第十二話、今、そこにいてもリモート
ーーZoom越しの防壁ーー
リモートワークが当たり前になった今、田中オフィスでも日常的にZoomが活躍している。今日は、セキュリティに関する社内ミニ研修会。
ファイルサーバーの導入をきっかけに、水野幸一は「知識ゼロでは済まされない時代になった」と社員教育に本腰を入れ始めたのだ。
田中オフィスの応接室。静かな空間で、水野さんがスマートフォンを三脚にセットし、Zoomの画面に顔を寄せた。
「では、問題です。」
その言葉と同時に、スマホのスピーカーから軽快な着信音が鳴る。Zoomの画面には、宇宙をバックに参加している営業担当の橋本和馬と、カフェ風の背景を背にした稲田美穂の顔が並んだ。
「【問題1】クロスサイトスクリプティングの対策で正しいものは、どれでしょうか。
①WebサーバーにSNMPを常駐させる。
②Webアプリケーションで、クライアントに入力データを再表示するとき、情報内のスクリプトを無効にする。
③OSのセキュリティパッチを適用することで、Webサーバーへの進入を防止する。
④許容範囲を超えた大きさのデータの書き込みを禁止し、Webサーバーへの進入を防止する。」
水野さんが読み上げる選択肢の声に、ふたりの表情が一瞬で真剣になる。
橋本 和馬の心の声
(クロスサイトスクリプティング(XSS)か……。たしか、これってWebページに悪意のあるスクリプトを埋め込まれる攻撃だったよな? ってことは……)
① SNMP?
(SNMPってネットワーク機器を管理するプロトコルやん? これは関係ないな。パス!)
② スクリプトを無効化?
(これは正解っぽいな。XSSはスクリプトを埋め込まれて実行される攻撃やから、それを無効にするんは正解やろ。)
③ OSのセキュリティパッチ?
(サーバーの防御策って感じやな。XSSはWebアプリの問題やし、これは微妙にズレてる。)
④ 大きさの制限?
(これ、バッファオーバーフロー対策っぽい。XSSとは違う話やな。)
(よし、②でいこう!)
稲田 美穂の心の声
(クロスサイトスクリプティング……どこかで聞いたことあるような……。一つずつ考えよう!)
① SNMP?
(SNMP……ネットワーク監視の用語だった気がする。関係なさそう。却下!)
② スクリプトを無効化?
(スクリプトって、XSSのキーワードっぽい! 入力を再表示するってことは、そこが狙われるってこと? 無効にするって大事な気がする!)
③ OSのセキュリティパッチ?
(これはたぶん必要だけど、XSSには直接効かないんじゃないかな……)
④ データサイズ制限?
(データサイズ? うーん、それってメモリ関係の話っぽい。XSSはたしか、JavaScriptとかHTMLの話だったはず……)
(うん、やっぱり②だ!)
それぞれの画面に「②」とだけ入力されたチャットが、ほぼ同時に表示された。
「おっ、二人とも正解やな。さすがや。」
Zoom越しに水野さんが声をかける。ふたりもホッとしたように顔を緩める。
「ほんなら、ちゃんと解説するで。」
画面共有が始まり、水野さんが用意したサンプルコードが表示される。そこには、フォームに入力された<script>alert('XSS')</script>というコードと、それがそのまま表示された画面の例が映っていた。
「こうなる。」
「うわ……」と橋本が画面を覗き込み、稲田は目を丸くした。
「これがXSS。つまり、ユーザーが入力したスクリプトを、サーバーが無警戒にそのままWebページに出してしまうと、こうなるわけや。」
「ってことは……」と稲田が指を口元に当てながら考える。「文字として表示されるように変換すれば、スクリプトは実行されなくなる?」
