ずん
「なあ博士、アサヒがVPN廃止したって聞いたのだ。VPNって必要ないってことなのだ?」
でぇじょうぶ博士
「それは違うでやんす。VPNが不要なのではなく、穴だらけの防犯カメラみたいなものになってたから捨てたんでやんす。」
やきう
「ワイもVPN使っとるけど、これアカンのか?家から会社のサーバー覗いてエロ画像保存しとるんやが。」
でぇじょうぶ博士
「それは別の意味でアウトでやんす...。問題は既知の脆弱性を放置してたことでやんすよ。修正パッチが出てたのに適用してなかったんでやんす。」
かっぱ
「せやから攻撃されたんか。鍵の壊れた金庫置いといて『盗まれました』って、そらそうやろとしか言えんわ。」
ずん
「でもさ、NISTのフレームワークとかホワイトハッカーとか、すごい対策してたんでしょ?それでもダメだったのだ?」
でぇじょうぶ博士
「そこが盲点でやんす。玄関の鍵を何重にもしても、裏口が開けっ放しだったら意味ないでやんすからね。セキュリティ診断も模擬攻撃も、肝心のVPN装置をチェックしてなかったんでやんす。」
やきう
「つまり、形だけ整えて安心しとったってことやな。ワイの会社と一緒やん。セキュリティ研修とかやっとるけど、誰も聞いてへんし。」
かっぱ
「お前が聞いてへんだけやろ。それにしても、Qilinってグループ、名前がキリンって...アサヒのビールのライバル企業みたいやんけ。」
ずん
「それは偶然なのだ!...でも面白いのだ。犯人はビール業界の陰謀説とか出てきそうなのだ。」
でぇじょうぶ博士
「ずんは本当にバカでやんすね...。Qilinは中国の伝説上の生物『麒麟』から取ってるでやんす。ビールとは関係ないでやんす。」
やきう
「でも博士、既知の脆弱性って言うけど、毎日何百個も脆弱性報告されとるやん。全部チェックするんムリゲーやろ。」
でぇじょうぶ博士
「それは一理あるでやんす。でも重要度の高い脆弱性は限られてるでやんす。CVSSスコアが高いものは最優先で対応すべきでやんす。アサヒの場合、おそらくそれすらやってなかったんでやんす。」
かっぱ
「ほんまアホやな。金も人もあるやろうに、何しとったんや。まあワイの会社も同じやけどな。」
ずん
「じゃあさ、ボクもVPN使うのやめた方がいいのだ?セキュリティリスクなのだ?」
でぇじょうぶ博士
「そういう話ではないでやんす。ずんはそもそもVPNが何か分かってないでやんすよね?」
ずん
「...Virtual...Private...なんとかなのだ。」
やきう
「お前、仮想プライベート空間で一人エッチでもしとるんか?」
ずん
「してないのだ!!...でも、VPNって結局何のためにあるのだ?」
でぇじょうぶ博士
「簡単に言うと、インターネット上に暗号化されたトンネルを作って、安全に通信するための技術でやんす。外部から中を覗けないようにするでやんす。」
かっぱ
「せやのに、そのトンネルの入り口に穴開いとったら意味ないやん。それがアサヒの失敗や。」
ずん
「なるほどなのだ!じゃあ、アサヒはこれからどうするのだ?VPN使わないでどうやって安全に通信するのだ?」
でぇじょうぶ博士
「おそらくゼロトラストアーキテクチャに移行するでやんす。『信頼するな、常に検証せよ』という考え方でやんす。VPNのように特定の入り口を信頼するのではなく、すべてのアクセスを都度検証するでやんす。」
やきう
「はあ?それって毎回身分証明書見せなアカンってことか?めっちゃ面倒やん。」
でぇじょうぶ博士
「その通りでやんす。でも面倒なのはセキュリティの代償でやんす。便利さとセキュリティは常にトレードオフの関係にあるでやんす。」
かっぱ
「まあ確かにな。ワイも家の鍵かけるの面倒やけど、泥棒入られるよりマシやからな。」
ずん
「でもさ、アサヒって大企業なのに、こんな簡単にハッキングされるなんて...他の会社も危ないのだ?」
でぇじょうぶ博士
「むしろ大企業だからこそ狙われやすいでやんす。ランサムウェア攻撃は身代金ビジネスでやんすからね。金を持ってそうなところを狙うのは当然でやんす。」
やきう
「ワイの会社なんか零細やから狙われへんやろな。よかったわ。」
かっぱ
「お前の会社、盗むもんないやろ。社長の借金の記録くらいか?」
ずん
「それにしても、37台の端末全部やられたって...データのバックアップとかしてなかったのだ?」
でぇじょうぶ博士
