6月21日、今年も弊社会議室にて第69回燮会を開催しました。燮会は交渉アナリスト1級会員のための交渉勉強会です。今回で9回目の横浜開催、過去の開催内容は、下記をご覧ください。
【過去の横浜開催】
第64回燮会②
第64回燮会①
第60回燮会
第55回燮会
第48回燮会
第42回燮会
第37回燮会
第32回燮会
第27回燮会
さて、今回は2部構成。第1部は、1級会員の吉山洋一さんによる事例発表。「サイバーセキュリティにおける交渉」と題してお話しいただきました。
少し前まで、「交渉」といえば、会議室での契約交渉や外交の場が連想されてきました。しかし現代では、サイバー空間が新たな交渉の主戦場となりつつあります。私たちのところにも頻繁に届く詐欺メール、サイバー攻撃による脅迫、そこで展開される情報戦。サイバーセキュリティの本質は、そうしたことから人々の安全と信頼を守ることにあります。そしてそのためには、冷静かつ戦略的な交渉力が不可欠となっているのです。
今や、サイバー攻撃は攻撃を受けた組織に留まらず、取引先や国家、社会を巻き込み、重大な悪影響をもたらします。そのため、攻撃を受けた企業や国家には、単なる技術的対応を超えて、攻撃してきた犯罪者のみならず、さまざまな利害関係者と交渉が必要になります。際、2024年に日本で起きた大手出版社に対するサイバー攻撃にあたっては、犯罪者だけでなく、国家、産業界、ユーザー、世論との複層的な交渉が必要となり、結果として36億円もの損失が発生したと言われています。
サイバー攻撃に対しては、脅迫に対する心構えと戦略、緊急時の判断体制と情報発信、外部関係者(警察、PR、法務等)との協力体制などを整備する必要がありますが、多くの組織は、サイバー攻撃への備えにおいて今もって脆弱な状況にあります。
サイバー攻撃は、私たちの身の回りでも日常的に起こっています。代表的なものが毎日のように送られてくるフィッシングメールですが、昨年、私たちが受け取るメールの内、悪性メールと呼ばれるものがついに普通の良性メールを数の上で上回ったそうです。また、生成AIの進化により、フィッシングメールの巧妙さは急速に高まっています。例えば、SNSなどから個人の行動傾向を分析し、「その人がハマりやすい話題」で攻めてくる、偽ショッピングサイトはもちろん、音声・映像を利用したディープフェイクも目覚ましく進歩し、ますます判別が難しくなっています。お話の中で挙げられた例では、オンライン会議に参加した相手が、みな「知っている声」かつ「知っている顔」であったにもかかわらず、全員偽者だった(つまり、その会議そのものが詐欺であった)という事件があったそうです。本物と偽物の識別が難しくなっているどころか、ある実験では、むしろ偽物の方をより本物と認識する傾向があったとさえ言われています。今や、サイバー空間の脅威のほとんどは「だまし」でであり、人間の心理を利用した高度な技術なのです。
さて、ランサムウェア攻撃を受けた場合、攻撃してきた犯罪者と身代金(ランサム)の交渉を行うことは、日本では非弁行為とみなされ、違法だそうです。しかし、海外ではすでに「ランサムウェア交渉人」が存在し、犯罪者との身代金交渉を行っています。お話の中でいくつかの失敗事例や成功事例が紹介されましたが、やりとりのログはオンライン上で公開されているそうです。それを見て感じたのは、攻撃側は事の良し悪しは置いておくとして、非常に洗練された交渉者であるということです。今のところこの分野においては被害者側の立場は非常に弱く、成功事例と呼ばれるものも如何に身代金を減額できたか?というレベルに留まるのですが、それであっても攻撃者側の被害者側に関する情報収集、想定される被害金額と比較して算出した身代金金額、理性的なコミュニケーションを行うなど、高度な交渉力を駆使していることが分かります。このことからも、サイバー攻撃は単なる技術的問題ではなく、究極的には人の問題であることが分かります。
たとえば、2021年、米国の東海岸に燃料を供給する大規模パイプライン、「コロニアル・パイプライン」が「ダークサイド」と呼ばれるグループからランサムウェア攻撃を受け、パイプラインの操業が停止。東海岸全体にガソリン不足と価格高騰の影響が及ぶという事件が発生しました。この事例を、「交渉の7要素」に基づいて分析すると、以下の表のようにまとめられます。交渉結果から攻撃側は彼我双方について、これらの要素をよく理解して交渉していたことが窺えます。
そのように考えると、サイバーセキュリティにおいて重要なのは、「備え」と「冷静な交渉力」であるということができます。たとえば攻撃を受ける被害者側としては、以下のような対応がサイバー交渉を成功させるうえで必要になるでしょう。
サイバー攻撃による被害額は年間2.4兆円、これは日本の防衛装備費に匹敵する額だそうです。しかも、その額は年々増え続けています。ここまでのお話のように、サイバーセキュリティとは、技術の話にとどまらず、人間の話でもあります。巧妙な詐欺を見抜く洞察力、脅迫に冷静に対処する判断力、組織を導く説得力、これらはすべて、交渉の技術から学ぶことができます。攻撃を防ぐことは難しくとも、被害を最小限にとどめる交渉力は、誰もが備えるべき防衛スキルだといえるでしょう。
<つづく>
繻るに衣袽あり、ぼろ屋の窪田でした
アクセス
トータル
ランキング
※コメント投稿者のブログIDはブログ作成者のみに通知されます