「その通りや!」と水野さんは指をパチンと鳴らした。「HTMLエスケープ処理ってやつやな。<script> って入力されたら、それをそのままHTMLに表示するんじゃなくて、 <script> っていう風に変換する。コードとしてじゃなく、ただの文字列として表示される。」
橋本さんが腕を組み直しながらうなずいた。「でも……うちって司法書士事務所やし、こういうこと、そこまで必要?」
「ええ質問やな。」と水野さんは笑う。「確かに、うちはコード書く会社やない。でも、最近ウチも企業のIT支援に絡んどるやろ? クライアントが導入するシステムのリスクを事前に見極めて、注意できるくらいの知識は必要やねん。」
「確かに……」稲田さんも思い出す。「E不動産さんの物件管理システム、あれログインフォームありましたよね。もしアレが対策してなかったら……怖いです。」
「せやろ? ワイらが“これ大丈夫?”って言えることが、信頼につながるんや。」
その瞬間、Zoom画面にもう一つのウィンドウが飛び込んできた。背景には薄暗い和室。田中卓造社長の顔だ。
「おーい、水野くん! なんや、難しい話しとるなぁ! どないしたんや?」
水野は表情を変えずに答える。「社長、今セキュリティ研修中です。」
「ほうほう、クロスサイトなんちゃらってやつか? まぁ、ワシはとりあえず――」
彼は少し得意げに言った。
「『うちのシステム、大丈夫か?』って聞いたらええんやな?」
橋本さんが吹き出す。「……まぁ、それが一番大事かもしれませんね(笑)」
稲田さんも肩をすくめながら笑う。Zoomの画面に、ほのぼのとした空気が広がっていった。
ーー社長、まさかのダブル登場!?ーー
「それじゃあ、社長も参加していただいて、定例の情報セキュリティ研修を始めますね」と言いながら、稲田がZoomのホスト画面を操作したその瞬間――
画面いっぱいに、どこか見覚えのある姿が現れた。
少し誇張された身振り手振り。目元のシワ、丸みを帯びた輪郭、そして何より聞き覚えのあるあの声――
「せやからなぁ、クロスサイトスクリプティングっちゅうのは、ユーザーの入力をそのまま表示したらアカンっちゅう話や!ちゃんとエスケープ処理せな、攻撃されてまうんやで!」
……それは、田中卓造そのものだった。いや、正確には、田中卓造の3Dキャラクターだった。
「ア、アカンて、水野さん、これ……!?(笑)」橋本さんが目を見開き、過呼吸気味。
「こ、これ社長……じゃないですよね!?(笑)」稲田さんは堪えきれず、口元を押さえて肩を震わせる。
画面の向こうで涼しい顔をした水野が説明する。「ああ、それ、僕が生成AIで作った3Dキャラです。社長の口調で、録音して吹き込んだんですよ。雰囲気、出てるでしょ?」
「めっちゃ似てるやん!」橋本さんが笑う。「表情まで微妙に社長っぽい!」
「しかも、なんか偉そうなのがリアルですね!」稲田さんも笑いながら加わる。
そして、Zoom画面にもうひとりの社長が並ぶ。
「おっ、入れたで!」という声とともに、本物の田中社長が画面に現れたのだ。
一瞬にして画面には、リアル田中と3D田中が並ぶ光景。誰もが吹き出さずにはいられなかった。
「うわっ!あかんあかん!」橋本さんが腹を抱えて笑う。「社長が二人おる!」
「しかも……こっちの社長のほうが、ちょっと滑舌いいんじゃ……(笑)」と稲田。
事態を把握できていない田中社長は、キョロキョロしながら尋ねる。「ん?なんや?何がおもろいねん?ちょっと画面見せてみぃ……」
水野が静かに、3Dキャラの映像を共有する。
しばしの沈黙。そして、
「……な、なんやこれ!? ワシやんか!! しかも、ちょっと顔がシュッとしてる!? これ、ワシの若い頃ちゃうか!?」
爆笑がZoom全体に響き渡る。
「これ、営業で使ったら絶対ウケますよ!」橋本さんが涙をぬぐう。
「社長、もうこの3Dキャラに仕事させたらどうです?」と稲田さん。
