工藤伸治のセキュリティ事件簿 シーズン 8 「レピュテーション攻撃の罠」 第2回 「日本語未対応」 | ScanNetSecurity
2021.07.26(月)

工藤伸治のセキュリティ事件簿 シーズン 8 「レピュテーション攻撃の罠」 第2回 「日本語未対応」

アマチュアによる Twitter 投稿等の炎上対応に四苦八苦しているのが現状の日本企業が、もし IRA(ロシアのネット世論操作組織)のような洗練された本格的方法で、計画的組織的に攻撃を受けた場合、どのような対処が可能なのでしょうか。

特集 フィクション
工藤伸治のセキュリティ事件簿 シーズン 8 レピュテーション攻撃の罠
工藤伸治のセキュリティ事件簿 シーズン 8 レピュテーション攻撃の罠 全 1 枚 拡大写真
 企業で発生するさまざまなセキュリティの事故やもめごとを、秘密裏に解決し闇に葬り去る、グレーゾーンに生息するセキュリティコンサルタントの活躍をハードボイルドに描く「工藤伸治のセキュリティ事件簿シリーズ」のシーズン 8 「レピュテーション攻撃の罠」を毎週金曜日配信します。

 主人公の工藤伸治は当初依頼の内容を「どうせちんけな内部犯行の犯人探し」と高をくくっていましたが、その見立ては大きく誤っていました。今回の工藤の相手は、専用クラウドサービスを用いて、100 件に届く Twitter アカウントを高度に組織化して活用し、依頼企業の誹謗中傷を長期間にわたって効果的かつ徹底的に行う「レピュテーション攻撃」の使い手だったのです。

 選挙干渉などでその存在や手法・実態・技術が知られるようになったレピュテーション攻撃ですが、そうした攻撃が「もし日本の一般企業に向けて行われたらどうなるのか?」という仮定が本作を生みました。小説を用いた一種の仮想演習としてもお読みいただくことが可能です。

 アマチュアによる Twitter 投稿等の炎上対応に四苦八苦しているのが現状の日本企業が、もし IRA(ロシアのネット世論操作組織)のような洗練された本格的方法で、計画的組織的に攻撃を受けた場合、どのような対処が可能なのでしょうか。事業継続やコンプライアンス、経営企画などに所属するビジネスパーソンにも有益な内容です。


工藤伸治のセキュリティ事件簿 シーズン 8 レピュテーション攻撃の罠

 バズーカノベルティの本社は西武線の野方にあった。初めて来たが、ほどよく郊外な雰囲気の街で悪くない。比較的新しいテナントビルのワンフロアを占めていた。

「レピュテーション攻撃だって?」

 オレはいささか驚いた。どうせちんけな個人情報流出だろうと高をくくっていたが全然違う話だった。バズーカノベルティのシステム担当の橘の説明によると、先月からツイッター、フェイスブック、インスタグラムなどのSNSでバズーカノベルティに対する誹謗中傷が急増した。いずれも騒ぎの元になったのは写真だ。店員が客を土下座させて謝らせている写真などバズーカノベルティの店舗に対する非難が週に一、二回投稿され、それが瞬く間に拡散され、広がっていた。

 写真はどれもコラージュしたニセモノで、あからさまな嫌がらせだ。本社の会議室で、沢田とオレは写真をながめながら苦笑した。

「たちの悪いのにからまれたもんだ」

 個人情報流出よりはおもしろそうな事件だが、これはオレ向きの仕事じゃない。パイラセキュリティでやればいいのに、とふと思う。

「日本でもレピュテーション攻撃が流行りそうだな」

「すみません。こういう嫌がらせをレピュテーション攻撃と呼ぶんでしょうか?」

 橘は二十代後半くらいの若手で、最近システム担当になったらしい。もともとは専任の担当者がいなかったのだが、事業規模の拡大にともなって新しく採用された。前職はWEB開発会社でサーバーをいじっていたというから、まだ仕事に慣れていないようだ。そもそもシステム担当の業務管掌もちゃんと決まっていない。

