マイページ
考えうる日本企業への「攻撃ルート」
では、日本企業にとって何が怖いのか。
たとえば、妙に条件のいい見積もりが来る。これまで付き合いのなかった窓口が「正規販売」を名乗ってくる。便利すぎるアップグレード提案が届く。保守や更新の手間が減るという触れ込みで、新しい機器やソフトウェアへの切り替えを勧められる。こうした話は、ビジネスの現場では珍しくない。
爆薬の代わりに盗聴機能が入っていたらどうか。バックドアが入っていたらどうか。保守更新を装った不正アクセス手段が仕込まれていたらどうか。
ランサムウェア侵入も、機密流出も、資金移動の不正操作も、ずっとやりやすくなる。怖いのは爆発ではない。信頼された機器と正規の運用が、そのまま侵入口に変わることだ。
見直すべきなのは、価格と納期と品質だけではない。どこで改変されうるのか。どの流通経路を通ったのか。保守や更新の権限は誰が持つのか。
現場は何を当たり前だと思って使っているのか。そこまで見ないと、本当の調達リスクは見えない。
写真=iStock.com/maroke
※写真はイメージです
信じる仕組みそのものが、武器になる
レバノンで起きたポケベル攻撃は劇的な事件だった。だが同時に、再現可能な構造の実演でもあった。
攻撃者が示したのは、道具を爆弾に変える方法だけではない。信頼を攻撃面に変える方法だ。
世間を揺るがせたランサムウェア攻撃でも、入口は案外ありふれている。信頼できそうな一本のメール。正規の更新を装った侵入。見落とされた脆弱性。攻撃者は、技術の穴と人間の信頼の両方を突いてくる。
道具が武器に変わったのではない。
信じる仕組みそのものが、攻撃に使われたのだ。
