アスクルやKADOKAWAはなぜ防げなかった? 「サプライチェーン攻撃」の正体と、Windowsの『青い画面』があえて出るツールを配る理由
「セキュリティソフトを入れているから大丈夫」 「有名な会社のツールだから安心」
もし、あなたがそう思っているなら、この記事は少し耳が痛いかもしれません。しかし、その「安心」こそが、今、日本の大企業を次々となぎ倒している「サプライチェーン攻撃」の正体です。
私は製造業の現場で15年、泥臭いカイゼンを繰り返し、今はSEとしてシステムを作る側にいます。そこで痛感するのは、「最大のセキュリティホールは、システムではなく『人の油断』である」という事実です。
今日は、最近話題のセキュリティ事故の本質を解説すると同時に、あえて「警告が出る」業務効率化ツールをプレゼントします。さらに、その設計図(ソースコード)も全て公開します。これを使い、あなたの「デジタルリテラシー」をテストしてみてください。
大企業が次々とやられる「本当の理由」
最近、アサヒグループ、アスクル、KADOKAWAなど、名だたる企業でのランサムウェア被害や情報漏洩が相次いでいます。彼らはセキュリティに何億円も投資しているはずです。なぜ防げないのでしょうか?
攻撃者は「正面玄関」からは来ない
今のハッカーは、堅牢なファイアウォール(正面玄関)を無理やり突破しようとはしません。 彼らが狙うのは、「信頼されている取引先」や「いつもの業務ツール」です。
これが「サプライチェーン攻撃」です。
- 「取引先からの請求書メールだから開いた」
- 「いつも使っているフリーソフトの更新だから実行した」
この「無意識の信頼」につけ込み、正規のルートやツールの中にウイルス(バックドア)を紛れ込ませます。つまり、私たちが「便利だ」「知ってる相手だ」と思って自ら扉を開けるのを待っているのです。
Windowsの「青い画面」は邪魔者か?
ネットからダウンロードしたフリーソフトを実行しようとした時、こんな画面が出てイラっとしたことはありませんか?
WindowsによってPCが保護されました (Microsoft Defender SmartScreen は認識されないアプリの起動を停止しました)
多くの人は、これを「作業の邪魔をするエラー」だと思っています。しかし、それは大きな間違いです。
これは、Windowsが必死にあなたを止めている姿なのです。 「ご主人様! このファイル、どこの誰が作ったか分からない(署名がない)上に、インターネットから拾ってきたやつですよ! 本当に中身を『検品』しましたか!?」 と。
この警告が出た時、何も考えずに「詳細情報」→「実行」を押す癖がついている人は、攻撃者にとって「最高のカモ」です。
過去の記事「CADデータは封筒で管理」アナログ運用で疲弊した先輩でも書きましたが、中身を理解せずに「手順」だけを丸暗記する行為は、業務効率化においてもセキュリティにおいても致命傷になります。
【実験】あえて「警告が出る」ツールを配ります
そこで今回は、ちょっとした実験をしましょう。 私が現場の作業効率化のために作った「Smart Tool Pack (STP)」を配布します。これは、あえてデジタル署名なしの「野良アプリ」として公開します。
配布ツールの機能(中身は「ド」効率化ツールです)
機能自体は、私が「めんどくさい」を解消するために作った、至って真面目なものです。
- 作業バックアップ (Backup.bat)
- ファイルをドラッグ&ドロップするだけで、設定ファイル(setting.ini)を読み込み、日時付きのバックアップフォルダを自動生成します。
- 「あ、上書き保存しちゃった!」という悲劇をゼロにします。
- さらに、設定した世代数(例:10個)を超えた古い履歴ファイルは、自動で削除してくれる親切設計(世代管理機能)つきです。
- 日付付与 (AddDate.bat)
- ファイルを放り込むだけで、ファイル名の末尾(Suffix)や先頭(Prefix)に自動取得した日付を付与してリネームします。
- 提出用ファイルの作成作業を一瞬で終わらせます。
あなたへの「踏み絵」:ブラックボックス vs ホワイトボックス
このツールパックには、同じ機能を持つ2種類のファイルが入っています。ここに、DX(デジタルトランスフォーメーション)の本質的な問いがあります。
1. [アプリ版] .exe ファイル(ブラックボックス)
- 特徴: 高速で動きます。アイコンもついています。
- リスク: 中身のコードが読めません。
- 挙動: 初回起動時、Windowsの「青い警告画面(SmartScreen)」が出ます。
