Yahoo!ニュース

「ハッキングによる情報漏えいではない」と主張しているが、自社の運営ミスであり、なおさら非難されてしかるべき事態である。単なる「エラー」で済まされる失態ではなく、特にシステムアップデートに関して、重ねてチェックする必要があり、特に顧客情報という個人情報の扱い、その漏えいの可能性に関しては十分意識を払うべきものである。今回、システム自体のアップデートによる機能改善のみを重視し、結果的に個人情報漏えいに関するチェックを怠ったという事実で、顧客情報の管理に対する意識欠如が明らかとなった。詳しい原因も調査中とのことであるが、この件だけでなく社内全体の個人情報に対する意識付けも重要な課題である。また調査結果公表時、「漏えいした情報がさらに公開、悪用された事例はありません」との常とう句が付け加えられると予想されるが、未来永劫悪用されないとの保証はない。悪用される最悪の事態も想定し、対策を練る必要がある。

ネットカジノが横行する原因の第一は犯罪という意識がないことであろう。ネット等の掲示板やSNS、それに動画投稿サイトでは「逮捕等、摘発される可能性はほとんどない」、「グレーゾーン」という言葉が飛び交い、また射幸心を煽る内容も多い。スマホゲームの広告が氾濫し、その中で当然のように課金されることになり、ポイントやアイテムの授受が起こり、さらには「ガチャ」と呼ばれるスマホゲーム内の「疑似賭博」も行われている。特に青少年がネットカジノに向かう敷居は大きく下がっていると見るべきであろう。興じる側からみればスマホゲームとネットカジノの差はほとんどないのである。記事中のネットカジノ依存者の例は珍しいことではなく、スマホ利用者の大多数が、常にネットカジノの店先に立ち、カジノ側から甘い言葉で誘われる状況は改善する必要がある。

今回の論点は「ロビンフッド」と呼ばれる犯罪ハッキング集団が関わっているということ。ロビンフッドは昨今、大きな社会的影響を及ぼす事件を起こすことなく、なりを潜めていたが、2018年、2019年と米国ボルティモア市の公共システムがロビンフッドが操るランサムウェアの被害に遭っている。ロビンフッドとは、富める貴族から盗み、貧しい庶民に分け与えた中世イギリスの義賊。今回、その脅迫について明らかになっていないものの、何がしかの政治的、社会的主張に沿った行為の可能性もある。ハクティビストとしての犯罪行為の正当化である。とにかくもサプライチェーンの脆弱性を突いた攻撃であり、連なるすべての生産および企業活動が長期間停滞することを改めて認識させた。現在の複雑なシステム、ネットワークは、その被害から完全復旧させることは困難であり、逆に被害に遭ったとしても復旧が容易なレジリエントなシステムの構築が求められている。

オンラインカジノは暗号資産と同じく、追跡が難しいことからマネーロンダリングの問題として取り上げられることも多いのですが、純粋にギャンブルの問題としても、その違法性の議論に上がることは避けられません。「延べ200万人」と書きましたが、延べ数となればそれ以上で、実際に100万人に近い人がオンラインカジノの経験があり、常習性を持ったユーザ数が数十万人の可能性は十分あり得ます。ほぼ日本人だけを対象にしたオンラインカジノも存在しています。ネット詐欺と比べることにはいささか場違いですが、オンラインカジノも「考える暇を与えさせない（瞬間的に操作し結果が出る）」というネットの特徴が射幸心を煽ります。あまり知られていないことですが、衰退していると言われるパチンコの総売上高（2020年）が13兆円、同年の競馬等の公営ギャンブル全体でも4兆円という世界有数のギャンブル大国日本では無視できない問題です。

TOP500というランキングにおいて、4期（2年間）世界第一位を保持していたものの、今回、第二位に下がったことが注目されている。このTOP500というランキングはスパコンの性能評価において、一つの指標にすぎない。 TOP500は陸上競技に例えれば、100ｍ競争であって一番の注目種目であるが、人の体力全体を示すものではなく、マラソンや道具を使う棒高跳び、やり投げもある。TOP500は瞬間的な計算速度を競うものであり、実用的な評価指標とは必ずしも言えない。他の指標HPL-AI、HPCGそれにGraph500が実際に問題を解く際の指標といえる。AI（機械学習）で用いられる演算を表す指標HPL-AIも2位に退いたものの、産業界や科学技術計算で用いられる演算の指標であるHPCGとGraph500で5期連続で世界一は十分誇れる性能といえるであろう。世界一、役立つスパコンと言っても過言ではない。