「バックアップはあったはずでやんす。でも問題は復旧に時間がかかることでやんす。出荷管理システムが止まったら、ビールが出荷できないでやんすからね。」
やきう
「それは困るわ!ワイ毎日飲んどるのに!アサヒスーパードライないと生きていけへん!」
かっぱ
「お前、昼間から飲んどるやろ。そら会社クビになるわ。」
やきう
「ニートちゃうわ!フリーランスや!...ってか、ワイの話はええねん。」
でぇじょうぶ博士
「話を戻すでやんすが、今回の事件で重要なのは3つの盲点があったことでやんす。1つ目はVPNの脆弱性、2つ目は...」
ずん
「待って待って、1つ目だけで頭パンクしそうなのだ。3つもあるのだ?」
でぇじょうぶ博士
「やんす。2つ目はセキュリティ診断の範囲が不十分だったこと。3つ目は侵入検知システムが機能しなかったことでやんす。」
かっぱ
「要するに、見た目だけ立派で中身スカスカやったってことやな。うちの上司と一緒や。」
やきう
「ていうか、ホワイトハッカーが模擬攻撃しとったんやろ?なんで防げへんかったんや?ザコすぎひん?」
でぇじょうぶ博士
「それは違うでやんす。ホワイトハッカーの攻撃と実際の攻撃は違うでやんす。ホワイトハッカーはルールに則って攻撃するでやんすが、本物のハッカーはなりふり構わないでやんすからね。」
ずん
「つまり、練習試合では勝てても本番では負けるってことなのだ?」
でぇじょうぶ博士
「まさにその通りでやんす。しかも相手はプロ中のプロ、Qilinのような組織化された犯罪グループでやんすからね。」
かっぱ
「組織化された犯罪グループって、ヤクザみたいなもんか?」
でぇじょうぶ博士
「ある意味そうでやんす。ランサムウェア攻撃は今や一大産業でやんす。RaaS(Ransomware as a Service)といって、攻撃ツールをレンタルするビジネスモデルまであるでやんす。」
やきう
「なんやそれ、サブスクかよ。Netflix感覚でハッキングできるってことか?ヤバすぎやろ。」
ずん
「じゃあボクもランサムウェア使えるのだ?...って、犯罪なのだ!やらないのだ!」
でぇじょうぶ博士
「当たり前でやんす。しかも技術的知識がなくても使えるように設計されてるのが恐ろしいところでやんす。マニュアルまで完備されてるでやんす。」
かっぱ
「親切やな、犯罪者のくせに。まあワイも昔はそういう世界におったから分かるけどな。」
かっぱ
「違うわ!IT業界におったって言いたかっただけや!」
やきう
「でも博士、アサヒは結局身代金払ったんか?記事には書いてへんけど。」
でぇじょうぶ博士
「公式には明言してないでやんすが、おそらく払ってないと思われるでやんす。日本企業は基本的に身代金を払わない方針でやんすからね。」
ずん
「じゃあデータは戻ってこないのだ?それって大丈夫なのだ?」
でぇじょうぶ博士
「バックアップから復旧してるはずでやんす。ただし時間はかかるでやんす。それに情報漏洩のリスクは残るでやんす。」
かっぱ
「データ盗まれとるからな。ダークウェブで売られとるかもしれへんで。」
やきう
「ダークウェブって何や?アマゾンの闇市場みたいなもんか?」
でぇじょうぶ博士
「簡単に言えばそうでやんす。通常の検索エンジンではアクセスできない、違法な取引が行われる場所でやんす。」
ずん
「こ、怖いのだ...。でも、アサヒのデータって何が入ってたのだ?ビールの秘密のレシピとかなのだ?」
でぇじょうぶ博士
「出荷管理システムでやんすから、取引先情報や物流データが主でやんす。レシピはまた別の場所に保管されてるはずでやんす。」
かっぱ
「せやったらまだマシやな。レシピ盗まれたら、中国でパチモンのアサヒビールが出回るかもしれへんし。」
やきう
「いや、もう出回っとるやろ。中国行ったらなんでもパチモンあるで。」
ずん
「でもさ、結局のところ、普通の人はどうすればいいのだ?ボクたちに何ができるのだ?」
でぇじょうぶ博士
「個人レベルでは、まずパスワードを使い回さないこと。多要素認証を有効にすること。怪しいメールは開かないこと。基本的なことをきちんとやるだけで、多くの攻撃は防げるでやんす。」
かっぱ
「せやな。ワイもパスワード全部同じやったけど、この前変えたわ。めっちゃ面倒やったけどな。」
ずん
「ボクのパスワードは`password123`なのだ。これって安全なのだ?」
でぇじょうぶ博士
「...それは世界で最も危険なパスワードの1つでやんす。今すぐ変えるでやんす。」
