マイページ
見過ごされた「バッテリーへの違和感」
では、なぜ誰も見抜けなかったのか。兆候は、本当になかったのか。
結論として、兆候はあった。だが、止められなかった。
たしかに、製品自体は巧妙につくられていた。電池パック内部に張り付けられたPETN爆薬はわずか数グラムである。しかも起爆構造には金属を使わない部材が使われた。このため、ヒズボラ側は受領後、空港のセキュリティスキャナーを通すなどの確認もしていたが、それでも異常は見つからなかった。
しかも違和感はゼロではなかった。ヒズボラはバッテリーの減りが早いことには気づいていた。だが、それは「少し出来の悪い製品」として処理された。ここが重要だ。
組織は、異常があるだけでは止まらない。異常を止める仕組みがなければ、止まらないのである。企業でもよくある話である。問題は、兆候があったかではない。リスク兆候に気付いたときにそれを止める力があったか、だ。
地味で面倒な作戦だからこそ再現性がある
この事件を見て「特殊な話だ」と片づけてしまうのは危ない。
実際、私たちは紛争地での事業継続支援や情報漏洩対応、サプライチェーンを起点にした不正アクセス対応など、攻撃と防御の現場を見ている。そうした感覚から見ても、今回の事件は決して例外的なものとは言えない。
たしかに、数千台規模の機器に物理的な細工を施し、同時に起動させるには非常に面倒な作業が要る。だが、注目すべきはその再現性だ。
相手の調達ニーズを読む。供給網に入り込む。製品を正規品らしく見せる。相手の運用の癖を知る。少しの異常では止まらないことまで織り込む。分解すれば、この作戦は地味な積み重ねでできている。
実際、サイバー分野の標準をまとめている米国機関(NIST)は、サイバー供給網リスクの例として、偽造品の混入、無許可生産、改竄、盗難、悪意あるソフトウェアやハードウェアの挿入を挙げている。
供給網はもはや単なる納品ルートではない。「攻撃ルート」そのものなのだ。
