――サイバー攻撃をめぐる日本の現状をどう俯瞰していますか。

名和　発生した事故やインシデントの100％が公になることはもちろんないわけですが、感覚的に言うと、日本では実際に起きた事故やインシデントの100分の1くらいしか表に出ていないと見ています。

――一般に考えられているより、はるかに多くの被害が発生しているということですか。

名和　そうです。問題なのは、諸外国と比べて、日本の透明性が非常に低いことです。

サイバー攻撃というのは発生後、種々のプロセスを経て“外部公開可能”な事故・インシデントとなります。不都合な事実については様々なレイヤーで「積極的に外部へは展開されない」、あるいは「現場の努力で内々で処理される」ため、第三者が知り得る事故・インシデントとなるのはごく一部です。ただ、先進的かつ積極的な取り組みが行われている海外の国や地域では、よくも悪くも透明性が高まってきています。

理由の1つは、サイバー攻撃の報告や共有に関する法的強制力のある制度です。先進的な取り組みをしている海外の国や地域と比べると、日本は独特の文化や背景により、整備が難しい領域がどうしても残ります。

また、海外の場合、積極的な調査を行っているリサーチャーが数多く存在し、かつリーク的な分析レポートを出しても受け入れられる環境があるところに、日本との決定的な違いがあると考えています。日本では、リーク的な情報公開に対して、法的対応をチラつかせる形で封じ込まれることが多いように感じています。

例えば昨年、英国の航空会社で約38万件の顧客情報漏えいが起こりました。なぜ、事故は起こったのか。航空会社自身は詳細を公にしていませんが、まったくの第三者による詳しい分析レポートが公開されています。

この情報漏えい事故では、「フォームジャッキング攻撃」という手法が用いられたとされています。オンライン予約サイトにおいて入力後に登録（サブミット）ボタンをクリックすると、同時に攻撃者のサイトにも、クレジットカード情報を含んだ入力情報が送信されてしまう攻撃です。そのレポートにはフォームジャッキング攻撃に対抗するための非常に素晴らしい知見が詰まっています。

国内でもフォームジャッキング攻撃による被害は複数発生しています。そこで得られた知見は一部の領域のみでは積極的に共有されていますが、残念ながら、必要と思われる領域全体に適切に共有されているとは言い難いところがあります。こうした透明性の低さが、日本の被害を助長させている一因と考えています。

――東京オリンピック・パラリンピックに向けて、日本をターゲットにした攻撃はさらに増加すると予測されていますから心配です。

名和　オリンピック開催国でサイバー攻撃が増える理由は2つあります。

1つは、目立ちたがり屋の攻撃者や闇取引サイトでの評価を高めたい請負ハッカーにとって、オリンピックは格好のショーケースだからです。「もっと多くの仕事を受注したい」という裏稼業の営業活動としての攻撃は、拡大の一途をたどっています。

もう1つは、政治的、国民感情的な理由です。例えば、平昌オリンピックでは、開会式が始まった途端、相当数のサーバーシステムがダウンしましたが、これは明らかに平昌オリンピックに強い不満を抱いていた国や地域による攻撃だったと推定されています。