やきう
「お前、マジでバカやな。ワイでも`yakyuSaikou2025!`とか使っとるで。」
ずん
「む、むずかしいのだ...覚えられないのだ...」
でぇじょうぶ博士
「だからパスワードマネージャーを使うでやんす。LastPassとか1Passwordとか、いろいろあるでやんす。」
かっぱ
「でもそれも結局ハッキングされるリスクあるんちゃうん?卵を一つのカゴに盛るようなもんやろ。」
でぇじょうぶ博士
「そのリスクはあるでやんすが、脳内記憶よりは遥かに安全でやんす。特にずんのように`password123`を使うような人間にはなおさらでやんす。」
ずん
「う、うるさいのだ!ボクだって頑張れば複雑なパスワード覚えられるのだ!」
やきう
「無理やろ。お前、昨日の晩飯も覚えてへんやろ。」
でぇじょうぶ博士
「話が脱線してるでやんす。とにかく、今回のアサヒの事件から学ぶべきは、セキュリティは一度対策すれば終わりではないということでやんす。常にアップデートし続けなければならないでやんす。」
ずん
「でも、それって永遠に続くのだ?いつか安全な日は来ないのだ?」
でぇじょうぶ博士
「残念ながら来ないでやんす。セキュリティは終わりのないいたちごっこでやんす。新しい脅威が次々と生まれるでやんすからね。」
やきう
「それ聞いたら絶望するわ。もうネット使うのやめよかな...。」
かっぱ
「お前、ネットなかったら生きていけへんやろ。エロサイト見れへんくなるで。」
ずん
「やきうの本音が出たのだ。でも博士、じゃあ未来のセキュリティってどうなるのだ?AIとかが守ってくれるのだ?」
でぇじょうぶ博士
「AIは確かに有効でやんす。異常検知や脅威予測にAIを使う企業も増えてるでやんす。でも、AIを使った攻撃も同時に進化してるでやんすからね。」
かっぱ
「AIvs AIの戦いか。まるでターミネーターの世界やな。」
やきう
「そのうち人間いらんくなるんちゃうか?AIが全部やってくれるやろ。」
でぇじょうぶ博士
「それは違うでやんす。最終的な判断は人間がするでやんす。AIはあくまでツールでやんすからね。」
ずん
「なんか難しい話になってきたのだ...。結局、ボクはどうすればいいのだ?」
でぇじょうぶ博士
「ずんはまず`password123`を変えることから始めるでやんす。話はそれからでやんす。」
ずん
「わ、わかったのだ!じゃあ`password1234`に変えるのだ!」
やきう・かっぱ・でぇじょうぶ博士
「全然変わってねぇ!!」
ずん
「じょ、冗談なのだ!ちゃんと`zundamon2025!`にするのだ!」
やきう
「それもバレバレやろ...。もうええわ、こいつは放っておこう。」
かっぱ
「まあ、セキュリティって結局自己責任やからな。自分の身は自分で守らなアカンってことや。」
でぇじょうぶ博士
「その通りでやんす。アサヒのような大企業でも被害に遭うのでやんすから、個人はなおさら気をつけないといけないでやんす。」
ずん
「う〜ん、でもボクには守るべき大切なデータなんてないのだ。せいぜいエロ画像コレクションくらいなのだ。」
かっぱ
「お前ら...まあ、それも立派な個人情報やけどな。流出したら恥ずかしいやろ。」
ずん
「そ、それは困るのだ!じゃあちゃんとセキュリティ対策するのだ!...でも面倒なのだ。」
でぇじょうぶ博士
「セキュリティは面倒でやんすが、被害に遭ったらもっと面倒でやんす。予防は治療に勝るでやんすよ。」
ずん
「わかったのだ...。でも最後に一つ聞きたいのだ。アサヒはこれからどうなるのだ?潰れちゃうのだ?」
でぇじょうぶ博士
「潰れることはないでやんす。大企業でやんすからね。でも信頼回復には時間がかかるでやんす。そして同様の事件が今後も起こる可能性は高いでやんす。」
かっぱ
「せやな。どの企業も他人事やないで。明日は我が身や。」
やきう
「怖いな...。ワイも会社のパソコン、ちゃんとアップデートしとこ...。」
ずん
「みんな急に真面目になったのだ。でもボクは大丈夫なのだ!だってボクのパソコン、Windows XPなのだ!古すぎてハッカーも興味ないのだ!」
でぇじょうぶ博士・やきう・かっぱ
「それが一番危ない!!」
ずん
「え?そうなのだ?じゃあボク、実は一番狙われやすいってことなのだ?...ま、まあいいのだ!どうせボクには盗まれて困るものなんてないのだ!貧乏人は最強のセキュリティなのだ!」
