実は個人にも関係がある…!?
「被害者にも加害者にもなる可能性がある」CSC社が教え�てくれた"サイバー攻撃"の恐怖
Sponsored株式会社サイバーセキュリティクラウド
仕事
ニュースなどでときどき目にする「サイバー攻撃による情報漏洩」。
「正直よくわからない…」「自分には関係なさそう」なんて思っていませんか?
そんなサイバーセキュリティ業界で、3年で338%の成長率を誇り、2020年3月にはマザーズ上場を果たした、株式会社サイバーセキュリティクラウド(以下:CSC)。代表取締役社長の大野さんはなんとまだ20代です。
CSCがここまで成長しているヒミツと、サイバー攻撃のキケンについてお伺いしようとオフィスを訪れた編集部。
正直、サイバー攻撃なんて他人事だと思ってましたが…企業はもちろん、1度でもECサイトで商品を購入したことがある人や個人でWebサイトを運営している人にとって、「サイバー攻撃」は非常に身近でキケンなものであることが発覚…。
お話いただいた内容は、インターネットを使う人であれば必須知識として知っておくべきものでした。
〈聞き手=宮内麻希(新R25編集部)〉
「正直よくわからない…」「自分には関係なさそう」なんて思っていませんか?
そんなサイバーセキュリティ業界で、3年で338%の成長率を誇り、2020年3月にはマザーズ上場を果たした、株式会社サイバーセキュリティクラウド(以下:CSC)。代表取締役社長の大野さんはなんとまだ20代です。
CSCがここまで成長しているヒミツと、サイバー攻撃のキケンについてお伺いしようとオフィスを訪れた編集部。
正直、サイバー攻撃なんて他人事だと思ってましたが…企業はもちろん、1度でもECサイトで商品を購入したことがある人や個人でWebサイトを運営している人にとって、「サイバー攻撃」は非常に身近でキケンなものであることが発覚…。
お話いただいた内容は、インターネットを使う人であれば必須知識として知っておくべきものでした。
〈聞き手=宮内麻希(新R25編集部)〉
「サイバーセキュリティクラウド(CSC)」代表取締役社長の大野暉さん(写真右)と取締役CTOの渡辺洋司さん(写真左)
CSCのサービス「攻撃遮断くん」は、どんな攻撃を守ってるの?
宮内
まずはじめに、CSCの事業内容について教えてください。
大野さん
社名の通り、「サイバーセキュリティ」製品を開発・提供している会社です。
代表的なものが、サイバー攻撃を可視化・遮断する「攻撃遮断くん」。
企業ホームページやECサイト、動画サイト、メディアなどさまざまなWebサイトをサイバー攻撃から守っています。
代表的なものが、サイバー攻撃を可視化・遮断する「攻撃遮断くん」。
企業ホームページやECサイト、動画サイト、メディアなどさまざまなWebサイトをサイバー攻撃から守っています。
宮内
そもそも、「サイバー攻撃」って具体的にどんなものを指すんでしょうか?
大野さん
「サイバー攻撃」には、サイトをシャットダウンさせる、メールを介して個人情報を盗む、サーバーをダウンさせるなどさまざまな種類があります。
「攻撃遮断くん」は「Webサイトのハッキング」を守っています。
「攻撃遮断くん」は「Webサイトのハッキング」を守っています。
渡辺さん
Webサイトへのアクセスのなかには、個人情報のデータを抜き出すもの、Webサイトの脆弱性(コンピュータのOSやソフトウェアにおいて起こる不具合のこと)を見つけるものなど、悪意のあるアクセス(攻撃)が混ざっているんです。
そこで、アクセスから悪意の有無を判断して攻撃をブロックするというのが弊社のサービスです。
そこで、アクセスから悪意の有無を判断して攻撃をブロックするというのが弊社のサービスです。
サイバー攻撃は当たり前に存在。個人情報が売買されるブラックマーケットも!?
宮内
「サイバー攻撃」ってよくあるものなんでしょうか?
