【なろうも攻撃された】一般人におけるサイバー攻撃対処法【リスク分散】
筆者:
本日は当エッセイをご覧いただき誠に光栄です。
今回はこの「小説家になろう」においてでも17日夕方ごろに発生した「サイバー攻撃」について個人的な解説をしていきますのでどうぞご覧ください。
質問者:
同時期にハーメルンやカクヨムも被害を受けていたそうですね。
最近ではニコニコ動画が攻撃を受けて動画データなどは無事らしいもののサービスの本格再開は1か月先だという話じゃないですか……。
◇サイバー防御能力が薄い日本
筆者:
かつては日本は言語の壁などによってサイバー攻撃の標的にされにくいと言われていのですが、
日本は現在、DDoS(Distributed Denial of Service)攻撃などのサイバー攻撃をする者にとっては格好の的になっているようです。
NICTが運用している大規模サイバー攻撃観測網(NICTER)が2022年に観測したサイバー攻撃関連通信数(約5,226億パケット)は、2015年(約632億パケット)と比較して8.3倍、この通信数は世界2位だそうです。
イーセットジャパン「日本へのサイバー攻撃の検出数が、3年連続で世界1位になっている」と23年に発表しています。
2022年中の不正アクセス行為の禁止等に関する法律(以下「不正アクセス禁止法」という。)違反事件の検挙件数は522件であり、前年と比べ93件増と言うデータがあります。
23年からもかなりのサイバー攻撃の被害が表面化されています
23年7月には名古屋港のコンテナターミナルでコンピューターウイルス「ランサムウエア」のサイバー攻撃によるシステム障害でコンテナの積み降ろしができなくなっていた事件が発生。
防衛省、外務省でも被害は無かったもののサイバー攻撃を受けていたことが発覚。
23年6月JAXAに不正アクセスされていたことが発覚。
23年10月に11銀行で振り込みができない(官房長官は可能性は低いとするも、これだけ同時は怪しい)
など波状的に様々な分野に攻撃がなされています。
◇犯罪者が狙っている情報
質問者:
こんなにもサイバー攻撃をしてどのような意味があるんですか?
筆者:
相手がサーバーのどこに攻撃しているかにもよるようですが、
1 顧客データを攻撃して個人情報(特にクレジットカード情報)を入手
2 会社の機密情報を握って“ゆすり”に使い、身代金を要求する又は技術情報を盗む
3 国家機密にアクセスして弱体化、混乱、を図る
こういったことを目的としています。
質問者:
どうしてそんなにも数が増えているんでしょうか……。
筆者:
日本に関して言うのであれば高齢者が非常に多いです。
高齢者は判断能力に乏しく詐欺に気が付きにくいため、犯罪組織としては日本人の個人情報データは「価値のあるもの」として評価されているといっていいでしょう。
犯罪の性質としては“国境を跨ぐことがやりやすい”と言った性質が非常に大きいです。
攻撃してくる元が中国やロシアや北朝鮮、ハマスと言った「日本にとって非協力的な国」であることも多いです。
そのために攻撃元を特定できても「野放しのまま」と言った状態です。
このように犯人が逮捕されにくいという事は「またやってくる」可能性が高いと言えます。
※アメリカの一部の州やオランダやスイスからも倫理的な規制が緩いサーバーのホスティング(レンタル)業者があり、犯罪組織の多くがそこを経由していることもあるそうです。それ等に対しては国際的連携で潰していく必要があるでしょう。
質問者:
だからこんなにもサイバー攻撃が多いのですね……。
◇国の対策
筆者:
僕が「骨粗鬆症」だと思っている「骨太の方針」にですら「サイバー攻撃への防御体制の確立」について言及しています。
これは、システムダウンによる経済的な損失が非常に大きくなる可能性が上がってくるためです。
日本政府は2022年末に安全保障関連3文書を改定した際に、
防衛省・自衛隊全体でサイバー関連分野の業務に従事する隊員を含む総サイバー要員は約2万人育成する方針と、
特に高いレベルが求められる自衛隊のサイバー防衛などサイバー専門部隊隊員については2027年度末までに、2022年度末時点の4倍以上に相当する約4000人に増やすとしています。
政府の24年度予算案には警察庁分として、サイバー特別捜査隊の部への格上げと、増員による体制強化を柱とするサイバー対策費総額49億6200万円が盛り込まれています(人員は僅かに300人だが)。
ただ、世界最大のサイバーセキュリティー資格団体「ISC2」は2023年11月、「日本でサイバー防衛人材が11万人足りない」と言った発言もしていることから、
官民一体となって防御策を講じるべきだと思います。(特に地方では人員が集まりにくい)
私見ですが元ハッカーでもいいから(ちゃんと教育が前提だが)早急に防御部隊を構築していく必要がありますね。
21世紀は地上での戦争抑止は勿論のこと情報空間での戦争に対しても注視していかなくてはなりません。
質問者
日本はこれだけ攻撃を受けているとなると今密かに負け続けているのかもしれませんね……。
非常に分かりにくいだけで……。
◇個人でできるサイバー攻撃対策
筆者:
さてこの状況下で最後に個人でできるサイバー攻撃対策について考えてみようと思います。
質問者:
個人が攻撃される可能性ってあるんですか?