 転職したての事件で相当不安になっているらしく顔色が悪い。歩く焦燥感といった面持ちだ。

「レピュテーション攻撃は、相手のレピュテーション、つまり評判を落とすために行われる攻撃のことだ。競合の製品の悪口をネットに書き込むとか、悪い噂を立てるとか、昔からいろんな形でやられてたが、SNSの普及と政治利用が進んで一気に高度化した。ロシア政府の世論操作やアメリカ大統領選がいい例だ。それから民間企業をターゲットにした攻撃も行われるようになった。もちろんそのための攻撃ツールや対策ツールも存在する。アメリカなら山ほどSNS監視ツールの会社がある。相談するといいんじゃないかな」

 レピュテーション攻撃との戦いは、システム対システムだ。オレのようなフリーランスには使えるシステムなどないから、ちゃんとした会社がやった方がいい。パイラセキュリティならアメリカの会社のツールをうまく使いこなせるだろう。

「日本語には対応していないようですし、それでも使えることは使えるらしいんですが、日本で使い方のわかる会社がないそうです」

「そういう問題があったか・・・」

 肝心のシステムが日本語対応しないのはオレも知らなかった。そのうえ、日本で使える会社がない? レピュテーションリスクを甘くみすぎだ。海外から本気のレピュテーション攻撃を受けたらオリンピックなんか簡単に吹き飛ぶぞ。パイラセキュリティがオレを推薦した理由がわかった。

「国内で似たようなサービスをしている会社もありますが、キーワードで監視するものが基本で今回のように組織だったトロールを使った攻撃には対応するのは難しいようです」

 トロールというのはデマを拡散したり、指定された意見に同調する投稿を行うためのアカウントのことだ。昔の言葉で言うと、「サクラ」だ。多数のトロールを配置して、自分の主張を拡散させ、あたかも世論の大勢がそうであるかのように錯覚させる。トロールという言葉を知っているということは、こいつなりに勉強したんだろう。少なくともいま日本のサイバーセキュリティ専門家の口からトロールという言葉はほとんど出てこない。

「でも、そういう会社に問い合わせすれば、できると言うんじゃないのか? 最終的には人海戦術でなんとかできるだろう」

 オレがそう言うと橘は顔をしかめた。やはりすでに問い合せしていたようだ。

「おっしゃる通りです。実はパイラセキュリティにいくつか紹介してもらって話を聞きました。でも、彼らでは無理です。少なくとも我々はそう判断しました」

「どういうことだ? デマを拡散してる相手のアカウントをつぶせばいいだけだろ?」

「いくらでも湧いてくるんです」

つづく

《一田 和樹》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  2. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  3. 『タイタンフォール2』がハッキング被害、一時的に全サーバでプレイ不可に

    『タイタンフォール2』がハッキング被害、一時的に全サーバでプレイ不可に

  4. 日清製粉グループ会社に不正アクセス、顧客や取引先、社員等 個人情報流出

    日清製粉グループ会社に不正アクセス、顧客や取引先、社員等 個人情報流出

  5. 東証一部上場企業 特別損失9,600万円計上 ~ 不正アクセスによる会員情報流出の対応費用

    東証一部上場企業 特別損失9,600万円計上 ~ 不正アクセスによる会員情報流出の対応費用

  6. 補修材専門店「ECサイトプロショップ匠」に不正アクセス、約2年半分の決済情報流出

    補修材専門店「ECサイトプロショップ匠」に不正アクセス、約2年半分の決済情報流出

  7. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  8. メール誤送信の再発防止策「BCC の利用を徹底」

    メール誤送信の再発防止策「BCC の利用を徹底」

  9. 中国政府を背景に持つAPT40によるサイバー攻撃について日本の見解を発表

    中国政府を背景に持つAPT40によるサイバー攻撃について日本の見解を発表

  10. 「My IIJmio」で別の顧客情報表示、 改修完了までサービス停止

    「My IIJmio」で別の顧客情報表示、 改修完了までサービス停止

ランキングをもっと見る