RaaSというキーワードがある。これはRansomwaer as a Serviceの略でラースと呼ばれる。ランサムウェアの知識がなくとも、ランサムウェアを利用して身代金を要求できるシステムで、ターゲットとなる企業に感染させることに成功し、さらに身代金が支払われば、利用料金を支払った残りが収益となる。データを暗号化して質にとるだけでなく、データを不当に売買することも行う。無駄のないビジネスとして形成されつつある。「具体的な被害がない」という真の意味は「流出したデータがどのように使われるかわからない」という意味であり、ダークウェッブを用いてアンダーグラウンドで販売され、詐欺や不正アクセスに利用されなくともAI等での分析材料に用いられる可能性がある。流出したデータがロンダリング（洗浄）され利用されるのである。知らず知らずのうちに自分のデータが悪意のあるシステムの構築に利用されることになる。

北朝鮮は、特に西側各国からの経済制裁対象とあって、国際間のビジネスが行えない状況となっています。外貨を稼ぐことが困難で、サイバー攻撃等による暗号資産（仮想通貨）の搾取とそのマネーロンダリングによる不正な外貨獲得の可能性が指摘されています。今回の件の本質は北朝鮮国籍の技術者が自治体の防災アプリという市民の安全にかかわる重要事業に関わっていたということよりも、自治体が国民の生命にかかわる重要な事業を結果的に、誰が、あるいはどのような組織が関わっているのか把握できていなかったことです。北朝鮮でなくとも反社会組織やテロ組織である可能性もあったわけで、信頼性のない事業者が下請けとして開発している場合も考えられます。自治体としては単に受注元の事業者に任せるだけでなく、その受注事業者においては不法、不正な下請けや信頼性のない開発を行っていないか監視、監査しなければなりません。責任は自治体にあるのです。

オンラインカジノは単なる「言い訳」でしょう。使ってもいないのかもしれません。オンラインカジノですべて使い果たした、あるいはマネーロンダリング相当の行為、つまりオンラインカジノのチップ（コイン）に換金して（購入して）、そのまま凍結（保存）することを前提に書かれています。当人の弁護士発言で、複数の資金移動代行業者（仮想通貨交換所？）に国内の銀行から送金されたことが明らかになっていますが、それがオンランカジノを利用したという証拠には結び付きません。またほとんどすべての現金を代行業者に送金したとも限らないのです。穿った見方としては、海外のオンラインカジノを利用したと言い張れば、たとえ日本の警察、裁判所であってもオンラインカジノ側が協力しない限り、利用したか、しなかったのか自体も証明できません。オンラインカジノは絶対に顧客の秘密を第三者に公開することはないのですから。

ネット予約について十分な理解がされておらず、事前に十分想定できた被害のはずです。一般には開催（決済）直前までの予約であれば、すでに個人認証がなされた会員限定であることが常識です。不特定多数の人が予約する場合でも、直前の予約は認めず、更には同一人名義ではごく少数しか予約できない仕組みになっています。もちろん、名義を変える等の詐称で大量の予約が可能かもしれませんが、そのような行為にはコストがかかり、かなり面倒となり抑止効果となります。予約をする人は「体操を愛する」善人、つまり友達意識が強く出て、善人に対する便利さのみ評価し、悪用する人を想定も出来なかったのでしょう。善人に便利な機能は悪人にも便利なのです。ネットサービスについては、常に悪人を想定し、最悪の場合についてそのコスト（悪人が行うその手間と被害効果）を考えるべきです。杜撰なサービス（予約システム）と言われても仕方ないでしょう。

『「しまむら」にサイバー攻撃』とありますが、必ずしも「しまむら」にターゲットを絞った執拗かつ高度な攻撃（ＡＰＴ攻撃といわれるが）の結果ではないでしょう。ランサムウェアと呼ばれるサイバー攻撃は、マルウェアの一つの機能であり、パソコン、サーバ内のデータの暗号化やそのデータを搾取することによる、公開や販売を質に金品を要求することを指します。感染については、セキュリティ機器の脆弱性を利用した不正アクセスや、emotet等の感染を主体とするマルウェアからの誘導、更にはＵＳＢ経由等様々です。不特定多数にランサムウェアに感染させることによって、その感染先に応じた対応、すなわち脅迫方法を変えたり、身代金の額の交渉を行うのです。結局、ランサムウェアの感染においては無差別であり、いかなる個人、企業、組織であっても感染する可能性はあるのです。大企業、有名企業だけが狙われるわけでは決してありません。