重大なデータを持っているWebサイトや何か大きな組織しか狙われないと思っているのですが…
重大なデータを持っているWebサイトや何か大きな組織しか狙われないと思っているのですが…
大野さん
以前は、サイバー攻撃というと、「この会社を狙いたい」「この人をハッキングしたい」という具体的な目的があって、それに対してハッカーがひとつ一つ攻撃法を考えていく場合がほとんどでした。
しかし、サイバー攻撃用のツールやシステムが進化して、誰でもカンタンに攻撃できるようになった2015年あたりから、無差別に攻撃するハッカーがたくさん現れました。
これによって、サイバー攻撃の数が大幅に増えたんです。
しかし、サイバー攻撃用のツールやシステムが進化して、誰でもカンタンに攻撃できるようになった2015年あたりから、無差別に攻撃するハッカーがたくさん現れました。
これによって、サイバー攻撃の数が大幅に増えたんです。
宮内
無差別ってそんな…。誰がどんな目的でやるんですか?
渡辺さん
個人情報を売買する「ブラックマーケット」の存在が大きいでしょうね。
不穏なワードが出てきたぞ…
渡辺さん
闇ビジネスは現在も拡大していて、メールアドレスやクレジットカード情報といった個人情報を販売することで収入をあげている人たちがいます。
副業的にやっている人もいて、個人情報の売買が商売として成り立つマーケットになってきたというのも大きいでしょうね。
副業的にやっている人もいて、個人情報の売買が商売として成り立つマーケットになってきたというのも大きいでしょうね。
宮内
そんな映画みたいな話があるんですね。ちなみに、数にすると攻撃ってどのくらいあるんですか?
大野さん
日本におけるサイバー攻撃の数は、年間およそ3200億件。今も増えて続けています。
宮内
3200億件…
大野さん
と言われても、なかなかピンとこないですよね(笑)。
この画面を見てください。
この画面を見てください。
大野さん
これは、「攻撃遮断くん」で守っているWebサイトが、どこから攻撃されているかをリアルタイムで可視化している画面です。
ここに表示されているのがWebサイトへの全アクセス数と、不正なアクセス(攻撃)数です。割り算してもらえますか?
ここに表示されているのがWebサイトへの全アクセス数と、不正なアクセス(攻撃)数です。割り算してもらえますか?
取材時にも、アメリカやドイツからサイバー攻撃が来ていました
宮内
リアルタイムで攻撃がわかるんですね!
全アクセス数(約20億) ÷ 攻撃数(約97万)は…
全アクセス数(約20億) ÷ 攻撃数(約97万)は…
宮内
208.8。
大野さん
つまり、約208件のアクセスがあれば、そのうち1件はサイバー攻撃ってことです。
208PVに1回はサイバー攻撃を受けている状態なんです。そう考えるとすごく多いことが分かりますよね。
208PVに1回はサイバー攻撃を受けている状態なんです。そう考えるとすごく多いことが分かりますよね。
すぐに被害に至らない攻撃も、放置していると大変なことに…
宮内
そんなに日常的にあるものなんですね。
でもそれなら、すべてがキケンな攻撃ってわけでもないんじゃないですか?
でもそれなら、すべてがキケンな攻撃ってわけでもないんじゃないですか?
渡辺さん
実は、それほど重要ではない攻撃もたくさんあります。
渡辺さん
先ほどお見せした攻撃のなかには、そのサイトのどこに弱みがあるのかを探そうとする、いわば“攻撃を準備するための攻撃”もあるんですよ。
準備的な攻撃をいくつか仕掛けたあとに、大きな攻撃を仕掛けるパターンもかなり多いです。
準備的な攻撃をいくつか仕掛けたあとに、大きな攻撃を仕掛けるパターンもかなり多いです。
宮内
つまり、今は直接的な被害がなかったとしても、今後大変なことになるリスクがあるってことですね。
大野さん
そうです。それを放置していると…
宮内
放置していると…?
怖いです
大野さん
たとえば新R25であったらリンク先や記事内容を書き換えられるキケンもあります。インタビュー相手の写真を加工する、なんてケースも考えられますね。
もしくは、サーバーに負荷をかけるDoS攻撃(※)を受けた場合、ユーザーがWebサイトにアクセスできなくなってしまうので、最悪の場合、サービス停止に追い込まれる可能性がありますね。
もしくは、サーバーに負荷をかけるDoS攻撃(※)を受けた場合、ユーザーがWebサイトにアクセスできなくなってしまうので、最悪の場合、サービス停止に追い込まれる可能性がありますね。
※DoS攻撃とは
Webサービスのネットワークに過剰な負荷をかけることで、サーバやサイトをダウンさせてサービスを妨害するサイバー攻撃のこと。
Webサービスのネットワークに過剰な負荷をかけることで、サーバやサイトをダウンさせてサービスを妨害するサイバー攻撃のこと。
宮内
それはマズイ…
ちなみに、新R25のようなWebメディアではなく、ネットユーザー個人にもキケンはあるのでしょうか?
