「要人保護(Executive Protection)」とは、さまざまなVIP(最高経営責任者、その他会社役員、議員、プロスポーツ選手、有名人など)を物理的脅威とサイバー脅威の両方から守るための戦略と方法論を表す包括的な用語です。こうしたVIPたちは物理的な脅威の直接の標的となりうる存在なのです。サイバー脅威に関しては、犯罪者は個人情報や認証情報を悪用して機密データや専有データにアクセスするため、経営幹部などは不正行為のパイプ役となることがよくあります。
このため、要人保護は重要な情報を必要とする専門分野として発展してきました。スマートな要人保護戦略とは、物理的脅威とサイバー脅威の両方に対応する必要があります。オープンソースインテリジェンス(OSINT)、つまり一般公開されている情報や商業的に入手可能な情報(PAI/CAI)から得られるインテリジェンスは、物理的およびサイバー脅威のどちらにも必要なのです。
物理的セキュリティの分野では、最適な脅威評価ならびにVIPへの攻撃者に関する情報を収集するためにOSINTが用いられます。これにより、VIPが訪問する会場やその地域の治安状況(犯罪率、現地の法執行能力、異常気象の可能性など)をセキュリティチームがより深く把握できるようになるため、業務上のセキュリティが向上します。
OSINTは文化的感受性の点でも役立ちます。さまざまな国の文化的規範や慣習を理解することで、VIPが誤って主賓や他の人の気分を害することがないようにすることができます。サイバー分野では、OSINTはソーシャルエンジニアリング詐欺、ディープフェイク、根拠のない悪評攻撃、およびVIPとその代表企業を中傷することを目的としたその他の策略を発見して阻止するのに役立ちます。
要人を物理的な脅威から守る
要人に対する直接的な身体的脅威としては、暗殺、その他の身体的暴力、VIPやその親族の誘拐などがあります。間接的な物理的脅威とは誰にでも起こり得るものではありますが、該当する人物が地政学的な混乱や自然災害などの危険な状況に巻き込まれた場合、企業に害を及ぼす可能性のある事象です。
このような脅威は、想像以上に頻繁に現実のものとなっています。
2022年、下院議長の夫がサンフランシスコの自宅で襲撃を受け [1]、加害者は議長を誘拐して尋問することを計画していた極右の陰謀論者 [2] でした [3](攻撃当時、議長は不在でした)。加害者は夫をハンマーで殴り、頭蓋骨を骨折させ [4]、この件で有罪判決を受けました。加害者は少なくとも30年の禁固刑に直面しています [5]。 2019年、元従業員が、技術系企業幹部から大麻起業家に転向した人物をカリフォルニア州サンタクルーズの自宅から誘拐しました。犯人は後に起業家を殺害しました [6]。自動車メーカー、石油会社の経営幹部などは、気候変動活動家やその他の団体からの抗議や暴力に直面しています。
直接的脅威と間接的脅威の両方に対処するには、セキュリティサービスがVIPの安全を確保するための強固な対策を講じる必要があります。
強固な対策には以下のようなものがあります。
リスク評価
セキュリティチームは、潜在的な物理的脅威、特に活動家、不満を抱いている従業員、VIPに代表されるイデオロギーとは正反対のイデオロギーを持つ人々から生じる可能性のある脅威を特定する必要があります。(家族計画クリニックのCEOは過激派宗教団体からの脅威に直面する可能性があり、銃の権利団体の会長は銃規制運動の極端なメンバーからの脅威に直面する可能性があります)。セキュリティチームは、潜在的な脆弱性を発見して軽減するために、経営幹部の日常生活(家庭での生活、毎日の移動ルート、仕事や社会習慣など)の中でこれらの脅威を調査しなければなりません。
住居、交通機関、職場における安全確保
セキュリティチームは、ゲート、カメラ、モーションセンサーで経営幹部の住居を保護します。訪問者の識別ならびに認証の手順を追加のアクセス制御として含めます。現地に警備員を配置する必要性も考慮にいれます。経営幹部の住居には緊急避難部屋(セーフルーム)が用意されていることが好ましいです。