「おいおい、ワシの仕事を奪う気か!? それにしても……ようできとるなぁ。水野くん、これ作ったんか?」
「はい。教育用に生成AIの活用を模索してまして」と水野さん。
社長は腕を組み、しばし考えた後ポンと手を打つ。「……これ、ええやん。研修とか、ワシが喋る代わりにこいつ使ったら、だいぶラクできるな!」
「でも社長、3Dキャラのほうが説明うまかったら……?」橋本さんが冗談ぽく茶化す。
「それはアカン! ワシの存在価値がゼロになるやないか!」
Zoomの画面が再び笑いに包まれる。
そのとき、3D田中キャラが自信満々に言い放った。
「そやで!これからはワシの時代や!」
笑い声がZoom越しにこだまし、田中社長の「ワシの仕事をとるなー!」という叫びが、それに続いた。
ーー田中社長、3Dになるーー
「ほな、クロスサイトスクリプティングの対策についてやけどな――」
Zoomの画面越しに、どこか愛嬌のある3Dキャラクターが身振り手振りを交えて語りかける。その関西弁のイントネーション、ちょっとした語尾の上がり方、口癖に至るまで、まさしく田中卓造社長そのものだった。
「……なんやこれ!? ワシがグニグニ動いとるやないか!!」
画面を覗き込んでいた本物の田中社長が、突然叫んだ。Zoomのウィンドウには、実物の田中社長と3Dキャラが並び、どちらが喋っているのか分からなくなるほどシュールな光景が展開されていた。
「ブハッ!!!」
「それ、そっくりすぎでしょ!!」
橋本さんと稲田さんが爆笑した。肩を揺らしながら笑っている稲田さんの目元には涙すら浮かぶ。
「説明の理解を深めるために、生成AIで作りました。なかなかリアルですよね?」
淡々と水野さんが説明した。
「せやけど……ワシこんなにメタボか!? ……あ、Tシャツ一枚は合っとるな。」
社長は苦笑しつつ、自分の腹回りを確認していた。
「実はこの関西弁の社長ボイス、半田くんに作ってもらったんです。」
「なんやて!? ワシの声、勝手に合成しよったんか!?」
「いえ、ちゃんと許可をもらおうと思ってたんですが……実験のつもりで先に作ってみたら、思いのほかリアルで面白くなりまして。」
橋本さんが笑いながら言った。
「いや、あまりにもそっくりすぎて、途中から本物かと思いましたよ!」
「イントネーションまで完璧でしたよね! それに、あの『ほな、始めるで~』の言い方、絶対社長の口癖ですよ!」
稲田さんの言葉に、田中社長は「ほんまかいな……」と頭を掻いた。
「半田くんが所有してる音声合成ソフトに、社長の過去の発言データを学習させたそうです。イントネーションも自動調整。ほぼ本人と区別つかないレベルですね。」
「はぁ~……今どきの技術はすごいもんやなぁ。でも、ワシが知らん間に喋らされとったら、なんか落ち着かんで……」
「その点もちゃんと考えてますよ、社長。音声合成とか3Dキャラって便利ですけど、使い方を間違えると人格権の問題になりますからね。」
水野が真剣な表情で言った。
「せやろ! ワシが知らんうちに、勝手に喋っとったら、なんか気持ち悪いやん!」
「最近、有名人の声を勝手に合成して問題になったケースもありましたし……」
稲田さんが口を挟む。
「ええ。だから田中オフィスとしても、これを社内教育に使うなら、利用範囲や管理方法をしっかり決める必要があります。」
水野さんの目は静かに光る。
「例えば、音声データの管理は半田くんが一元管理、社外での無断使用は禁止――といった運用ルールを定めて、社長の許可のもとで進めるのが大前提ですね。」
「そやなぁ……ワシの分身が、勝手に怪しいセミナーとかで喋っとったら、笑い事ちゃうもんな。」
橋本さんが手を挙げた。
「逆に、ちゃんとルールを作って運用すれば、社長の負担も減って、教育効果も上がりますよ!」
「たとえば、新人研修の冒頭を社長のボイスでやるとか?」
稲田さんが続ける。
