JCICコラム
-----------------------------------------------------------
サイバーことば その組織は本当に「狙われた」のか
-----------------------------------------------------------
JCIC主任研究員 石原陽平
2026年7月
どんな仕事でも、言葉に敏感であることは思いのほか大切だ。選ぶ言葉は、ものの見方を方向づけ、その先の行動まで左右する。サイバーセキュリティでも例外ではない。私が身構えてしまうのは「狙う」「狙われる」という言葉が出てきた時だ。表現と実態がズレていて、そのズレが自分たちにできることを見えなくしてしまうからだ。
たとえば、ある病院が攻撃を受けたとする(現実に起こらないことを願うばかりだが)。すると高い確率で「病院が狙われた」「病院は狙われやすい」と説明される。だが実際には、攻撃者がたまたま侵入に成功した先が病院だった、というケースのほうがずっと多い。「狙う」という動詞は、対象をあらかじめ選び、そこへ向かうことを前提にしている。狙撃手が照準を合わせるイメージだ。ところがランサムウェアに代表される経済目的の攻撃の多くは、そうではない。攻撃者は特定の誰かを思い描いているのではなく、インターネットに広く網を投げ、応答が返ってきた相手、鍵の開いていた扉を片端から試しているにすぎない。被害者は「選ばれる」というより、「見つかった」というほうが実態に近い。
その「開いていた扉」とは何か。更新が止まったまま外部に晒されたVPN機器。直接たどり着けてしまうリモートデスクトップ。漏洩リストに載ったまま使い回されたパスワード。攻撃者はこれらの扉を世界規模で、休みなく叩いて回る。そこにその組織への関心も敵意もない。鍵が開いていれば、相手が誰であろうと中へ入る。きわめて事務的で機械的な、退屈なほど無差別な作業である。
身近な例で考えよう。鍵をかけずに停めた自転車が、ある日なくなる。犯人は「自分の自転車」を狙ったのか。たいていは違う。鍵がかかっておらず、人目につかず、すぐ持ち去れる。その条件のそろった一台が、たまたま自分のものだっただけだ。盗む側からすれば、返却もいらない足代わり、無料のレンタル自転車のようなものでしかなく、誰のものかは問題ですらない。だが鍵を一つかけるだけで「狙いやすい一台」から外れられるのもまた事実である。
それでも私たちは、つい「狙われた」と言ってしまう。降りかかった災いの背後に、明確な意図と誰かの顔を探してしまうからだ。理由のない不運よりも、悪意ある標的化のほうが受け入れやすい。これは、実際にサイバー被害に遭った当事者の気持ちを考えるとわかりやすい。ある朝、業務が止まり、データが暗号化され、身代金を要求される。攻撃者にとっては無差別だった出来事でも、受け手にとっては自分たちだけに向けられた攻撃として経験される。当事者にとっては、確かに「狙われた」のだ。この落差があるから、「狙われた」という言葉は手放しにくい。だから、頭から否定したいわけではない。当事者の実感としての「狙われた」と、現象の説明としての「狙われた」は、分けて考えたい。誰かを責めるためではなく、次に同じ目に遭う組織を減らすためだ。
区別を曖昧にしたまま語り続けると、関心は的を外れていく。「自社は狙われるのか」という出口のない問いにとらわれたり、手口や犯人といった攻撃者の像ばかりを追いかけたりする。だが無差別な攻撃を前提にすれば、肝心なのは狙われるかどうかではない。扉が開いているかどうかだ。それは相手の気まぐれではなく、自分たちで点検し把握できる。要するに、足元を見ればいい。そこに目を戻せば、対策は自分たちの手で進められる。
足元に目を戻せると言えるのは、相手が退屈なほど無差別だからである。そしてこの無差別さは、防御する側にとってむしろ朗報だ。相手が敵意を持たないなら、名指しで執拗に追ってくる相手ではない。叩かれる扉は特別な手口で開くわけではなく、更新の止まった機器や使い回しのパスワードなど、すでに知られている弱点ばかりだ。知られている弱点なら、塞げる。無差別な攻撃なら、こちらが手を打てば対象から外れることもできる。
サイバーセキュリティに携わっていると、必ずと言っていいほど「ウチには攻撃者がほしがるものなんて何もないよ」という一言に出会うことがある。気持ちはわかるが、この一言にもあの「狙う」と同じ思い込みが潜んでいる。相手を選んでから動く攻撃者を思い描くから、価値のないところは素通りされるはずだと考えたくなる。しかし無差別なスキャンが相手を決めるのは、そこに何の価値があるかではない。そこへ入れるかどうか、ただそれだけだ。サイバー空間で攻撃者を引き寄せるのは「価値」ではなく「アクセスできること」である。守るべき宝がなくても、開いた扉さえあれば、機械は淡々と入ってくる。「持っていないから安全」なのではなく、「閉まっているから安全」なのだ。
この区別は、公の語りの場でも効いてくる。たまたま見つかった組織と周到に狙い定められた組織が、同じ「被害者」として一括りに語られると、本来引き出せたはずの教訓が霞んでしまう。前者から学ぶべきは「基本の徹底」、後者から学ぶべきは「脅威情報の共有と備えの厚み」であって、二つの処方箋はまるで異なる。切り分けて語れるようになれば、一つの事件から、次に何をすべきかをもっと多く持ち帰れる。
では、その「基本の徹底」とは具体的に何か。最も効くのは、誰にでも届く扉を一つずつ閉じる地味な基礎対策だ。外部に晒された機器を減らし、多要素認証をかけ、公開された管理画面を塞ぎ、修正プログラムを遅滞なく当てる。華やかさはないが、無差別な攻撃にはこれが最も費用対効果に優れる。しかも最も効く対策が、いちばん手の届きやすい対策でもある。特別な武器は要らない。手の届く扉から閉じていけば、限られた資源でも守りは着実に進む。
だから私は、「狙われた」という言葉に出会うたびに、心の中で小さく問い直す。それは本当に狙われたのか、それとも、ただ見つかってしまっただけなのか。言葉ひとつを選び直すだけで、見える景色は変わり、打てる手が立ち上がってくる。この問いは犯人を捜すためのものではない。できることを、自分たちの側に取り戻すためのものだ。