「ハッカーに侵入された企業は、侵入されたことすら分かっていない」。昨年、世界を騒がせたスノーデン事件や、今年、米国司法省によって米国企業をサイバーアタックしたとして中国軍関係者5人が起訴された事件など、サイバーセキュリティがらみの大事件が後を絶たない。日々新しいハッキング手口が誕生し、侵入されていることすら気づかない被害者たち。ホワイトハウスでサイバーセキュリティを担当してきたハワード・A・シュミット氏に、なんとも悩ましいサイバーアタック最前線の攻防を聞いた。(聞き手/ダイヤモンド・オンライン編集部 原英次郎、津本朋子)

――サイバーセキュリティがらみの大事件が頻繁に起きている。

 最大の問題は、侵入される側が、防ぐ手だてを持っていないことだ。侵入されても、どこから入られたのか、何のための侵入なのかを解明することが難しい。さらに言えば、最近起きた事件を見ても、侵入された企業は、そもそも侵入されているかどうか、また、侵入されていることが分かったとして、一体いつ頃からなのか、そんな基本的なことすらきちんと分析をしない限り、分からないということだ。残念だが、これが現状だ。

ハワード・A・シュミット
2002~03年、ブッシュ政権において大統領の重要インフラ防護委員会議長兼サイバースペース・セキュリティ担当特別顧問、国土安全保障省サイバーセキュリティ部門パートナープログラム・セキュリティ戦略統括責任者、09~12年、オバマ政権において政府機関のセキュリティ対策統括責任者「サイバーセキュリティ調査官」として勤務。13年、サイバーセキュリティ・コンサルティング会社「Ridge-Schmidt Cyber,LLC」を設立、共同パートナーに就任。14年5月、日本の情報セキュリティメーカー・デジタルアーツの米国子会社「Final Code,Inc.」の取締役に就任。Photo by Naoyoshi Goto

――犯罪の対象は多岐にわたる。

 現在、大規模な犯罪が次々に発覚している。犯罪者たちは世界中で日々、活動をしているという状況だ。銀行のシステムがターゲットとなり、数億ドル規模の被害が続出しているし、国家が諜報活動の一環で、他国のシステムに侵入して膨大なデータを収集しているというケースも後を絶たない。

 犯罪者たちの活動の温床はたくさんある。たとえば、アクセスを許可するために使われているユーザーIDとパスワード。あんなものは何年も前に使用するのを止めているべきものだが、いまだに代わりになるものがないために世界中で使い続けてられており、ハッカーたちの格好のターゲットとなっている。

 また、ソフトウェアの開発者側の問題もある。2000年頃から後は、技術者がよりセキュアなコードで開発しようと努力はしているものの、中には急いで発売することを優先し、セキュリティ対策がおざなりな会社もある。また、エンドユーザー側の問題も大きい。古典的だが、メールに添付されるマルウェア(侵入や攻撃をする、悪意のあるソフトウェア)が、いまだに猛威を振るっているのだ。「クリックしてはいけない」ということはもはや常識だが、それでも相変わらず、クリックする人が後を絶たない。