「サイバーセキュリティ2023」に見る、サイバーセキュリティのサプライチェーン強化～第5回セキュリティリーダーのためのマクロ環境分析～

記事監修
石原陽平（トレンドマイクロ株式会社　セキュリティエバンジェリスト）

ご好評いただいている「セキュリティリーダーのためのマクロ環境分析」シリーズの最新記事はこちら（2023/12/11公開）

政治：NISCが「サイバーセキュリティ2023」を発表

内閣サイバーセキュリティセンター（NISC）は7月4日、サイバーセキュリティ戦略本部第36回会合を開催しました。同会合では、サイバーセキュリティ戦略に基づく2022年度年次報告・2023年度年次計画として、「サイバーセキュリティ2023」が発表されました。本文書ではサイバーセキュリティに関する情勢、昨年度の取り組み評価、今年度の計画などを扱っています。

本文書内で特に注目すべき箇所としては、政府が使用するセキュリティ製品やサービスにおいて、海外への依存度が高いことが課題視されている点が挙げられます。「海外事業者のセキュリティ製品に過度に依存することなく、我が国独自にサイバーセキュリティに関する情報を収集・分析できる体制の構築が喫緊の課題」であると述べられており、ここではデータを収集するためのセンサーであるセキュリティ製品に加え、脅威インテリジェンスに関しても国内で供給できる体制が必要と考えられていることが分かります。

このコンテクストで「国産」のセキュリティ製品・サービスに求められることとしては、大きく2点あるでしょう。1つは、製品のサプライチェーンに関する透明性を高め、地政学的なリスクを明確にし、レジリエンスの高い製品であることを表明することです。この観点において、SBOMの整備は不可欠な要素となるでしょう。2つ目は、1つ目に付随して、製品・サービスの提供を国内からの調達で完結できうるかという点です。センシティブな情報を扱う政府機関にとっては、国外への暴露や漏えいのリスクを下げるために重要な点だといえます。

本方針は政府が使用する製品・サービスのみに関わるものですが、先々このような流れが一般産業界にも広がる可能性もあり、今後の動きを注視することが求められます。

経済：米国FTCがAmazonを「紛らわしい表示」で消費者を混乱させているとして提訴

6月21日（アメリカ時間）、FTC（米国連邦取引委員会）がAmazonに対し、消費者に対して意図的に紛らわしい表示を用いてAmazonプライムに加入させたり、退会することが困難になるように仕向けているという内容で提訴しました。

この紛らわしい表示は一般に「ダークパターン」と呼ばれているもので、適正な購入判断をするために必要な情報をUI上で認知しにくくしたり、判断を誤らせるようなメッセージをUI上に配置することをいいます。このAmazonプライムのケースでは、退会メニューが分かりにくいことなどが指摘されています。

ダークパターンは人間の認知のバイアスを利用して構成されていますが、もともとはマーケティング上の手法として編み出されたものとも言えます。一方、これらの認知バイアスは、サイバー犯罪においても利用されている例が多数あります。あるダークパターンの研究では、各種の手法は7つの類型できると言われていますが、これらの多くはフィッシング詐欺等の手法でも共通項があるといえるでしょう。簡単な例では、「宝くじに当選しました」といったメッセージは希少性バイアスを利用した煽りだといえます。また、あるリンクをクリックした後に「あなたのデバイスはウイルスに感染しました」と表示するであるとか、「未払いの請求書があります」といって特定のサイトに誘導するのは、人の羞恥心を利用したものといえるでしょう。そのほか、ランサムウェアの身代金要求文書の表示ページではカウントダウンタイマーが設置されていることがありますが、これも「今であれば間に合う」と被害者に思い込ませるという一種の希少性バイアスの利用例といえます。

このような認知バイアスは人の脆弱性の一種であり、セキュリティを強化する上で十分に認識すべき点です。セキュリティ教育の中でもこのような認知バイアスについて触れることで、ユーザにフィッシング等のパターンをメタ認知するように意識づけすることは有効と考えられます。

社会：(ISC)²が国内のサイバーセキュリティ人材に関する調査結果を発表

サイバーセキュリティ人材の不足は依然大きな問題として捉えられています。世界最大のサイバーセキュリティ専門家資格の非営利団体(ISC)²が５月19日に発表した「2023年版のサイバーセキュリティ人材に関するパルスサーベイ」では、特に先進技術に対応するためのスキルが不足していることが浮き彫りになりました。

このサーベイは、日本国内のサイバーセキュリティの最新動向を把握するため(ISC)²の国内会員に対して行われたもので、AIなど新技術導入の度合いや脅威対策など、幅広いトピックが取り扱われています。「貴社はどの分野においてスキルギャップに直面していますか」という質問に対しては、「インシデントレスポンス」や「脅威インテリジェント分析」、「クラウドコンピューティングのセキュリティ」がそれぞれ30％以上の回答者から挙げられています。また54％の回答者は人工知能（AI）に関する知識がまったくない、または最低限しかないと回答しており、全体を俯瞰すると、先端技術の展開速度に対し人材のスキル向上が追い付かないことが課題と見て取れます。