「『ワシが田中卓造や! これからしっかり学んでや~!』とか言うんか?」
「そんな感じです(笑)」
水野さんが笑う。
「ふむ……面白そうやけど、変な使われ方せんように、ちゃんと管理せなアカンな。」
「では、正式に運用ルールを作って、社長の許可を得たうえで進めましょう。」
水野の提案に、社長は腕を組んでうなずいた。
「よっしゃ。ほな、ルール決めてから始めるで!」
Zoomの画面越しに、3Dキャラの田中社長もニッコリと笑っていた――まるで「そやそや」と同意するかのように。
こうして、田中オフィスのAI活用プロジェクトは、しっかりとしたルールのもとで、正式に動き出すこととなった。
ーー喋る3D社長と本気のセキュリティーー
「ほな、次の問題いくで~!」
Zoomの画面の中で、どこか憎めない表情をした3Dキャラが喋り出した。田中社長そっくりのそのアバターは、コミカルに口をパクパクさせながら身振り手振りを交え、得意げに言った。
「【問題2】サイバーセキュリティ基本法に基づき、内閣官房に設置された機関はどれか?」
① IPA
② JIPDEC
③ JPCERT/CC
④ NISC
「……また関西弁の社長が喋ってる……(笑)」
橋本さんは、眉をひくつかせながらもどこか嬉しそうに呟いた。
「もう慣れてきましたね……(笑)」
稲田さんも微笑みを浮かべながら、スマホ越しの社内研修に集中し直す。彼女たちが今受けているのは、社内導入されたばかりのeラーニングプログラム。その進行役が、なぜか田中社長を模した3Dキャラというわけだ。
しかし、問題は本格的だ。二人の表情が次第に真剣なものに変わる。
橋本さんは内心、自分に問いかけていた。
(サイバーセキュリティ基本法に関係する機関って……なんやったっけな)
(IPAは、情報処理推進機構やから、試験とか教育がメインやな。JPCERT/CCは企業のインシデント対応やし、JIPDECはプライバシーマークのとこや)
(ほなNISC……あっ!内閣官房の下にあるやつや!サイバーセキュリティ戦略を担っとる!)
迷いは消えた。
「④のNISCでお願いします!」
その横で、稲田さんもまた自分の中で記憶を探っていた。
(IPAは試験とかやってるし……教育系やな。でも、法的な管轄っていうよりは支援や啓発がメイン)
(JPCERT/CCも確かに大事な機関やけど、あれ民間のはず)
(JIPDECはプライバシーマークのとこ。違う違う、そういうのじゃない)
(となると……やっぱNISC?政府の中でセキュリティを統括するって、何かで聞いたことある!)
決意を込めて、声を出す。
「④のNISCです!」
3D社長が両手を広げ、満足げに腕を組む。
「おお、二人とも正解や!やるやん!」
にやりと笑うその顔は、どこか田中社長の本物よりも生意気で、しかしどこか愛嬌がある。
Zoomの画面越しに、水野さんが補足する。
「その通り。NISC、内閣サイバーセキュリティセンターは、政府全体のサイバーセキュリティ戦略を担う中枢機関です。内閣官房に設置されています」
そのとき、ふと音声だけで入ってきた田中社長本人の声が響いた。
「……で、ワシ、こんな喋り方なんか?」
画面のこちら側で、橋本さんと稲田さんは思わず顔を見合わせて、笑いを堪えきれずにいた。
「(笑)」
講義は続くが、少しだけ和らいだ空気の中で、知識が確かに身についていくのを二人は感じていた。
ーー解説モード突入!水野講師と3D社長の共演ーー
問題が終わり、画面越しに「正解!」の言葉が飛び出した後、Zoomの中に一瞬の静寂が流れた。
だが、その沈黙をやわらかく破ったのは、穏やかな声だった。
「せっかくやから、他の選択肢についても解説しておきますね」
水野幸一。田中オフィスの知恵袋とも言える存在だ。司法書士でありながら公認会計士の資格も持ち、最近は情報セキュリティ分野にも本格的に踏み出している。その落ち着いた語り口が、画面の前のメンバーを一気に集中させた。
