見出し画像

感染USB6本に、自衛隊が1年気づかなかった──"作って終わり"のチェックは、なぜ腐る?

感染したUSBメモリーが6本。それが機密システムの端末50台以上に接続され、1年近く、誰にも気づかれなかった。

陸上自衛隊の話です。今朝の日経新聞が、一面トップでこれを報じました。

陸自、機密端末に感染USB接続 1年気づかず(日経新聞)

何重ものチェックを持っているはずの組織で、これが起きた。

「自衛隊の話だから、うちには関係ない」。そう思った瞬間が、いちばん危ない。怖いのは感染そのものではありません。怖いのは、なぜそれが起きたのか、当の自衛隊自身もわかっていないことです。



入口は、Amazonと楽天だった

回収されたUSBは、中国製の偽装品でした。

僕が引っかかったのは、その流通経路です。日経によれば、同種の偽装品は米アマゾンや楽天などで、相場の半値近くで売られている。大半が中国製だといいます。

これ、笑えない話です。

仕事で急にUSBが要る。検索する。同じ容量で半額のものが、そこそこのレビューつきで並んでいる。——僕だって、何も知らなければポチりそうになる。安いには安いなりの理由がある、と頭ではわかっていても、調達の現場では「とりあえず安い方」が通ってしまう。

これは技術の話に見えて、調達と仕入れの意思決定の話です。誰が、どこから、何を、いくらで買うか。その一点に、後で会社を揺らす穴が空いている。


見た目では、誰も見抜けない

しかも、この偽装品は見ただけではわからない。回収されたUSBは、容量まで偽っていました。パソコンには1テラバイトと表示されるのに、中身は実際には240ギガバイト。表示の4分の1しかない。

総合2面の関連記事には、もっと根の深い話が出ていました。ある組み込みハードメーカーの役員のコメントです。生産を委託した中国の小規模工場で、製造機器そのものがウイルスに汚染されていた。人為的に混入させている可能性も否定できない、と。

つまり、買った時点ですでに仕込まれている。見た目でも、価格でも、判別できない。


急所は「なぜ外したのか」がわからないこと

陸自は、本来とても厳重なはずでした。日経によれば、調達時にも、使用時にもウイルスチェックをかけ、使用許可の登録までして、何重にも確認する仕組みがあった。

では、なぜ感染に1年近く気づかなかったのか。

答えは拍子抜けするほど単純です。セキュリティーソフトのチェック対象から、USBが外されていた。守るための網に、USBだけがすり抜ける穴が空いていた。

その設定を、誰が、なぜ外したのか。陸自の幹部は、こう語っています。

なぜチェック対象からUSBを外したのか、詳細な経緯はわかっていない。

僕はこの一文を読んで、背筋が寒くなりました。

外したこと自体より、「なぜ外したのか、もうわからない」——そのことのほうが、ずっと怖い。

外したのが、悪意を持った内通者なのか。それとも、セキュリティに詳しくない誰かが、設定をいじっているうちにうっかり外してしまっただけなのか。そのどちらかすら、確かめられない。

攻撃する側——ダークサイドは、いつだってそこを突いてきます。人間がやることには、必ず抜けや漏れがある。悪意であれ、ただのミスであれ、生まれてしまった穴は同じように穴です。そして、空いた経緯すらたどれなくなったとき、その穴は誰にも塞げなくなる。

画像

ルールはあった。腐ったのは運用だ

陸自にルールがなかったわけではありません。チェックの仕組みは、ちゃんとあった。陸上幕僚監部も「ウイルスチェックの規則が守られていなかったことは問題だ」と認めています。

つまり、ルールはあった。でも、運用が現場で変形し、いつのまにか腐っていた。これは中小企業でも、まったく同じ構造で起きます。

画像

一度作ったチェックリストは、作って終わりにした瞬間から腐りはじめます。「面倒だから」「急ぎだから」と一回飛ばす。それが二回になり、やがて誰もやらなくなる。気づいたら、ルールは紙の上にだけ残って、現場では誰も回していない。

チェックは、定期的に見直す前提でしか機能しません。作ることがゴールではなく、回し続けることがゴールなんです。これに尽きると思っています。

ちなみに同じ今朝の一面は、半導体株が世界で急反発して日経平均が史上最高値の7万2366円をつけた、ステーブルコインが上陸した、とマネーの話で沸いていました。その派手な見出しを差し置いて、日経が一面トップに据えたのが、240GBの偽装USB1本の話です。規模は沸く。でも、会社を倒すのは、たいてい末端の小さな一点だということでしょう。


「うちはオフラインだから安全」は成立しない

「うちはネットにつないでない機械だから大丈夫」——これも、もう成立しません。

陸自で感染が見つかった端末の半分近くは、極秘情報を扱う「クローズ系」、つまりインターネットから遮断された側でした。ネットを切っても、USBが入口になれば、関係なく入ってくる。

有名な前例があります。2010年に見つかったStuxnet(スタックスネット)。世界初の本格的なサイバー兵器とされるワームで、標的はイランの核施設の遠心分離機でした。そこはインターネットから完全に切り離された「エアギャップ」環境だったのに、感染USB経由で持ち込まれ、設備を物理的に壊した(出典:Wikipedia "Stuxnet"/IPAの「情報セキュリティ10大脅威」でもリムーバブルメディア経由の侵入は継続的に注意喚起されています)。

総合2面によれば、いまも工場・研究所・病院といった現場で同じことが起きています。むしろネットから切り離している現場ほど古い機械が多く、最新の対策が行き届かない。切り離しているから安全なのではなく、切り離しているから検知が遅れる。逆なんです。

