2017年5月13日(土)頃から始まった、全世界規模のランサムウェア攻撃。新聞も各紙トップニュースとして伝えています。世界約150か国で30万件以上、日本国内でも600件以上の被害が確認されているとのこと。かなり大規模な攻撃ですね。

ランサムウェア攻撃の具体的な内容については、既にあちこちで触れられていますので、そちらに譲るとして…今回の「報道」はとても“日本的”だと感じましたので、その点について書いていきたいと思います。

今回のランサムウェア報道は過剰

今回のランサムウェア攻撃は、もちろん“大事件”です。大きな報道が為されるのは正しい。とはいえ、Windows10には影響しませんし、サポート切れのWindowsXPはともかく、Windows8や7であれば、毎月のセキュリティアップデートをきちんと実施していれば、これもまた影響しません。

様々な理由で、セキュリティアップデートがすぐにできないことがある、企業内のパソコンならともかく、普通に推奨される使い方をしていれば、今回のランサムウェア攻撃は必要以上に恐れる必要はありません。

より大規模な事件が報道されない日本

2017年2月、今回のランサムウェアよりも大きな事件が起きていたことを覚えているでしょうか？

このサイトを読まれる方ならご存じの方も多いでしょうが、一般にはあまり知られていません。そう、“WordPressの脆弱性によるWebサイト改ざん”です。

＜関連記事＞
▷150万件超のサイト改ざん被害、WordPressはアップデートが必須
▷WordPressの脆弱性によるWebサイト改ざん事件まとめ

全世界で150万件以上、国内でも数千件のwebサイトが改ざんされた事件です。件数だけなら、今回の事件の数倍規模に及んでいたのです。

ところが、国内の報道はどうでしょう。せいぜい「丸川大臣のWebサイトが改ざんされていた」程度だったかと思います。今回の様に、日経の一面に「眞子様ご婚約」と並んで報道されるほどの話題にはなりませんでした。この違いは何なのでしょう？

サイバーセキュリティにおける当事者感覚の欠如

思うに、記事を書く人、または偉い人、その人たち“個人の身に降りかかってくるかどうか”に左右されているのではないでしょうか。

今回のランサムウェアの多くはメール経由でやってきます。メールは誰もが使うもの。だから「自分が感染源になるかも知れない」という恐怖感があります。（本当はセキュリティアップデートさえしていれば怖くないんですが…）

対してWebサイトは、なんだかんだ言っても担当者が決まっています。問題が起きても担当者が対応すれば良いという他人事感覚。この差が報道や社会的な認識の差に出ているのではないでしょうか。

セキュリティ意識が低い日本

最初に“日本的”と表現したのはこの部分です。

• 事件の重要性ではなく「自分の身に降りかかるかどうか」で判断される当事者意識の欠如。
• サイバーセキュリティは自分たち全員で守るものではなく、担当者が守れば良いという感覚。

これが、日本がサイバーセキュリティにおいて後進国たる所以なのです。

担当者以外が“知ろうとしない”危機的状況

あえて言います。サイバーセキュリティにおいて、“この程度”の大事件は頻繁に起きています。

• WordPress問題
• shellshock
• sshバックドア

いずれも、今回のランサムウェアに比べずっと影響の大きい大事件でした。（興味のある方は調べてみてください）しかし、いずれも大きな報道は為されていません。

セキュリティ担当は必死に対応しなければいけませんでしたが、一般社員はできることはあまりありませんでした。だからと言って「知らなくて良い」ということはない筈です。特に経営層クラスは絶対に知っておく必要があります。対応ができていなければ、企業の存続にさえ影響を与えかねない事件に至りかねないのですから。

だからこそ、報道関係者や、企業の責任のある方たちには「この程度の事件はしょっちゅう起きている」ことを肝に銘じてほしいのです。

最後に

システムやサイバーセキュリティは“システム部任せ”の日本的な組織ではなく、システムもサイバーセキュリティも“経営責任”だという世界標準の組織に早く生まれ変わり、サイバーテロリストに狙われない安全な国になること。

それが東京オリンピックを3年後に控えた今、日本に求められている喫緊の課題なのです。