「①のIPA、これは情報処理推進機構の略称です。独立行政法人で、情報処理技術者試験を実施しているほか、企業や国民に向けてセキュリティ啓発を行っています。ただし、政府のセキュリティを直接監督する立場ではないので、今回の設問では不正解ですね」
橋本さんは、手元のノートに「教育・啓発系」とメモを走らせた。
「②のJIPDECは、一般財団法人日本情報経済社会推進協会のことです。主にプライバシーマーク制度を運営していて、企業の個人情報保護体制を評価する団体ですね。つまり、セキュリティというよりも“情報保護”の観点が強いので、こちらも不正解です」
稲田さんも画面越しにふむふむと頷き、口元を引き締める。
「③のJPCERT/CC、これはJPCERTコーディネーションセンターの略称で、サイバーインシデント対応における民間団体です。企業や組織からインシデント情報を受け取り、分析し、対策を提供する役割を担っています。日本国内のセキュリティには欠かせませんが、政府直轄ではないので不正解」
「……ふむ、全部勉強になるなぁ……」
と、橋本さんが小声で呟いた瞬間――
「せやから、NISCが正解ってわけや!」
唐突にテンションの高い関西弁が画面に響いた。
3D社長である。アバターながら、腕をブンと振り上げる動作までついている。
「④のNISC(内閣サイバーセキュリティセンター)は、内閣官房の中にあって、日本政府全体のサイバーセキュリティ戦略を担っています。サイバーセキュリティ基本法に基づき、各省庁や重要インフラに対して対策を促す役割を持っている……っちゅうわけやな!」
その一言に、田中社長本人が思わずぼそりと漏らした。
「……もうワシ、しゃべらんでもええんちゃうか……」
画面の向こうから、小さな笑いが弾ける。
「いやいや、社長本人の貴重な解説も聞きたいですよ!(笑)」
橋本さんが笑いながらフォローすると、稲田さんもすかさず続けた。
「でも、この3Dキャラ、意外と分かりやすいですね……(笑)」
軽やかな空気の中で、知識とユーモアが絶妙に融合したひとときが流れていた。
この社内eラーニング、ただの研修じゃない。田中オフィスらしい、あたたかくて実践的な学びの場だと、皆が改めて実感していた。
ーー田中オフィス、情報セキュリティ学習会 第三幕ーー
「ほな、次の問題いくでぇ!」
どこか懐かしいイントネーションとともに、スクリーンの中の3Dキャラが元気よく問いを投げかけた。田中オフィスの会議室では今日も社内研修の一環として、情報セキュリティの勉強会が進行中だ。
大きく映し出されたクイズのタイトルは——【問題3】CRYPTRECの役割とは次のどれか?
①外国為替および外国貿易法で規制されている暗号装置の輸出申請を審査し承認する。
②政府調達において、IT関連製品のセキュリティ機能の適切性を評価し認証する。
③電子政府での利用を推奨する暗号技術の安全性を評価、監視する。
④民間企業のサーバに対するセキュリティ攻撃を監視、検知する。
パッと画面を見つめた橋本さんは、眉間に軽くしわを寄せた。
(CRYPTRECって確か、暗号技術に関する政府機関やったよな。『電子政府での利用を推奨する暗号技術』ってワードがそれっぽいな。①は貿易の話やし、②は製品の認証やろ。④はJPCERT/CCの仕事やったな……やっぱ③やな)
そして、手を挙げた。
「③でお願いします!」
少し遅れて稲田さんも、腕を軽く上げながら口を開いた。
「私も③です!」
心の中では彼女もまた、頭の中で選択肢を整理していた。
(えっと、CRYPTRECって名前からして暗号関係やんな?①は輸出の話でしょ、②は認証……④はサイバー攻撃の監視。たぶんJPCERT/CCや。やっぱ③が正解っぽい!)