ちなみに、新R25のようなWebメディアではなく、ネットユーザー個人にもキケンはあるのでしょうか?
大野さん
あります。大きいのは先ほども出てきた「個人情報」流出のキケンです。
もし迷惑メールや登録した覚えのないサイトからのメールが届いたら、その時点で自分の個人情報が流出してしまっているということ。
これは、ECサイトなど、個人情報を入力したサイトがサイバー攻撃を受けていて、そのときのデータが漏れてしまった結果だと考えられます。
もし迷惑メールや登録した覚えのないサイトからのメールが届いたら、その時点で自分の個人情報が流出してしまっているということ。
これは、ECサイトなど、個人情報を入力したサイトがサイバー攻撃を受けていて、そのときのデータが漏れてしまった結果だと考えられます。
宮内
迷惑メールが届いたら、すでに情報が漏れている可能性があるんですね。
大野さん
あとは、SNSのハッキングというリスクもあります。
サイバー攻撃のなかには、多くの人が設定しがちなパスワードの組み合わせや、SNS上の情報をもとにパスワードを特定するものもあります。
これでもしパスワードを解除されてしまったら、プライベートな写真が抜かれる可能性もあるわけです。
サイバー攻撃のなかには、多くの人が設定しがちなパスワードの組み合わせや、SNS上の情報をもとにパスワードを特定するものもあります。
これでもしパスワードを解除されてしまったら、プライベートな写真が抜かれる可能性もあるわけです。
渡辺さん
さらにいえば、加害者にされてしまうキケンもあるんですよ。
だから怖いですって
宮内
どういうことですか?
渡辺さん
たとえば、ある個人ブログをハッキングして“踏み台”にし、そこから新R25に攻撃を仕掛ける。すると、そのブログから攻撃されたように見えるわけです。
宮内
個人のサイトやSNSでもリスクがあるんですね。
でも、個人の場合どのように対策すべきなんでしょうか?
でも、個人の場合どのように対策すべきなんでしょうか?
渡辺さん
サイバー攻撃を防ぐためには、使用しているソフトウェアなどのアップデートをこまめにすることが大切です。
個人サイトの事例でいうと、ブログソフトウェアの「WordPress」の脆弱性が見つかったときには、国内の数万サイトがサイバー攻撃の被害を受けました。
「WordPress」側はこのリスクに対応するためにソフトウェアをアップデートしたのですが、攻撃されてしまった多くの人はアップデートせずそのままで過ごしていたんですよ。
個人サイトの事例でいうと、ブログソフトウェアの「WordPress」の脆弱性が見つかったときには、国内の数万サイトがサイバー攻撃の被害を受けました。
「WordPress」側はこのリスクに対応するためにソフトウェアをアップデートしたのですが、攻撃されてしまった多くの人はアップデートせずそのままで過ごしていたんですよ。
大野さん
実態が見えないので自分とは関係のない話に思えてしまうんですけど、実はインターネットを使用している時点で、誰でも攻撃されるリスクがあるんです。
宮内
なるほど。企業側がサイトを守るのは大前提として、ユーザー自身もサイバー攻撃に関する知識をつけておかないと危ないんですね。
3年で成長率338%に! サイバー攻撃から日本を守るCSCの展望
宮内
本日お話を聞いて、サイバー攻撃が身近なものに思えてきました…私も気をつけないと…
大野さん
セキュリティーって大きく、個人PCの対策や、不容易にメールを開かないなどの社内セキュリティーと、「攻撃遮断くん」などを使って守るWebセキュリティに分けられるんですけど、前者はしっかり対策している企業が多い。
それに対して、Webセキュリティへの対策は企業でもまだまだやれていないところがほとんどなんです。
それに対して、Webセキュリティへの対策は企業でもまだまだやれていないところがほとんどなんです。
大野さん
日本には会社が約400万社あるといわれていて、仮にそのうち半分の会社がホームページを持っていたとすると200万サイト。
でも、導入サイト数業界1位の僕たちが提供しているサービスでも、まだ1万サイトなんです。
でも、導入サイト数業界1位の僕たちが提供しているサービスでも、まだ1万サイトなんです。
宮内
そう聞くと、まだまだ浸透してないんですね。
渡辺さん
投資が進んでない分野なので、より攻撃されやすい。それゆえ、大きな事故や事件に発展してニュースになってしまうこともあります。
大野さん
ちなみにニュースになった企業はそのあと、だいたいうちが入ってますね(笑)。
「攻撃遮断くん」で経営危機を救った会社のなかには、誰もが知っている大手企業も
宮内
ちなみに、CSCは3年で338%の成長率とのことですが、選ばれているポイントはどこなんでしょうか?