さらに、セキュリティに成熟している企業も含め、40％の回答者が「経済の不確実性が悪意のあるインサイダー等の内部脅威のリスクを高める」と回答しています。内部不正は技術的管理策だけでリスクを低減するには困難であるため、定期的な監査やジョブローテーション、入退社時の情報管理などの組織的管理策の導入が鍵となります。情報セキュリティ部門だけでなく、経営層をはじめ、人事・総務・経理などの部署と連携して内部不正対策を練ることが重要です。

技術：ChatGPT、「Shared Link」機能の利用で意図せぬ情報流出の可能性

ChatGPTは相変わらず話題の的となっていますが、セキュリティに関する懸念も後を絶ちません。トレンドマイクロでは、ChatGPTの最新機能「Shared links」の使い方に関する注意喚起を行いました。このShared linksは、自らがChatGPTを使って作成した文書のリンクを生成し、他の人と内容を共有できるというものです。一見、他のアプリケーションのリンク共有機能と似ていますが、Shared linksに関しては共有範囲を設定することができません。つまり、リンクを入手した人は社内外問わず誰でも閲覧が可能となります。トレンドマイクロの調査では、おそらく意図せず流出したであろう社内向けの文書が、本機能により多数共有されていることが明らかになりました。

上記のケースは、アプリケーション機能に関する知識不足、あるいは運用ルール未整備が起こした事故と言えますが、ChatGPTから意図せず情報流出するリスクを、大きく二つの観点で理解しておく必要があります。一つ目は、クラウドサービスとしてのChatGPT利用時のリスクです。リスク対策として多く言及されている「機密情報を入力しない」「利用規約を確認する」などは、ChatGPT特有のものではなくクラウドサービスに共通するリスク対策です。二つ目は、「プロンプトインジェクション」です。これはサービス形態にかかわらず、生成AI技術に共通するリスクです。つまり、ChatGPTをチャットボットなどに組み込んだシステムの場合、悪意ある利用者の入力によってプロンプトが書き換えられ予期せぬ内容が出力されたり、プロンプト自体が漏えいしてしまったりする可能性があります。自然言語版のSQLインジェクションと捉えるとわかりやすいでしょう。

ChatGPTの利便性はもはや疑うところのない事実ですが、このようなセキュリティリスクを想定して組織内の運用ルールを定め、リスク管理を行うことが求められます。

脅威：米国のパブリック・コメント大量捏造、関係した企業に約8000万円の罰金

アメリカ時間5月10日、ニューヨーク州のレティシア・ジェームズ司法長官は、2017年にFCC（米国連邦通信委員会）が提出した通信会社のネット中立性規則の撤廃法案に対し不正なパブリック・コメントを捏造した件について、LCX,Lead ID,Ifficientの3社に61万5000USドルの罰金の支払いを命じました。本法案のパブリック・コメントを巡っては、これら3社によって約850万件の不正な賛成コメントが提出されていたほか、反対派からも当時19歳の大学生が中心となり合計約930万件のコメントの捏造が行われていました。

このように捏造された情報は、人に事実を誤認識させることで人の価値観までも揺るがし、誤った判断に導く可能性があります。これは、「認知戦」の手法に酷似しているということができるでしょう。認知戦は、単に誤情報を拡散して人を混乱に陥らせる「情報戦」と異なり、サイバー、情報・心理操作、ソーシャルエンジニアリングといった手段を組み合わせて実行される総合的な戦法です。これらの手段は他の「権力の道具」と同時に発動され、特定の個人や集団の認知を意図的に保護したり混乱したりすることで、自陣営が敵より優位に立つように巧みに誘導します。

この2017年のケースはアメリカ国内の一法案の撤廃を巡る事象ですが、これが国家間に跨ってより大きなスケールで行われた場合、その危険性は一層高まります。今後国家間のサイバー攻撃においては、このような認知操作を意図した攻撃に対しても警戒が必要になるでしょう。組織としても、MDMと言われる偽・誤情報に対して注意喚起することが重要です。MDMは、大きく分けて悪意のない誤情報であるmis-informationと、悪意のある偽情報であるdis-information（人を操作し、誤った判断を導くために発信された情報）、mal-information（正しい情報を誇張したり歪めて伝えることで、人を操作したり危害を加えるために発信された情報）に分けることができます。いうまでもなく、悪意のある情報であるdis-informationやmal-informationには留意せねばなりませんが、それらを悪意のない受信者がmis-informationという形で拡散してしまうことが問題を更に大きくすることも認識しておくべきでしょう。すなわち、情報受信、発信両面でのリテラシーの向上が一層重要になるといえます。

まとめ

2023年4月～6月期は、NISCの「サイバーセキュリティ2023」に見られるように、セキュリティのサプライチェーン強化の流れを感じるとともに、その背景にある国家間の緊張感を改めて認識する機会となりました。さらに、ダークパターンに見られるような認知バイアスの利用、またパブリック・コメント捏造からも読み取れるのは、どのような情報発信にも人の認知を操作する意図がありうるということであり、組織として人の脆弱性を認識し、複眼的な視点を持つことが重要だといえます。組織、企業における将来検討の参考に、我々トレンドマイクロがご提供する情報をお役立ていただけますと幸いです。