「お二人とも正解です」と言ったのは、水野さん。相変わらず穏やかな口調でホワイトボードの横に立つ彼が解説を始めた。
「CRYPTRECは、正式にはCryptography Research and Evaluation Committeesといって、総務省と経済産業省が主導する暗号技術の評価機関です。電子政府での利用を前提として、どの暗号技術が安全か、どれが推奨されるかを評価・監視しています」
会議室内の空気が、一層引き締まったような気がした。
「ちなみに、①の『輸出申請の審査』は経済産業省の役割ですね。CRYPTRECはそこには関与しません。②の『IT関連製品の認証』はIPAのJISEC(情報セキュリティ評価認証制度)がやってます。④は言うまでもなく、JPCERT/CCが担当しています」
「正解や!」3D社長が画面の中でドヤ顔を決めて手を叩いた。「CRYPTRECは、電子政府向けの暗号技術の安全性をしっかりチェックしてるんやで!」
その瞬間、田中社長がぽつりと呟いた。
「……ワシより説明うまなってへんか……?」
橋本さんが笑いをこらえきれず、吹き出した。
「この3D社長、普通に分かりやすいですね(笑)」
稲田さんもにこやかに頷いた。
「もはや公式キャラクターにしましょうか(笑)」
田中オフィスに、またひとつ新しい風が吹き込んだ瞬間だった。
ーー3D社長とトロイの木馬とソーシャルエンジニアリングーー
午後のミーティングルームは、ほのぼのとした笑いに包まれていた。大きなスクリーンに映し出されたのは、田中社長そっくりの3Dキャラクターだった。関西弁で笑う3DモデルがTポーズでクルクル回るたびに、稲田さんの笑い声が弾ける。
「ええな、このワシのキャラでTシャツつくろ!」
社長が目を輝かせて言うと、橋本がすかさず返した。
「社長、それ完全に公式グッズ化の流れですね(笑)」
「でも、この3D社長の笑顔、めっちゃ親しみやすいですし、Tシャツにしたら意外と人気出るかも?」と稲田さん。
後ろで控えめに微笑んでいた水野さんが、すかさずブレーキをかける。
「……いや、田中オフィスの公式ユニフォームになったら困りますよ(笑)」
「ほな、限定グッズでいこか!どないや?」と社長。
話は盛り上がる一方だったが、水野が話題を戻す。
「では問題です。問題4。緊急事態を装い、組織内部の人間からパスワードや機密情報を入手する不正な行為はどれか?」
①ソーシャルエンジニアリング
②トロイの木馬
③踏み台攻撃
④ブルートフォース攻撃
「おっしゃ、わしも今回は参戦や!」
社長が腕をまくり、3Dモデルと同じポーズを取りながら言った。
「これはギリシャ神話のトロイア戦争からきとるんや」と、自信満々に語り出す。
「昔な、ギリシャ軍がトロイアの城を攻めたんやけど、城の守りがめっちゃ固かったんや。ほな、どうしたと思う?」
「えっと……確か、巨大な木馬を作って中に兵士を隠したんでしたっけ?」と橋本さんが応じる。
「おっ、ええ線いっとるで!」
田中社長は立ち上がり、手振りを交えて熱弁を振るう。
「ギリシャ軍は『戦争諦めました』言うて、このデカい木馬を置いて帰るフリしたんや。ほんでトロイアの人らは、それを戦利品や思て城の中に運び込んだ。ところが……」
「夜になったら、中に隠れてた兵士が出てきて、トロイアの城を内側から開けてしまったんですよね!」と稲田さんが合いの手を入れる。
「正解や!ほな、ここで問題や。この話を元にした『トロイの木馬』って、サイバー攻撃ではどんな意味がある?」
「社長、今は社長が答える番です(笑)」と水野が笑う。
「あっ、そうやったな!」
少し照れながらも、社長は得意げに続けた。
「つまりやな……トロイの木馬型のウイルスは、一見すると無害なソフトに見せかけて、中に悪意のあるプログラムが仕込まれてるんやな!」
「その通りです」と水野さんが頷く。「ただ、今回の質問は“緊急事態を装ってパスワードなどを聞き出す手口”についてなんです。正解は……①のソーシャルエンジニアリングです!」
「なんやてー!トロイの木馬の話に夢中になってもうた(笑)」
社長は頭をかきながら笑った。
「でも、社長の話のおかげで『トロイの木馬』の意味がめっちゃよくわかりました!」と稲田さん。