渡辺さん
技術力とデータ量の組み合わせです。
弊社独自の「技術力」でクオリティの高いサービス展開ができているのが大きいですね。弊社には、エンジニアはもちろんAI領域のエキスパートもそろっていて、AIを駆使した開発にも力を入れています。
弊社独自の「技術力」でクオリティの高いサービス展開ができているのが大きいですね。弊社には、エンジニアはもちろんAI領域のエキスパートもそろっていて、AIを駆使した開発にも力を入れています。
渡辺さん
さらに、僕たちは導入実績の多さゆえに、Webサイトにどんな攻撃が集まるのかという膨大なデータを蓄積しています。
そのデータを生かすことで、既存のサイバー攻撃だけでなく、未知の攻撃を検知する精度を高めることに成功しています。
そのデータを生かすことで、既存のサイバー攻撃だけでなく、未知の攻撃を検知する精度を高めることに成功しています。
大野さん
現在、ありがたいことに国内で業界1位のシェアを獲得することができています。
今は世界50カ国以上にお客さまがいる状態ですが、「攻撃遮断くん」をはじめとしたデータベースを活用しながら、グローバル規模でユーザー数を増やしていきたいですね。
今は世界50カ国以上にお客さまがいる状態ですが、「攻撃遮断くん」をはじめとしたデータベースを活用しながら、グローバル規模でユーザー数を増やしていきたいですね。
宮内
なるほど…
最後にお伺いしたいのですが、今後もサイバー攻撃は増え続ける一方なのでしょうか?
最後にお伺いしたいのですが、今後もサイバー攻撃は増え続ける一方なのでしょうか?
渡辺さん
攻撃自体は、増えていく可能性が高いと想定しています。
というのも、IoTや5Gといった通信技術が広がるほど人々がインターネットに触れる機会が増える。そのぶんだけ、攻撃されるリスクも高まっていくからです。
というのも、IoTや5Gといった通信技術が広がるほど人々がインターネットに触れる機会が増える。そのぶんだけ、攻撃されるリスクも高まっていくからです。
大野さん
僕たちは、「世界中の人々を安心安全に使えるサイバー空間を創造する」という理念を掲げています。
本質的には会社だけではなく、人まで守れるように時代の変化に合わせたサービスを提供していきたいですね。
本質的には会社だけではなく、人まで守れるように時代の変化に合わせたサービスを提供していきたいですね。
宮内
人まで…!
大野さん
僕たちの本当の課題は、たとえば小さな商店が運営しているECサイトまでをどう守るかというところ。
「サイバーセキュリティ」なんて考えたこともないという方々にも、当たり前に使ってもらえるような世界をつくれたらいいなと思っています。
「サイバーセキュリティ」なんて考えたこともないという方々にも、当たり前に使ってもらえるような世界をつくれたらいいなと思っています。
Webサイトを運営する人だけでなく、閲覧したことがある人にもキケンが及ぶ「サイバー攻撃」。
私たち個人ができることは、安易に個人情報を入力しない、ソフトウェアのアップデートは必ず行う…など意識すればできることもあります。
誰もが気軽にネットで発信したり、Webサイトを運営したりできる便利な時代こそ、その裏にあるリスクについて考えることが重要なのかもしれません。
私たち個人ができることは、安易に個人情報を入力しない、ソフトウェアのアップデートは必ず行う…など意識すればできることもあります。
誰もが気軽にネットで発信したり、Webサイトを運営したりできる便利な時代こそ、その裏にあるリスクについて考えることが重要なのかもしれません。
〈取材・編集=宮内麻希(@haribo1126)/撮影=三浦希衣子〉