移動中の安全を確保するために、セキュリティと防御運転の訓練を受けたプロのドライバーを経営幹部は雇用するようにします。車両には、GPS追跡システムや緊急通信システムなどの技術に加えて、装甲板、防弾ガラス、ランフラットタイヤが必要です。仕事場やその他頻繁に訪れる場所への行き帰りのルートは、犯罪者が予測できないように、定期的に変更する必要があります。
最後になりますが、職場のセキュリティも重要事項です。経営幹部のオフィスには監視カメラと警報システムの設置が必須になります。経営幹部のオフィスへのアクセスは制限をかけるようにします。セキュリティ要員は、職場内の主要エリアだけでなく、幹部のオフィスにも配置します。全従業員の避難計画や避難経路を含む緊急プロトコルを策定するようにします。
経営幹部の出張にセキュリティを提供
経営幹部の出張は、セキュリティチームにとって特別な課題となります。特定の地域がもたらすセキュリティ上のリスクを十分に理解してそれに備えるには、事前の調査が必要になる場合があります。
検討対象となるリスクには、地政学的シナリオ(テロ活動、抗議、デモ)と自然災害の可能性の両方を含めておきましょう。異常気象は今まで以上に頻発しています。CEOが台風に足止めされるような状況など考えたくないものです。
危機管理
セキュリティチームは、危機が発生した際にその状況を管理するための緊急対応計画を策定する必要があります。計画には、保護チームのメンバー間および法執行機関や医療サービスなどの外部機関との間で信頼できるコミュニケーションを確保するためのプロトコルを含めるようにします。自然災害、医療上の緊急事態、政情不安、テロ攻撃などの緊急事態に対処するための明確な手順も策定する必要があります。
サイバー脅威からの保護
VIPの身を守ることだけが、包括的な要人保護プログラムではありません。経営幹部と彼らが代表する企業をサイバー犯罪から保護できなければ意味がありません。
サイバー犯罪者は通常、経営幹部を標的にして、機密性の高い企業データにアクセスします。こうした攻撃は、企業戦略を危険にさらし、業務を混乱させ、評判を傷つけ、修復に数百万、場合によっては数十億の費用がかかる可能性があります。
2020年に起こった、米国連邦政府機関を含む30,000社以上の公的および非公開企業にシステム管理ツールを提供しているオクラホマ州のソフトウェア企業に対する攻撃を考えてみましょう。ロシアのスパイ活動に関連していると考えられる攻撃者は、プロバイダーのシステムに悪意のあるコードを挿入しました。このコードは、企業が定期的に顧客に送信する更新プログラムを標的としていました。そのため、攻撃者はソフトウェア企業の情報だけでなく、顧客組織に保存されている情報にもアクセスしました。18,000を超える顧客が悪意のある更新プログラムをインストールしました。[7]
影響を受けた組織の中には、米国の国土安全保障省、国務省、商務省がありました。犯罪者が経営幹部のログイン情報を盗みだすために使用したフィッシング、マルウェア、その他の攻撃によって引き起こされた認証情報の盗難は、この攻撃の重要な要素であったと考えられています。[8] ソフトウェア会社とその顧客の修復費用は1,000億ドルを超えると推定されています。[9]
他には、35,000人以上の従業員を擁し、40か国で事業を展開している世界最大のアルミニウム企業の例を見てみましょう。2019年、信頼できる顧客から送信されたと思いこみ、従業員がウイルスに感染したメールを開封しました。(このような間違いは誰にでも起こり得ます。ある裕福な経営幹部が、サウジアラビアの皇太子から送られてきたと思われるWhatsApp動画ファイルを開いた後、携帯電話がハッキングされました[10])。 このメールにより、ハッカーは企業のシステムにコンピューターウイルスを仕掛け、サーバーやPC上のファイルをロックしてしまいました。これらのファイルのロックを解除する代わりにハッカーは身代金を要求しました。同社は身代金の支払いに反対し、大手テクノロジープロバイダーと協力して状況の改善に当たりました。その費用はどの程度だったのでしょう?7100万ドルです。[11]