「それはよかったです。でも、次の問題こそ正解してくださいね、社長!」と水野さんが笑顔で釘を刺す。
「よっしゃ、次こそ当てたるで!」
ところが次の瞬間、社長は水野さんの答案をチラリと覗こうとした。
「それ、ソーシャルエンジニアリングですよ(笑)」
一同がまた笑いに包まれるなか、水野さんは社長のために静かに説明を続けた。
✅ 正解:①ソーシャルエンジニアリング
→人の心理を悪用して情報を盗む手口。
たとえば「緊急です!至急パスワードを!」といった言葉で、相手を焦らせ、情報を引き出そうとする。偽の上司やIT担当者になりすました詐欺電話・メールなどが代表例。
❌ 他の選択肢の解説:
② トロイの木馬
→「無害に見せかけたマルウェア」。
便利そうなソフトやゲームの中にウイルスを忍ばせる、非常に巧妙な手口。
③ 踏み台攻撃
→「他人のPCやサーバーを経由して攻撃する方法」。
自分の足跡を隠しながら次々とターゲットを攻撃していく。
④ ブルートフォース攻撃
→「あり得るパスワードを総当たりで試す力技」。
複雑で長いパスワードにすることで、ある程度防げる。
「ふむふむ……なるほどな。じゃ、次の問題はカンニングせんと正解したる!」
社長がそう宣言したとき、スクリーンには再び3D社長が満面の笑みで回転していた。
果たしてこのオフィスで、一番強いのはセキュリティ知識か、それとも社長の情熱か——。
ーー田中社長、ソーシャルエンジニアリングに迫るーー
午後の陽ざしが差し込むオフィス。事務所の一角では、水野幸一が資料を片手に、真剣な面持ちで田中卓造社長の前に立っていた。社長の机の上には、飲みかけの缶コーヒーと、読みかけの週刊誌。のんびりとした空気を破るように、水野さんが口を開いた。
「社長、今日はちょっと重要な話をしておきたいんです。最近、うちみたいな中小オフィスでも狙われるケースが増えてまして」
「なんや、またファイルサーバーの設定か?」と田中社長が眉をひそめる。
「いえ、今日は“人の心理”を突く手口、ソーシャルエンジニアリングの話です」
「…ソーシャルなんとか?」
水野さんは軽く頷いた。
「ソーシャルエンジニアリングってのは、技術的なハッキングとは違って、“人をだまして情報を盗む”方法なんです。たとえば、こういうのがあります」
水野さんはスライドをめくりながら、いくつかの例を挙げていった。
①カフェの影から
「まずはショルダーハッキング。これは社長がスタバなんかでPC開いて仕事してるとき、背後から誰かが画面を覗き見るやつです」
☕「スタバで仕事してたら、隣の人がチラチラ画面を見てた…なんてよくある話です」
「うわっ、それワシもやられそうや!」と、田中社長は思わず椅子を引いた。
②そのメール、本物ですか?
「次はフィッシング。たとえば“銀行からのお知らせです”って偽メールが来て、そこから偽サイトに誘導される」
「パスワードを入力してくださいって言われたら、つい入れてしまいそうになります」
「これ、ほんまによくあるやつやん!ウチの経理の佐々木さんも“怪しいメール来た”言うてたわ…」
③IT部門のウソ
「三つ目はプレテキスティング。これは“IT部門の者ですが…”って、見知らぬ人が電話してきて、パスワードを聞き出す方法です」
「たとえば“システム復旧のため、今すぐ確認したい”って言われたら、つい教えてしまう人もいます」
「ワシ、怪しい電話でもつい話し込んでまうし、ヤバイな…」
④ゴミの中の秘密
「これは“ダンプスター・ダイビング”。ゴミ箱をあさって情報を盗む手口です」
「送信済みFAXやメモ書き、コピーをそのまま捨てていたら…」
「ちょっと待って!ウチのオフィスのシュレッダー、壊れたままやったわ!」
⑤開けたその扉の向こうに
「最後にテールゲーティング。これは“ドア開けてもらえます?”って言って、許可のない人が社内に入ってくるやり方です」
「親切心につけ込まれて、無意識にドアを開けてしまうこともあります」
「あるあるやな…。荷物多いとき、つい“どうぞ”って言うてまうわ…」
説明を終えると、水野さんは一拍おいて真剣な目を向けた。
「社長、これ全部、日常の中にある危険なんです。ITの知識じゃなくて、“人の油断”を突いてくるんですよ」
