感染USB6本に、自衛隊が1年気づかなかった──"作って終わり"のチェックは、なぜ腐る?
感染したUSBメモリーが6本。それが機密システムの端末50台以上に接続され、1年近く、誰にも気づかれなかった。
陸上自衛隊の話です。今朝の日経新聞が、一面トップでこれを報じました。
何重ものチェックを持っているはずの組織で、これが起きた。
「自衛隊の話だから、うちには関係ない」。そう思った瞬間が、いちばん危ない。怖いのは感染そのものではありません。怖いのは、なぜそれが起きたのか、当の自衛隊自身もわかっていないことです。
入口は、Amazonと楽天だった
回収されたUSBは、中国製の偽装品でした。
僕が引っかかったのは、その流通経路です。日経によれば、同種の偽装品は米アマゾンや楽天などで、相場の半値近くで売られている。大半が中国製だといいます。
これ、笑えない話です。
仕事で急にUSBが要る。検索する。同じ容量で半額のものが、そこそこのレビューつきで並んでいる。——僕だって、何も知らなければポチりそうになる。安いには安いなりの理由がある、と頭ではわかっていても、調達の現場では「とりあえず安い方」が通ってしまう。
これは技術の話に見えて、調達と仕入れの意思決定の話です。誰が、どこから、何を、いくらで買うか。その一点に、後で会社を揺らす穴が空いている。
見た目では、誰も見抜けない
しかも、この偽装品は見ただけではわからない。回収されたUSBは、容量まで偽っていました。パソコンには1テラバイトと表示されるのに、中身は実際には240ギガバイト。表示の4分の1しかない。
総合2面の関連記事には、もっと根の深い話が出ていました。ある組み込みハードメーカーの役員のコメントです。生産を委託した中国の小規模工場で、製造機器そのものがウイルスに汚染されていた。人為的に混入させている可能性も否定できない、と。
つまり、買った時点ですでに仕込まれている。見た目でも、価格でも、判別できない。
急所は「なぜ外したのか」がわからないこと
陸自は、本来とても厳重なはずでした。日経によれば、調達時にも、使用時にもウイルスチェックをかけ、使用許可の登録までして、何重にも確認する仕組みがあった。
では、なぜ感染に1年近く気づかなかったのか。
答えは拍子抜けするほど単純です。セキュリティーソフトのチェック対象から、USBが外されていた。守るための網に、USBだけがすり抜ける穴が空いていた。
その設定を、誰が、なぜ外したのか。陸自の幹部は、こう語っています。
なぜチェック対象からUSBを外したのか、詳細な経緯はわかっていない。
僕はこの一文を読んで、背筋が寒くなりました。
外したこと自体より、「なぜ外したのか、もうわからない」——そのことのほうが、ずっと怖い。
外したのが、悪意を持った内通者なのか。それとも、セキュリティに詳しくない誰かが、設定をいじっているうちにうっかり外してしまっただけなのか。そのどちらかすら、確かめられない。
攻撃する側——ダークサイドは、いつだってそこを突いてきます。人間がやることには、必ず抜けや漏れがある。悪意であれ、ただのミスであれ、生まれてしまった穴は同じように穴です。そして、空いた経緯すらたどれなくなったとき、その穴は誰にも塞げなくなる。
ルールはあった。腐ったのは運用だ
陸自にルールがなかったわけではありません。チェックの仕組みは、ちゃんとあった。陸上幕僚監部も「ウイルスチェックの規則が守られていなかったことは問題だ」と認めています。
つまり、ルールはあった。でも、運用が現場で変形し、いつのまにか腐っていた。これは中小企業でも、まったく同じ構造で起きます。
一度作ったチェックリストは、作って終わりにした瞬間から腐りはじめます。「面倒だから」「急ぎだから」と一回飛ばす。それが二回になり、やがて誰もやらなくなる。気づいたら、ルールは紙の上にだけ残って、現場では誰も回していない。
チェックは、定期的に見直す前提でしか機能しません。作ることがゴールではなく、回し続けることがゴールなんです。これに尽きると思っています。
ちなみに同じ今朝の一面は、半導体株が世界で急反発して日経平均が史上最高値の7万2366円をつけた、ステーブルコインが上陸した、とマネーの話で沸いていました。その派手な見出しを差し置いて、日経が一面トップに据えたのが、240GBの偽装USB1本の話です。規模は沸く。でも、会社を倒すのは、たいてい末端の小さな一点だということでしょう。
「うちはオフラインだから安全」は成立しない
「うちはネットにつないでない機械だから大丈夫」——これも、もう成立しません。
陸自で感染が見つかった端末の半分近くは、極秘情報を扱う「クローズ系」、つまりインターネットから遮断された側でした。ネットを切っても、USBが入口になれば、関係なく入ってくる。
有名な前例があります。2010年に見つかったStuxnet(スタックスネット)。世界初の本格的なサイバー兵器とされるワームで、標的はイランの核施設の遠心分離機でした。そこはインターネットから完全に切り離された「エアギャップ」環境だったのに、感染USB経由で持ち込まれ、設備を物理的に壊した(出典:Wikipedia "Stuxnet"/IPAの「情報セキュリティ10大脅威」でもリムーバブルメディア経由の侵入は継続的に注意喚起されています)。