筆者:
個人でできるセキュリティー対策は特にないといっていいです。
もちろん波状攻撃されれば抜き取られるのですが、
DDoS攻撃にしろお金がかかるためにわざわざ効率の悪いことはしないです。
セキュリティ対策ソフトもWindowsにデフォでついているWindows Defenderで十分だとされています。
(逆に色々とセキュリティ対策ソフトを入れるとお互いに攻撃し合ってパソコンが重くなったり、セキュリティソフトが機能しなくなる可能性もあるようです)
質問者:
それでは「個人でできる対策」って何も無いってことなんですか?
筆者:
そうですね。
ただし、皆さんのデータを保管している「データサーバーが攻撃を受ける」と言うリスクは多分にあると言えます。
情報を抜き取られると、
・クレジットカード情報の不正利用
・SNSアカウント乗っ取り誹謗中傷を流す
・個人情報を抜き取り、詐欺メールが電子的、物理的(電話・郵便)に殺到する
と言ったことが起きてしまいます。
質問者:
それは大変ですね……。
筆者:
まず、クレジットカードやSNSに対して「二段階認証」を活用することが大事になります。やっていない方は是非とも今からでも行いましょう。
しかし、二段階認証をしていてもクレジットカードの不正利用を身内がされたことがありました。
ですが、カード会社に照会したところ不正利用が認定され、無事不正利用分は取り消すことが出来、その後の不正利用は発生していないようです。
ただし、60日以内でないと取り消せないことがほとんどのため、ちゃんとクレジットカードの使用履歴を毎月チェックすることが重要になると思います。
質問者:
たくさんクレジットカードで購入していると確認は大変ですけど、
不正利用されている可能性があるのならチェックしないとダメですね……。
筆者:
意外とデジタル社会ですけどアナログ的活動が資産防衛になりますね。
次に、ネットのものに関してはとにかく分散した方が良いですね。
そのサイトがサイバー攻撃を受けてダウンすると「何も出来なくなる」リスクがあります。
僕はもうこの「なろう」に170作品、累計500話ぐらい発表したので、他のところに行こうとは思わないんで「心中」という事になりそうなんですけど(笑)。
これから投稿しようという方は「○○でも投稿しています」と言う一言は必要になると思いますがリスク管理が必要であると思います。
またマイナンバーカードにいろいろと口座情報と紐づけ、iPhoneと2025年以降紐づけと言ったこともありますが、これも上記のような攻撃を受けて情報を抜き取られたら「簡単になりすまし」や「口座情報が筒抜け」になりかねないです。
そのために、僕は断捨離やミニマリストを推奨する立場ではありますが、リスク分散と言う意味では「大事なモノは面倒でも分散」が推奨ですね。
質問者:
確かに、一つのところに依存しすぎると危険ですよね。
筆者:
ちなみに、小説投稿サイトについてはリスク分散していませんが、パソコンのデータが吹き飛んで「データ元」が完全消滅しないように1週間に1回は必ずバックアップしていますね。
何かしらの出来事が起きてパソコンデータが吹き飛んだ際などにすぐに復旧できるようにするためですね。
質問者:
パソコンのデータが消えたらかなり痛いですから重要ですよね……。
筆者:
パソコンやスマートフォンがまさしく「人生の一部」と言っても過言では無いですからね。
ちなみに、僕はパソコンがこの世界から消滅したら人生の終了を意味しますね(笑)。
という事でここまでご覧いただきありがとうございました。
今回は日本はサイバー対策人員が少ないために世界で1,2を争うほどサイバー攻撃を受けている国であること。
個人でできる対策としては、二段階認証、クレジットカード使用履歴の振り返り、リスク分散、PCデータの保存だという事をお伝えさせていただきました。
今後もこのような時事問題や政治・経済、マスコミの問題について個人的な解説を行っていますのでどうぞご覧ください。
6月18日に「小説家になろう」の利用規約、第14条 禁止事項 23が追加され
『なろうデベロッパーで提供しているAPIを利用する以外の方法で、本サイトに自動化された手段を用いてアクセスしたり、データを収集したりすること。』
とありますので自動でダウンロードする非公式アプリなどもこれに該当する(サイトへの攻撃と判断される)可能性があるので注意をした方が良いと個人的には思います。