田中社長は、しばらく腕組みしたままうなっていたが、やがて苦笑いを浮かべた。
「…ワシ、ソーシャルエンジニアリングにめっちゃ狙われそうやん」
「だからこそ、社長がまず一番最初に、“だまされない社風”を作らんといけません」
「ほな、ワシがまず社員証ぶら下げて、ゴミ箱の前で見張っといたらええな?」
「…まずはシュレッダーの修理からお願いします」
事務所に、思わず笑いが広がった。
ーー社長、騙されないでください!ーー
午後の陽が斜めに差し込むオフィスの会議室。
Zoom越しに社員たちが集まり、今日も和やかにセキュリティ研修が始まった。テーマは「ソーシャルエンジニアリング」。その言葉の響きに、稲田さんが目を丸くした。
「これって、今よくニュースを賑わす詐欺事件みたいですね!」と彼女。
頷きながら、水野さんが淡々と語る。
「そうですね。最近の詐欺事件も、ほとんどがソーシャルエンジニアリングの手法を使っています。つまり、"人の心理"を突いて騙すやり方です。」
画面が切り替わり、水野さんが用意したスライドが表示される。
「たとえば、『オレオレ詐欺』。
"お母さん、オレやけど事故ってお金がいるねん!"って電話をかけて…これは『なりすまし』の典型です。」
「うわっ、それ、テレビで見たことあるやつや!」と田中社長が大きな声を上げた。
「他にも、偽メールで銀行のログインを促す『フィッシング詐欺』や、
"保険の還付金があります。ATMで操作してください"という『還付金詐欺』もあります。これらもプレテキスティング、つまり、権威ある存在になりすます手口です。」
「仮想通貨の投資話なんかもよう聞くなあ…」と橋本さんがつぶやくと、水野が頷いた。
「ええ。『この仮想通貨は絶対に儲かります!』って話も、投資詐欺の一種ですね。相手の欲や不安を巧みに突いてきます。」
稲田さんが、やや真剣な顔つきになった。
「結局、全部“人を信じ込ませて情報を引き出す”ってことなんですね…」
田中社長がハッとしたように言った。
「なんや…ワシ、今までめっちゃ怪しい電話とか相手しとったかもしれんやん!」
水野さんはやや眉を上げつつ、にやりと笑う。
「社長、これからは慎重になってくださいね。」
すると田中社長が、どっかと椅子にもたれかかって胸を張る。
「だれやと思てんねん!ワシ、なく子も黙る関西人やで!」
ドヤ顔の田中社長に、皆が笑いをこらえる中、水野さんがクールに言い放つ。
「関西人は騙されにくいので有名ですよね。ただし……褒め言葉には弱いらしいですよ。」
その瞬間、田中社長の表情がピクッと動いた。
「……お、おう?」
稲田さんが声を上げる。
「あっ、それ分かります!『社長の判断、さすがですね!』とか言われたら、つい信用しちゃいそうですもんね!」
橋本さん」も乗っかる。
「『社長の交渉力、すごいですね!』なんて持ち上げられて、契約書にサインしてしまうパターン、あるあるですね〜。」
「な、なんやワシ、めっちゃチョロいみたいやんけ!」と社長が言うと、またもや一同が爆笑。
田中社長は腕を組んだまま、ぐぬぬ…と悔しそうにうなった。
すると水野さんが、ふと目を細めて言った。
「でもそんなところが、関西人の魅力で。
なんか“ええ人やなあ”、って思わせて、人がついていきたくなるんですよね。」
Zoom越しに、画面の向こうで水野が穏やかに微笑む。
その瞬間、田中社長は一瞬キョトンとしたが、すぐに頬が緩んだ。
「……水野くん、ありがとうな。」
その言葉には、照れくささと、ほんの少しの感動がにじんでいた。
稲田さんと橋本さんも、ほんわかとした笑顔で画面を見つめる。
「なんか、ええ話ですね〜。」と稲田さん。
「いや、社長、めっちゃ素直に受け取ってるやん(笑)」と橋本さん。
田中社長は誇らしげに胸を張った。
「そらそうよ! ワシはな、正直な人間の言葉には弱いんや!」
またもや、オフィスに笑いが広がった。
そして水野さんが、にっこりと、けれどきっぱりと最後に言った。
「……だから、詐欺師にも気をつけてくださいね。」
「ぐぬぬ……!」
こうして、田中オフィスの笑いと学びに満ちたセキュリティ研修は、今日も一歩、前に進んだ。
ーつづくー