2. [スクリプト版] .bat ファイル(ホワイトボックス)
- 特徴: Windows標準の機能だけで動きます。
- メリット: 右クリックして「編集」を押せば、中身のコードが全て読めます。
- 安全性: 「変な通信をしていないか」「裏で削除コマンドを打っていないか」を、あなた自身の目で確認(検品)できます。
「中身が見える」ことは、最大の防御である
世の中には「オープンソース(無料公開されたプログラム)は、誰が作ったか分からないから怖い」と感じる人がいます。しかし、私の考えは逆です。
- メーカー製ソフト(クローズドソース): 中身はブラックボックス。「私を信じてください」というメーカーの看板だけが頼りです。もし裏で情報を抜いていても、バレるまでに時間がかかります。
- オープンソース: 中身はフルオープン。世界中の何万人というエンジニアが「バグはないか?」「変なコードはないか?」と常に衆人環視(監視)しています。つまり、不正を隠す場所がないのです。
今回配布した「スクリプト版(.bat)」や、後述するGitでのコード公開は、まさにこのオープンソースの思想です。 「私が作ったから信用して」とは言いません。「コードを見てください。そこに全て書いてあります。不正のしようがありません」 これが、私が考える本当の「誠実さ」であり、セキュリティなのです。
コードが読めない? なら「AI」に読ませればいい
「右クリックして編集? コードなんて暗号にしか見えないよ!」 そう思ったあなた。諦めるのはまだ早いです。
今、私たちの手元には最強の翻訳機(AI)があります。 ChatGPTやGeminiなどのAIに、メモ帳で開いたコードをコピペして、こう聞いてみればいいのです。
「このコードは何をするプログラムですか? 危険な処理や、外部への怪しい通信は含まれていますか? 初心者にもわかるように解説してください」
よほど悪意を持って複雑に隠蔽(難読化)されていない限り、AIは数秒で「これはファイルをコピーして、古いものを削除するだけの安全なコードです」など、内容を教えてくれます。
- 人間(あなた): 中身を開く勇気を持つ
- AI(通訳): 中身を読んで解説する
- 人間(あなた): 解説を聞いて、使うかどうか判断する
プログラマーじゃなくても、この「AI検品」を使えば、ブラックボックスをホワイトボックスに変えることができます。 「わからないから思考停止(盲信)」するのではなく、「使える武器を使って確認する」。これも立派なDX(デジタル・トランスフォーメーション)です。
ダウンロードとソースコードの確認
私は「効率化オタク」なので、便利なツールは大好きです。しかし、「中身が分からないものを盲信する」ことと「効率化」は違います。
今回のツールは、以下のリンクからダウンロードできます。 また、「ZIPを落とすのも怖い」という慎重な方(素晴らしいです!)のために、GitHub(プログラムの設計図共有サイト)にもコードを公開しました。ブラウザ上で中身をすべて確認できます。
[ 🐈 GitHubでソースコードを確認する (推奨) ]
【重要:免責事項と利用について】
本ツールは、筆者(上野)が「個人の研究・趣味」として開発したものです。 所属する企業・組織とは一切関係ありません。
- サポートなし: 会社への問い合わせは絶対にしないでください(窓口の人が困惑します)。
- 自己責任: 本ツールを使用してPCが爆発しても、データが消えても、筆者および所属企業は責任を負いません。
- コード確認推奨: そのための「スクリプト公開」です。ご自身の目で安全を確認できる方のみご利用ください。
追伸:本気でDXを進めたい経営者様へ
「社員にリテラシー教育をしたいが、どう教えればいいか分からない」 「便利なツールを入れたいが、セキュリティが不安で進まない」
そんな悩みをお持ちではありませんか? 私は、難しい専門用語ではなく、こうした「現場の肌感覚」でセキュリティと効率化を両立させる仕組み作りを支援しています。
ただツールを入れるだけではない、「人が育つDX」に興味がある方は、ぜひ一度ご相談ください。あなたの会社の「デジタル検品力」、一緒に高めていきましょう。
私は、製造現場の「もったいない」を知るSEとして、その「めんどくさい」に隠された「お宝データ」を発掘し、仕組み化するお手伝いをしています。
「ウチも同じ問題を抱えている」 「何から手をつければいいか、一緒に考えてほしい」
そうお考えの経営者様、ご担当者様。 まずは、あなたの現場の「めんどくさい」を、私に聞かせていただけませんか。
関連記事
