象となる可能性があります。

それだけではありません。自宅のブロードバンドルーターなどのネットワーク機器、無線LANにアクセスポイントを導入されているケース、多いですよね。

今やブロードバンドを利用される際、有線につなげて使う方のほうが少ないでしょう。無線LANを使っている方が多数です。企業も同様です。ノートPCの使用が当たり前になりつつあります。

写真＝iStock.com／JuSun

※写真はイメージです - 写真＝iStock.com／JuSun

■無線LANの機器への攻撃は広範囲に効く

このアクセスポイントと言われている無線LANの機器の中も、プログラムが動いているのです。そのプログラムの隙に、ウイルスや攻撃のファイルが入ってしまい、アクセスポイントの無線LANの機器が攻撃を開始する。周りにつながっているパソコンのファイルを圧縮してしまう。そういうことが、実際に起こせるのです。

それだけではありません。皆さんが使っているスマートフォン。スマートフォンにはAndroidもiPhoneもありますが、これにプログラムを仕込まれて被害を受ける可能性もあります。この場合、ネットワーク上の不正アクセス以外にも、不正なアプリケーションの中に仕込まれた不正なファイル、それらが悪さをすることもあるのです。

■アップデート通知を無視してはいけない理由

リアルで犯罪に巻き込まれるのと、デジタル上で攻撃を受けるのは、基本的には同じです。それに対するセキュリティ（防犯）も、変わらないのです。ただ、「デジタルって難しい」「目に見えないからわかりにくい」「仕組みがリアルと全然違うんじゃないか」と思いがちだから、リアルよりも対策をとるのが難しいと感じているのです。

では対策をきっちりやっておけば、サイバー被害を受けなくてすむのでしょうか。

実は、ネットワーク上のセキュリティはそんなに簡単ではありません。なぜかというと、サイバーネットワーク上では当然ながらプログラムを使っています。皆さんも普段仕事をされる際に、Windowsのパソコンなどを使われているでしょう。月に一回や二カ月に一回、アップデートしてくださいと通知が来ますね。

なぜアップデートが必要なのでしょう。機能のアップデートも含まれていますが、それだけではないのです。実は、穴を塞いでいるのです。どんどん穴を塞ぐことで、攻撃を受けないように、入り込まれないように対策をやっているのです。

写真＝iStock.com／COMiCZ

※写真はイメージです - 写真＝iStock.com／COMiCZ

■セキュリティの穴を巡るイタチごっこ

ですが、知っている穴もあれば、誰もが知らない穴もあります。それを「未知のセキュリティホール」と言います。セキュリティの穴、しかも誰も知らない穴。こういったものをしらみつぶしに探して、その穴をついて攻撃をしてくる人たちがいます。対策がまったくとれない中で攻撃をされるので、「ゼロデイ攻撃（0-day attack）」と呼ばれます。

その被害が、どれくらいあるのか。どのくらいの穴があるのかというと、年間60件です。ひと月あたり5件もある計算になります。つまり皆さんの会社のパソコンには、ひと月5コの未知の攻撃を受ける可能性のある抜け道があるということです。

毎度のアップデートで塞いでいきますが、塞ぐのが遅れれば遅れるほど、その穴を通じて攻撃を仕掛けようとする人たちが出てくるわけです。

■犯罪が起こる前の「ふるまい」を見逃さない

リアルでも同じです。「こんなところから入り込まれるとは思っていなかった」「まさか、こんなことが被害につながるとは思わなかった」なんていう、思いがけないところから受ける被害もあるわけです。それに対する対策ってなかなか難しいですよね。

ですが、犯罪がおきる際には、その前に必ず「ふるまい」があります。

松本国一『20分で誰でもわかるサイバーセキュリティ「超」入門』（ワニブックス）

皆さんの自宅が空き巣被害にあったとします。空き巣被害にあう直前、空き巣を行う人たちは必ず下見をしているはずです。「あ、この時間帯、この家には人がいないな」「この時間帯この周りは通行人が少ないな、安全だな」なんてことを事前に確認しているのです。そういう動きが「ふるまい」です。

この行為を見つけることで、犯罪を未然に防いだり、被害を最小限に抑えることが可能となります。ですから、そういったサインを見逃さず、注意して見ることも必要になってくるわけです。

普段「自宅の周りに怪しい人がいるよ」なんて話を聞きつけたら、防犯のために気にしますよね。「最近、○○な被害が多いってよく聞くよね」だったり「最近、会社のネットワークが遅くなったかな」なんてことが周りから聞こえてきたら、「もしかしたらサイバー上で犯罪が起きる直前かもしれない」と可能性を考えていただければと思います。

----------

松本 国一（まつもと・くにかず）
富士通シニアエバンジェリスト
1991年富士通株式会社へ入社。情報・通信・モバイルの合計16部門40部署でソフト／ハードの設計から製品・事業企画／販売推進／営業支援まで様々な業務に従事。現在、多彩な業務経験を活かしシニアエバンジェリストとして活躍中。雑誌や新聞、web、ラジオなど多くのメディアで働き方改革の紹介や池上彰氏、八塩圭子氏、佐々木俊尚氏など著名人との対談、ほか学会誌の執筆や日本銀行ラウンドテーブル、複数の高校・大学で講義など幅広く活躍中。2022年7月First Creative Agentを立ち上げ、代表エバンジェリストに就任。エバンジェリストとして、難しいことを誰にでもわかりやすく理解してもらえるよう、DX、SDGs、セキュリティ、メタバースなど様々なデジタルに関する講演を各所で行っている。

----------

（富士通シニアエバンジェリスト 松本 国一）