問題は情報漏洩だけではありません。発電所のような重要インフラや、工場の生産ラインや自動車などの物体がサイバー攻撃の標的になりつつあります。

川口:韓国では銀行のATMが、ドイツでは製鉄所の溶鉱炉が攻撃されて停止しました。今では工場の生産システムなど、様々な「制御システム」がインターネット経由で情報をやり取りしています。医療機器を動かすシステムが狙われたら、人間の生死にかかわります。

 ところが多くの制御システム担当者はリスクに気付けていません。これまでインターネットと隔絶した環境で仕事をしてきたからです。インターネットにつながったことで、工場の現場で機械を動かすオペレーターもサイバー攻撃とは無縁でいられなくなりました。そこに気付かせるのも、経営者の役目です。

録画機能を備えたマルウエアも

盗んだ個人情報は様々な手法で換金できます。一方、サイバー攻撃で工場のシステムを止めても、攻撃者は金銭的なメリットを得られません。

川口:本当にそうでしょうか。

 例えば工場に複数の生産ラインがある場合。一つのラインをサイバー攻撃で停止させたうえで、「次のラインを止められたくなかったら身代金を支払え」と要求することは想像できます。操業停止で株価が下落すれば、株式市場で利益を得られるかもしれない。

 こういう話をすると、「うちの工場は特殊なシステムを使っているから、外部の人間には分からない」と反論する人がいます。こうした考えも危険です。悪意ある攻撃者の「学習能力」を甘く見ない方が良いでしょう。

 最近のマルウエア(悪意のあるソフトウエアの総称)は非常に巧妙になっています。機器の通信ログを取得するのは当たり前で、動画の録画機能を備えたものも登場しています。工場内のパソコンが感染したら、知らないうちに画面のスクリーンショットを取られている可能性もあります。これらの情報を分析することで、攻撃者は工場の奥深くまで入り込んでいきます。

 欧州ではかつて、ある麻薬密売組織が港湾のシステムをハッキングしていました。積荷を管理するシステムを乗っ取れば、犯罪が露見するリスクが低くなります。攻撃しようと思ったら、みんな必死で勉強するのです。

 情報システム担当者のみで、こうした脅威に対応するのは困難です。工場や制御システムの担当者にセキュリティーを意識させるには、経営者がリーダーシップを取るしかありません。優先順位を決めて適切な指示を下すのも、監督の重要な仕事です。