【日本発！起業家の挑戦】専門家が伝授、急増するサイバー攻撃に備える方法

　□カウリス創業者・島津敦好氏に聞く

　「日本株式会社」のコンピューター・セキュリティー対策は大規模な移行期を迎えている。以前は、日本独自の決済システムや日本語が国際的な攻撃や詐欺を妨げ、諸外国に比べてネット詐欺の件数は格段に少なかったが、ここ数年で現実は様変わりしている。決済システムのグローバル化やＷｅｂブラウザに備わる自動翻訳機能などにより、日本のＷｅｂサイトを狙ったサイバー攻撃が急増しているのだ。

　インターネット上の不正アクセス検知サービスを提供するカウリス（東京都千代田区）の創業者で代表取締役ＣＥＯの島津敦好氏に、どんな新しい脅威があるのか、私たちはそれにどう対応すればいいのか聞いた。

　なりすまし割り出す

　－－主力製品のＦｒａｕｄＡｌｅｒｔ（フロードアラート）について教えてください

　「Ｗｅｂおよびモバイルサイトを不正アクセスから守る法人向けサービスです。ログインの状況を監視するだけでなく、行動特性をデータベース化して通常とは異なるログインを割り出し、なりすましの可能性が高い場合、リアルタイムで企業に注意喚起します」

　－－なりすましの可能性が高い行動とは

　「疑わしいのは、たとえばこれまでいつもＭａｃを使っていた人がＷｉｎｄｏｗｓのＰＣでログインするとか、同じＩＰアドレスからいくつも違うＥメールアドレスを使ってログインしようとする、ユーザーがすぐさま送金のページに進むなどの行動です。約５０の要素を組み合わせてリスクを点数化しています」

　－－Ｗｅｂとモバイルの認証はユーザーネームとパスワードで行われるのが主流です。ＩｏＴ（モノのインターネット）時代の到来に伴い、この傾向は変わってくると思いますか

　「スマートフォンやＷｅｂブラウザは通常個人で利用しますが、自動車やその他の機器は家族や友達と共有されることが多いので、セキュリティーに関してもより顧客中心のアプローチが取られるようになるでしょう。カウリスはトヨタ自動車のオープンイノベーションプログラムに採択され、ＩｏＴのセキュリティーについて共同研究をしています。顧客が製品をどのように使うのかもっと正確に把握する必要があります。セキュリティーのモデルとしてはこれまでより複雑になるかもしれませんが、結局それが利用者にとって今よりも簡単で安全なプロセスになります」

　－－インターネット詐欺は諸外国と比較すると少ない印象です。問題はどれぐらい深刻なのですか

　「２０１５年に政府が調査したところ、公開会社のおよそ３分の１がサイバー攻撃の被害を受けたことがあると報告されました。特にインターネットでのクレジットカード不正利用の被害は３０億円に上ります。ですから、ネット詐欺は決して少ないとはいえませんし、年々増加しています」

　日本語という防壁

　－－しかし、米国ではオフラインも含めると年間約８５億ドル（約９０００億円）のクレジットカード不正利用被害があります。日本の経済規模は米国の３０％ほどですが、クレジットカードの不正利用被害額がどうしてこんなに違うのでしょう。

　「詐欺はクレジットカードの不正利用にとどまりませんが、クレジットカードについて言えば、日本人がいまだに現金決済やその他の電子決済方法を好むのが主な要因だと思います。日本でもクレジットカードを持っている人は多いですが、日米を比較すると利用率には大きな開きがあります。しかし、サイバー攻撃全般についていえば、私たちが日本語を使っていることが障壁になっています」

　－－どういうことでしょう

　「日本ではサイバー攻撃やネット詐欺の件数が１３年に急増しました。この年は、Ｗｅｂブラウザに自動翻訳機能が備わった年です。それまでは、海外のハッカーが日本のＷｅｂサイトにアクセスできても、それが銀行のページなのか、口座管理画面はどこにあるのか、どのポイントカードに対応しているのかなどを読んで理解することが難しかったのです」