この「どこから入って、どう会社じゅうに広がるか」は、映像で一本見ておくと早いです。HPが作った短編『The Wolf』。在宅勤務中の親の仕事用PCを子供が借りて、何気なくメールのリンクを踏む——そこから親の同僚、会社のIT部門へと被害が連鎖していく、というドラマ仕立てになっています。今回の話はUSBですが、入口がメールでもUSBでも、末端の一台から会社全体に広がる構造は同じです(HPの製品PRも兼ねた映像ですが、"つながっているリスク"の説明として、とてもよくできています)。


人間は抜け漏れる。でも、締めつけすぎると壊れる

人間というのは、抜け漏れる生き物です。愚かなところもある。悪気がなくても、面倒だからとチェックを飛ばすし、設定をうっかり間違える。それが人間だと、僕は思っています。

じゃあ、相互監視を強くすればいいのか。お互いを疑い、全員のパソコンを常に見張る。——それで安全にはなるかもしれません。でも、その組織はたぶん息が詰まります。「自分は信頼されていない」という空気が、現場の活力を静かに削っていく。

性悪説に振り切れば、組織が壊れる。性善説に甘えれば、穴が空く。このジレンマに、きれいな正解はありません。少なくとも僕は、まだ持っていない。


だから、愚痴を言わないAIに見張らせる

それでも、打てる手はあります。疲れず、忖度せず、愚痴も言わずに、淡々とチェックし続ける存在を、運用に組み込むこと。——AIです。

人間は飽きるし、サボるし、忖度します。AIは飽きません。決めたことを毎回同じ精度で確認し続けてくれるし、相互監視のように人と人のあいだに不信を持ち込むこともない。だから僕は、こういう退屈で大事なチェックこそAIに任せる価値があると考えています。

ただし、そのAIに「何を見張れ」と仕様を決めるのは、結局また人間です。

陸自がUSBをチェック対象から外せたように、仕様の側に穴があれば、AIはその穴を律儀に見逃します。指示された通りに、完璧に見落とす。だから、AIを入れたから安心、にはならない。

僕がたどり着いた答えは、1つのAIを過信しないことでした。

正直に言うと、最初は半信半疑でした。AIに任せて本当に大丈夫なのか、と。だから何度も試した。そして今は、メインでCodex、サブでClaude Codeと、種類の違うAIを使い分けて、互いにダブルチェックさせています。片方が見落としても、もう片方が拾う。仕様を決める人間が間違えても、視点の違う二つの目があれば気づける確率は上がる。完璧ではありません。でも、一つの目で見るよりは、ずっとマシです。

画像

中小企業の経営者に、考えてほしいこと

今日の話を自分の会社に引き寄せると、考えどころは三つです。

一つ、調達ルートを確認する。そのUSBやその部品、どこから買っていますか。「安いから」だけで選んだ調達先がないか。相場の半値には、半値の理由があるかもしれない。

二つ、チェックの運用実態を確認する。ルールがあるかどうかではなく、いま現場で本当に回っているか。「あるけど誰もやっていない」が、いちばん危ない状態です。

三つ、見直しを仕組みにする。チェックは作って終わりでは腐る。半年に一度でいい、棚卸しする日をカレンダーに入れてしまう。仕組みにしない限り、人間は必ず忘れます。

ついでに言えば、「狙われるのは大企業だけ」という油断も、もう通用しません。警察庁の警察白書によれば、令和6年のランサムウェア被害は、中小企業140件に対して大企業61件。中小のほうが倍以上です(※こちらの侵入経路はVPNなどで、USBとは別ですが、「中小は狙われない」という思い込みへの反証にはなります)。

知ってしまった以上は、動いたほうがいい。大がかりなことはいりません。まず、自社のUSBがどこから来たのかを確認するところから。

とにかく、やっていこう。


語り部 KATARIBE ── あなたの会社の物語を、歌と映像の作品に

ステップアウトでは「語り部(KATARIBE)」という取り組みをしています。中小企業の、まだ語られていない物語を、AIと編集の力で歌と映像の作品に変える——現代の語り部です。

広告会社で29年培った編集の目とAIを掛け合わせて、これまで大企業だけが持てた「ブランドを語る力」を、中小企業の手に取り戻す。あなた自身の会社の物語でも、あなたが支えているクライアントの物語でも、かまいません。

どんなことができるのか、作品例とあわせてこちらに置いています。


今宿 裕昭(いましゅく ひろあき)
ステップアウトマーケティング合同会社 代表
博報堂に29年間在籍。現在は中小企業の生成AI導入を支援しています。
日本大学芸術学部 非常勤講師

→ サイト: https://www.step-out.jp
→ AI導入の壁打ち(無料): https://www.step-out.jp/contact

この記事が参加している募集

毎朝の日経一面を、中小企業の経営のヒントに。Good Morning Insightは毎日更新中です。フォローしておくと朝のタイムラインに届きます。

ピックアップされています

身近なコラム色々

  • 12本

コメント

コメントするには、 ログイン または 会員登録 をお願いします。
博報堂を29年で辞めた。今はAIと二人で5社15案件を回す「マーケティングエンジニア」。大企業しか手にできなかったマーケを、中小企業と日本創生の基盤作りに。Good Morning Insight 毎朝配信。
感染USB6本に、自衛隊が1年気づかなかった──"作って終わり"のチェックは、なぜ腐る?|ステップアウトマーケティング代表|マーケティングエンジニア|日本大学芸術学部 非常勤講師
word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word

mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1