総合2面によれば、いまも工場・研究所・病院といった現場で同じことが起きています。むしろネットから切り離している現場ほど古い機械が多く、最新の対策が行き届かない。切り離しているから安全なのではなく、切り離しているから検知が遅れる。逆なんです。
この「どこから入って、どう会社じゅうに広がるか」は、映像で一本見ておくと早いです。HPが作った短編『The Wolf』。在宅勤務中の親の仕事用PCを子供が借りて、何気なくメールのリンクを踏む——そこから親の同僚、会社のIT部門へと被害が連鎖していく、というドラマ仕立てになっています。今回の話はUSBですが、入口がメールでもUSBでも、末端の一台から会社全体に広がる構造は同じです(HPの製品PRも兼ねた映像ですが、"つながっているリスク"の説明として、とてもよくできています)。
人間は抜け漏れる。でも、締めつけすぎると壊れる
人間というのは、抜け漏れる生き物です。愚かなところもある。悪気がなくても、面倒だからとチェックを飛ばすし、設定をうっかり間違える。それが人間だと、僕は思っています。
じゃあ、相互監視を強くすればいいのか。お互いを疑い、全員のパソコンを常に見張る。——それで安全にはなるかもしれません。でも、その組織はたぶん息が詰まります。「自分は信頼されていない」という空気が、現場の活力を静かに削っていく。
性悪説に振り切れば、組織が壊れる。性善説に甘えれば、穴が空く。このジレンマに、きれいな正解はありません。少なくとも僕は、まだ持っていない。
だから、愚痴を言わないAIに見張らせる
それでも、打てる手はあります。疲れず、忖度せず、愚痴も言わずに、淡々とチェックし続ける存在を、運用に組み込むこと。——AIです。
人間は飽きるし、サボるし、忖度します。AIは飽きません。決めたことを毎回同じ精度で確認し続けてくれるし、相互監視のように人と人のあいだに不信を持ち込むこともない。だから僕は、こういう退屈で大事なチェックこそAIに任せる価値があると考えています。
ただし、そのAIに「何を見張れ」と仕様を決めるのは、結局また人間です。
陸自がUSBをチェック対象から外せたように、仕様の側に穴があれば、AIはその穴を律儀に見逃します。指示された通りに、完璧に見落とす。だから、AIを入れたから安心、にはならない。
僕がたどり着いた答えは、1つのAIを過信しないことでした。
正直に言うと、最初は半信半疑でした。AIに任せて本当に大丈夫なのか、と。だから何度も試した。そして今は、メインでCodex、サブでClaude Codeと、種類の違うAIを使い分けて、互いにダブルチェックさせています。片方が見落としても、もう片方が拾う。仕様を決める人間が間違えても、視点の違う二つの目があれば気づける確率は上がる。完璧ではありません。でも、一つの目で見るよりは、ずっとマシです。
中小企業の経営者に、考えてほしいこと
今日の話を自分の会社に引き寄せると、考えどころは三つです。
一つ、調達ルートを確認する。そのUSBやその部品、どこから買っていますか。「安いから」だけで選んだ調達先がないか。相場の半値には、半値の理由があるかもしれない。
二つ、チェックの運用実態を確認する。ルールがあるかどうかではなく、いま現場で本当に回っているか。「あるけど誰もやっていない」が、いちばん危ない状態です。
三つ、見直しを仕組みにする。チェックは作って終わりでは腐る。半年に一度でいい、棚卸しする日をカレンダーに入れてしまう。仕組みにしない限り、人間は必ず忘れます。
ついでに言えば、「狙われるのは大企業だけ」という油断も、もう通用しません。警察庁の警察白書によれば、令和6年のランサムウェア被害は、中小企業140件に対して大企業61件。中小のほうが倍以上です(※こちらの侵入経路はVPNなどで、USBとは別ですが、「中小は狙われない」という思い込みへの反証にはなります)。
知ってしまった以上は、動いたほうがいい。大がかりなことはいりません。まず、自社のUSBがどこから来たのかを確認するところから。
とにかく、やっていこう。
語り部 KATARIBE ── あなたの会社の物語を、歌と映像の作品に
ステップアウトでは「語り部(KATARIBE)」という取り組みをしています。中小企業の、まだ語られていない物語を、AIと編集の力で歌と映像の作品に変える——現代の語り部です。
広告会社で29年培った編集の目とAIを掛け合わせて、これまで大企業だけが持てた「ブランドを語る力」を、中小企業の手に取り戻す。あなた自身の会社の物語でも、あなたが支えているクライアントの物語でも、かまいません。
どんなことができるのか、作品例とあわせてこちらに置いています。
今宿 裕昭(いましゅく ひろあき)
ステップアウトマーケティング合同会社 代表
博報堂に29年間在籍。現在は中小企業の生成AI導入を支援しています。
日本大学芸術学部 非常勤講師
→ サイト: https://www.step-out.jp
→ AI導入の壁打ち(無料): https://www.step-out.jp/contact



コメント