　－－言語が原因で、海外のハッカーが日本のサイトをターゲットにするのは面倒だった

　「その通りです。ユーザー登録のときに名前をかな入力させるような簡単なステップ一つで攻撃を防ぐことができていました。ハッカーはそれが何を意味するのか、どう入力すればいいのか分からなかったのです。しかし、これは本当の意味でのセキュリティーとはいえません。攻撃を少し遅らせるだけのことです。言語の壁もあって、日本企業はこれまで長い間、杜撰（ずさん）なセキュリティーでも許されていました。日本人が全体としてネット詐欺に無頓着で、気を抜いていたところもあると思います。この姿勢から早く抜け出し、システムをきちんと守る対策を取らなければなりません」

　－－政府はクレジットカード不正利用や銀行の詐欺件数を公開していますが、ポイントカードや航空会社のマイレージも狙われるとか

　「はい、ポイントやマイレージはハッカーにとって格好の標的です。ポイントやマイレージを移動させることに関しては送金よりも法規制が少ないですから。ハッカーはポイントを素早くビットコインやその他の仮想通貨、電子マネーなどに変えてしまうので、当局がそれを追跡するのはかなり難しくなります」

　パスワード管理を

　－－会社がセキュリティー対策を施すと、顧客やスタッフが不満を持つことがあります。解決策はありますか

　「たしかに、セキュリティーのレベルを上げることとＷｅｂサービスの使いやすさは両立しないことが多く、どちらかを優先せざるを得ないときがあります。セキュリティーを選ぶことが理にかない、顧客の安心にも繋がるときもありますが、理解を得られないこともあるかもしれません。フロードアラートのようなアプローチを取る利点は、不正が疑われる状況が発生しない限り、利用者にはこれまで以上の手間をかけさせないところです。たとえば、なりすましの可能性が高いと判断したときだけ、二段階認証やＥメール認証、パスワードの再入力などを行ってもらいます」

　－－個人がインターネット上で身を守るためにできる最善の対策は

　「最も重要なのは、パスワード管理ソフトをインストールして、異なるサイトで同じユーザーネームとパスワードを使い回さないようにすることです。日本人の７割にこの習慣があるというアンケート結果がありますが、今すぐにやめなければなりません。また、ｈｔｔｐｓ：／／ｈａｖｅｉｂｅｅｎｐｗｎｅｄ．ｃｏｍをときどき確認するのもいいでしょう。最近盗まれたＥメールアドレスの中に自分の物がないか確かめることができます」

◇

　国内で発表されるインターネット詐欺の公式件数はいまだに少ない。しかし、実際に起こっているサイバー攻撃や詐欺の件数を知ることはとても難しい。多くの企業はシステムが脅威にさらされていることに気付いていないし、もし気付いたとしても評判の低下を恐れてハッキングの被害をおおやけにすることを渋る会社も多いだろう。

　実際の件数にかかわらず、島津氏がインタビューで指摘した点は重要だ。国内でも、ハッキングやネット詐欺は今後もっと日常的に起こるようになる。

　ハッキング自体が簡単になり、自動化が進んでいることに加えて、自動翻訳によって海外のハッカーが日本のＷｅｂサイトを狙いやすくなっている。しかも、それと時を同じくして、日本企業はインターネット上でどんどん重要なデータや秘密情報を管理するようになっている。

　フロードアラートのような製品が根本的な問題を解決するわけではないが、被害を減少させるのに役立つことは間違いない。

　文：ティム・ロメロ

　訳：堀まどか

◇

【プロフィル】ティム・ロメロ

　米国出身。東京に拠点を置き、起業家として活躍。２０年以上前に来日し、以来複数の会社を立ち上げ、売却。“Ｄｉｓｒｕｐｔｉｎｇ　Ｊａｐａｎ”（日本をディスラプトする）と題するポッドキャストを主催するほか、起業家のメンター及び投資家としても日本のスタートアップコミュニティーに深く関与する。公式ホームページ＝ｈｔｔｐ：／／ｗｗｗ．ｔ３．ｏｒｇ、ポッドキャスト＝ｈｔｔｐ：／／ｗｗｗ．ｄｉｓｒｕｐｔｉｎｇｊａｐａｎ．ｃｏｍ／