ソーシャルエンジニアリング攻撃
これらの策略は、社会的慣習や職場のヒエラルキーを悪用して、従業員に機密情報を提供させたり、誤って企業システムへのアクセスを許可させたりします。
ソーシャルエンジニアリング詐欺は、テキスト、インスタントメッセージ、またはEメールを通じて行われます。Eメールを利用した詐欺は「ビジネスメール詐欺」(BEC)攻撃と呼ばれます。フィッシング、スピアフィッシング、またはホエーリング攻撃の一種です。(「スピアフィッシング」と「ホエーリング」は、知名度の高い個人のアカウントを標的とする特定の種類のフィッシング攻撃です。多くの場合、VIPに関する非常に具体的な情報を使用して、メール受信者が送信者を信頼するように仕向けます。)
BEC攻撃は通常、このように機能します。
犯罪者はCEOの部下宛てにメールを送信します。これらのメールは、あたかも経営幹部自身から送信されたかのように見せる工夫がなされています。犯罪者は、認証情報を盗むことで、経営幹部の実際のメールアドレスにアクセスすることがあります。
しかし、多くの場合、サイバー犯罪者は経営幹部の実際のメールにはアクセスできません。なりすましのEメールアドレスを使うこともあります。つまり、該当組織の実際のドメインとよく似たドメインから送られてくるEメールで、ceo@ourcompany.com ではなくceo@ourcoompany.com というように、1文字か2文字だけ異なるようにしています。(2つ目のアドレスのドメインには「o」が余分に付いていることに注意してください)。あるいは、なりすましドメインなど使用せず、メールの上に表示される表示名を経営幹部のものにして、本物を装うこともあります。表示名をCEOの「Jane Smith」に変えることは誰にでもできます。従業員は実際のドメインを見て、メールが企業システムから送信されているかどうかを確認すればいいのですが、そこまでする人は多くありません。ほとんどの人が表示名だけを見て、そのメールが本物だと思い込んでいます。
不正なメールには、従業員が引き込まれてしまうような内容がしばしば書かれています。犯罪者は経営幹部を装い、経理部の従業員に会社から特定のベンダーへの支払いが非常に遅れていることを伝え、特定の口座にできるだけ早く送金するように求めることがあります。(もちろん指定された口座は犯罪者が管理している口座です)。また、重要な投資家会議に出席する直前なのだが、会議で使用するPCに会社の戦略計画書を保存するのを忘れた、と犯罪者は事業部門の責任者にメールを書くかもしれません。責任者にすぐに計画書を送信するよう依頼します。あるいは、コンピュータの問題が発生していて、システムが特定のリンクをクリックするように指示している、というメッセージを犯罪者がIT担当者に送ることもあります。IT担当者はリンクをクリックし、知らないうちにマルウェアをダウンロードしてしまいます。そのマルウェアを通じて、サイバー犯罪者は企業システムにアクセスします。
BEC攻撃では、上司の要請に応えようとする従業員の意欲を犯罪者は悪用します。何かを要請する際に期限を設定することで、従業員がメールの正当性を疑う時間を極力少なくすることができます。
特定の企業において決裁権を持つ者、戦略計画書にアクセス権のある者、IT部門の担当者を犯罪者が把握していることを不思議に思うかもしれません。狡猾な攻撃者は、潜在的な被害者とつながるために、事前に犯罪を計画し、人を騙すためのオンラインプレゼンスを構築します。たとえば、サイバー犯罪者がLinkedInやその他のプロフェッショナルネットワーキングサイトで経営幹部のフリをしてプロフィール(「自作自演」アカウントと呼ばれる)を作成することがあります。その後、犯罪者は経営幹部が勤める会社で働く従業員をこのネットワークに参加するよう招待します。従業員はほぼ必然的に上司からのネットワーク参加要求を受け入れます。
