サイバーリスク：インフォデミックと注意すべき点のヒント

英国では 5G のアンテナから出る電磁放射線が感染症の原因であるというデマが拡散し、通信事業者の作業員への攻撃や 5G のアンテナが少なくとも20台燃やされるなど攻撃が相次いだ。アンテナを破壊しても COVID-19 は止められないのにだ。

デマは時として生命や事業継続をも脅かし、企業は事業停止に伴う機会損失やブランド価値の毀損といった莫大な損失を伴う可能性もある。今回はこのインフォデミックと、これら情報との付き合い方について考えていきたい。

偽情報拡散160年の歴史

これまでのパンデミック時に起こった偽情報の拡散と今回とで決定的に異なること。それは「スマホ」の普及だ。

やはり 5G が感染症を拡めているのか！？

そういうわけではない。
スマホなどが普及したことでソーシャルメディアが身近なものとなり、多くの人たちがより多くの情報を収集し、そして発信することができるようになった。当然、ソーシャルメディアの活用によって正しい情報も多くの人たちに共有されるが、偽情報も同じように多くの人たちに共有されていく。

ちなみに2018年に実施された研究調査（*1）によると、ソーシャルメディア上に流れる健康情報の4割は偽情報だったそうだ。何もここでソーシャルメディアを槍玉にあげようというわけではない。偽情報ではなかったほうは事実である。しかし、ソーシャルメディアを介して効率的かつ広範に偽情報が拡散されてしまうことは、冒頭申し上げたような生命や事業継続をも脅かすことになっている。

2020年2月15日には、WHO事務局長がミュンヘン安全保障会議での講演でインフォデミックにも言及している。欧州などでロックダウンが始まる前であり、今回のパンデミックにおける比較的初期の段階から問題視されてきたのだ。

さて、このような公衆衛生と偽情報の問題が論じられるようになったのは、いつ頃からなのだろうか。

1860年代の英国において、予防接種法への反対運動として組織だった偽情報の拡散が行われたことが、少なくとも初期の事例として知られている。（*2）そして今回のパンデミック下では、偽情報拡散160年の歴史上最も効率的かつ広範に偽情報が拡散しており、インフォデミックという脅威にまで発展している。

善意からの拡散

現在 WHO のウェブサイト（*3）にインフォデミックの事例が紹介されているので、いくつか読み上げてみよう。

「5G通信がコロナを拡めている」
「10秒以上息を止めることができればコロナではない」
「頻繁な飲酒がコロナ予防になる」

これらはデマだから注意するよう喚起がなされている。冷静な時であれば、多くの人たちがいずれも荒唐無稽な話だと気付けるような話だろう。しかしパニック状態で合理的な判断ができない状況では、このような情報であっても信じてしまったり、善意からこれらの情報を家族や友人へと伝えなくてはという心理が働き、偽情報の拡散に加担してしまうこともある。

WHOの事例では掲載されていないが、インドでは「13億人で拍手しよう」というものもあった。世界中の都市で行われている、医療従事者への感謝を伝えるためのイベントのことではない。インドの13億人が拍手すれば、その振動でウイルスを破壊できるというデマだ。しかもソーシャルメディアで4000万人のフォロワーを抱えるボリウッドスター（映画俳優）までもが、その情報拡散に加担してしまった。良かれと思ってだ。

つまり、インフォデミックとは偽情報が悪意で拡散されるばかりではない。勘違いであったり、誤った情報を善意のもとに拡散してしまうといったことも起きている。

事業停止リスク

インフォデミックによって群衆が暴徒化すれば 5G アンテナのように破壊されることもあるし、問い合わせが殺到することでコールセンターや Web サーバなどがパンクしてしまうこともある。

2015年にウクライナの電力会社を狙ったサイバー攻撃では、問い合わせ窓口であるコールセンターに悪意ある者が電話を集中させることで回線がパンクし、利用者からの問い合わせができない状況になった。利用者からの問い合わせができないため、停電などの異変を知らせる利用者からの問い合わせが妨げられ、攻撃の発覚を遅らせることで3時間ものあいだ停電状態がつくり出されてしまったのだ。このことで140万人が影響を受けたとされている。

もしインフォデミックによって、パニック状態となった群衆が予想外の行動を取れば、危機的な状況への初動対応も遅れかねないし、何らかの実害にまでおよぶこともあるだろう。サーバなどが計画外の停止をしてしまった場合、1分あたり平均 $8,851（$1=¥110換算でおよそ97万円）もの損失となる。（*4）万が一、企業の IT 環境が停止するようなことがあれば、莫大な損失へと繋がる。

それではここで問題。

仮に2日半におよぶ計画外の停止があれば、その損失はどのくらいのものになるだろうか？

35億

2日半におよぶ計画外の停止があった場合の損失。

答えは「35億」だ。
（35億円 ≒ $8,851 × 60分 × 24時間 × 2.5日 × ¥110）

近頃引退された芸人さんの決めゼリフのような数字であるが、停止期間を3時間ではなく2日半とすることで、意図的に誘導させていただいた。

意図的に誘導させていただいたのは、金額の数字にではない。停止していた時間だ。

ウクライナでの停電は旧型の送電システムであったため3時間で復旧できたが、日本のように新しいタイプのシステムで同様の被害に遭えば、復旧までに数日から数週間を要することが考えられる。そして、電力会社に限らず今回のパンデミックによって在宅勤務の環境も整えているし、デジタルトランスフォーメーション（DX）や IoT などであらゆるモノが IT を介して繋がっている。そのような環境が停止してしまえば、復旧に要する時間は莫大なものとなり、その影響範囲もより広範に及ぶことだろう。

つながるリスク

IT によってヒトとヒト、ヒトとモノ、モノとモノとが複雑に繋がりあっている現在。私たちは多くの恩恵を享受していると共に、悪意ある者たちもその恩恵を享受している。また、インフォデミックのように偽情報が拡散されることもあれば、良い情報が拡散されることもある。

そして引き起こされる予想外の問題とは、潜在的に抱えてしまったリスクによって引き起こされる。特に、IT によって繋ぎ込まれた潜在的なリスクは、いま大きな問題となっている。

つながる先が抱えるリスクを取り込んでしまう。

他社での運用上のミスや他社の脆弱性が自社に影響することもあるし、他社でのコンプライアンス違反に伴う責任の追及が自社に及ぶ可能性もある。そのためリスク評価がより複雑なものとなっており、サイバー保険などでも保険料の高騰や契約をより難しいものへとしている。もちろん他社から自社にリスクが取り込まれることもあるが、自社から他社にリスクをもたらしてしまうことにも注意が必要だ。

これらの「つながるリスク」に対して、まずはサイバーリスク・デューデリジェンスなどを実施してリスク評価を行い、その上でダウンタイムを最小化し、経済的損失を最小化するための方策を検討しなくてはならない。

あらゆる局面での善悪が、IT によって繋ぎ込まれている。

脚注

*1 https://www.sciencedirect.com/science/article/abs/pii/S2211883718300881

*2 https://www.bbc.com/news/uk-england-leicestershire-50713991

*3 https://www.who.int/emergencies/diseases/novel-coronavirus-2019/advice-for-public/myth-busters

*4 https://www.vertiv.com/globalassets/documents/reports/2016-cost-of-data-center-outages-11-11_51190_1.pdf