データセキュリティの未来 犯罪増加で求められる監査強化（後）

国際未来科学研究所
代表　浜田 和幸

日本独特のPPAPとEmotet被害

    マルウェアやランサムウェアの感染被害も急増しています。とくに、国内での感染被害が深刻化しているエモテット（Emotet）は世界的に流行し、マルウェア脅威ランキングで世界1位にランキングされているほどです。

　Emotetが正規メールの返信を装った攻撃メールや、業務上のやりとりを模倣した巧妙な文面の攻撃メールを使用している点は、以前と同じ手法です。しかし、最近では攻撃メールの巧妙さが進化しており、添付ファイル名に実在する組織名を使ったり、メール本文に実在する組織名や署名などを掲載したりするケースも確認されています。

　では、日本国内で感染被害が急増している理由は何でしょうか。22年2月に暗号化ZIPファイルを添付し、本文に解凍パスワードを記載した攻撃メールが出現して以来、被害が急拡大したといわれています。暗号化ZIPファイルをメールに添付し、その解凍パスワードを別メールで送付する方法は「PPAP」と呼ばれており、日本だけで普及した情報漏洩防止策です。

　PPAPが普及していた日本でEmotetの感染被害が急増したのは、この防止策が裏目に出たためと思われます。そのため、日本国内ではPPAPを廃止する動きが加速しています。内閣府がPPAPの廃止を宣言したことを受け、日立製作所やソフトバンクなどが相次いで利用廃止に踏み込んでいます。攻撃側と防御側とのいたちごっこといえそうです。

FTXの急成長と破綻

　データセキュリティの世界を震撼させた最近の事例は何といってもFTX事件でしょう。暗号資産（仮想通貨）交換業の最大手FTXトレーディング（バハマ）が11月11日、経営破綻しました。「暗号通貨の王様」ともてはやされていましたが、5年持ちませんでした。報道によれば、利用者は100万人を数え、債権者は10万人を超え、負債総額は数兆円に上るといわれています。同業界においては過去最大級の破綻であり、業界への信頼が大きく揺らいでいることは間違いありません。

　FTXは19年にサム・バンクマン・フリード（SBF）という、現在30歳の青年によって香港で設立され、その後、バハマに拠点を移しました。SBFは1992年生まれで、両親共にスタンフォード大学の教授です。彼はMITで物理と数学を専攻しました。「若きウォーレン・バフェット」ともてはやされたものです。

　関連会社は130社におよび、日本やキプロスにも支社を設立。多様な暗号資産関連商品を開発し、世界中の投資家の関心を集めてきました。著名なスポーツ選手や芸能人とスポンサー契約を結び、利用者の拡大に結び付け、短期間で世界有数の暗号資産交換業者に成長させました。ソフトバンクグループのファンドも1億ドルを出資していました。

　SBFの資産は最盛期には260億ドルに達しました。ところが、11月2日、状況が一変しました。暗号資産専門のニュースサイトがFTXの財務面の問題を指摘したことをきっかけに信用不安が広がり、投資家が一斉に資金の引き上げを始めたのです。その結果、わずか9日で資金繰りに行き詰まり、米連邦破産法11章の適用を申請し、自己破綻することになってしまいました。当然のごとく、SBFの資産はほぼゼロになります。1億ドルの投資が消滅することになり、孫正義氏にとっては頭痛の種がまた1つ増えたことになります。

　FTXのその後も続々と不祥事が明らかになっています。顧客からの預かり資産を流用し、グループ内で違法な資金管理を重ねていたことが判明し、米証券取引委員会（SEC）も内部調査に入っています。日本の金融庁も無登録営業をしていたFTXジャパンに対し、一部業務停止命令を含む行政処分を出し、出金停止中です。

　FTXの破綻は暗号資産の代表格であるビットコインへも大きな影響を与えています。21年11月に6万円台だった価格は急落、22年11月～12月は約4分の1の1万5,000～1万7,000ドルで推移する有り様です。

FTXとウクライナの関わり

　SBFはCEO時代、アメリカの民主党に4,000万ドルの政治献金をしました。ジョージ・ソロスに次ぐ多額の献金であり、500万ドルを受け取ったバイデン大統領にとっては心強い存在だったでしょう。SBFの狙いはバイデン大統領を味方に付け、同時に暗号市場の規制を検討する委員会の所属議員への圧力だったと想像されます。民主党議員を中心に99万ドルの政治献金が行われていました。

　さらにいえば、FTXはウクライナ戦争にも深く関与していたようです。これから徐々に明らかになるでしょうが、アメリカ政府がウクライナへ提供してきた資金援助の一部がロシアとの戦闘に使われず、FTXへの投資に流用されていたといいます。

　アメリカのメディアがFTXの破産申告書類を調べたところ、ウクライナ政府からFTXへの資金の流れが記載されていたうえ、その資金は行方不明で所在が確認できないのこと。つまり、ロシアと戦うウクライナを支援するために民主党政権下で提供された莫大な資金をゼレンスキー政権はFTXに投資し、それなりの見返りを期待していた事実が白日の下に晒されつつあるわけです。

　実に「怪しい世界」の取引としか言いようがありません。アメリカ下院の金融サービス委員会では22年12月に公聴会を開き、この違法な政治献金問題を取り上げました。どこまで真相が明らかにされるのでしょうか。

　この金融スキャンダルはデータセキュリティの観点からも多くの示唆を提供しています。その最大のものはFTXの内部における情報管理がずさん極まりないものであったこと。かつてエンロン事件の糾明に関わった清算人ジョン・レイ氏も「内部監査がこれほどずさんなケースは見たことがない」と暴露しているほどです。外部のハッカーや内部の不満分子によるデータや暗号資産の収奪という問題ではなく、最高経営者であるSBF本人による不正が明白であり、その無責任な行動がまったく規制も制御もされなかったわけです。

　莫大な被害総額となることは明白ですが、被害者が救済される可能性はまったく見えません。ところが、SBFはメディアの取材に対して、「人を騙すつもりはなかった。嘘をついた記憶もない」と自己正当化に終始しています。それどころか、「FTXアメリカには支払い能力があるので、投資家に返金できる」と根拠なき主張を繰り出す有り様です。

　データセキュリティの根幹には経営者や政府の最高責任者の資質というソフトパワーを分析、評価する仕組みが欠かせないと思われます。外部監査の機能強化が求められる時代になったことを認識する必要があるでしょう。

（了）