いったん参加すれば、攻撃者は各従業員とそれぞれの責任についてより詳細な情報を簡単に得ることができます。サイバー犯罪者がすべきことと言えば、ネットワーク内の各従業員のプロフィールページにアクセスするだけです。そこまで行けば、「ジェーン、まだオフィスにいるの?」とか、「それとも、ロックヴィルまで車で戻るのかい?」とか、「LinkedInのメッセージに目を通しているみたいだね」、「その戦略計画書が今すぐ必要なんだ!」と、苦もなく尋ねられます。この例では、従業員の故郷の名前といった従業員のプロフィールを見れば容易に得られる情報を口にすることで、攻撃者は自分自身の信頼度を高めます。
他にも以下のような攻撃方法があります。
ランサムウェア攻撃
経営幹部は機密情報や専有情報にアクセスできる立場にあるため、ランサムウェア攻撃の標的になることが多々あります。前述のように、ランサムウェアは企業が自社のコンピューターファイル、システム、またはネットワークにアクセスできないようにするマルウェアの一種です。攻撃者は、これらのファイルやシステムへと再びアクセスできるようにするために身代金を要求します。
中間者攻撃
この攻撃では、情報を盗む目的で経営幹部と他の関係者との間の通信をサイバー犯罪者が傍受します。
ドクシング
企業の行動が好きになれない人物が、インターネットを調べて企業幹部のプライベート情報や個人情報を見つけ出し、その情報を誰もが簡単にアクセスできるサイトに公開することがあります。経営幹部の住所、電子メール、携帯電話番号などの情報が手元にあれば、企業の敵対者が経営幹部への攻撃を計画する可能性が出てきます。少なくとも、経営幹部が私生活において、非常に不快な思いをすることになるでしょう。
レピュテーション攻撃とディープフェイク
経営幹部に危害を加えたり、企業の評判を誹謗中傷する目的で、企業に対してネガティブキャンペーンが実施されることがあります。多くの場合、これらのキャンペーンには虚偽、扇動的、または中傷的な情報が含まれています。経営幹部や企業の信用を傷つけるために、ディープフェイク(またはAIが生成した偽の音声や動画)が使われることがあります。
要人保護:統一的なアプローチ
経営幹部を効果的に守れるかどうかは、物理領域とデジタル領域の両面をカバーする包括的なアプローチにかかっています。Babel Streetがお手伝いいたします。AIを活用したBabel Street InsightsのOSINTプラットフォームは、200以上の言語で公開されているペタバイト単位のPAIとCAIを迅速かつ永続的に検索します。このデータは、数十億のトップレベルドメイン、ディープおよびダークウェブ、その他のソースからなります。これらのソースの中には、SNSプラットフォーム、何百万もの掲示板で生成されたリアルタイムのやり取り、オンラインコメントなどがあります。このプラットフォームは継続的な検索を行い、ユーザーが決定したしきい値に従ってアラートを発します。
これが経営幹部やその他のVIPの身体的保護にどのように役立つのでしょうか?
当社のOSINT監視機能は、脅威や暴力的な意図の兆候がないか情報源を継続的に検索します。こうした兆候には、特定の保護対象者の安全と健康に対する直接的な脅威が含まれる場合があります(たとえば、誰かが 「下院議長とその家族、または環境破壊企業の幹部をこの町で開催されるサミットに出席させてやる。環境保護活動家の皆さん、ぜひご意見を聞かせてやってください!」と書き込みをする、など)。セキュリティチームは、Babel Street のテクノロジーを使用して、自宅や旅行中に経営幹部に影響を与えかねない、新たな政情不安や自然災害といった、より一般的な脅威を探すこともできます。
実際のプロセスはこのようになります。
セキュリティチームはBabel Street のテクノロジーを使用して、保護対象者への脅威を示す可能性のある特定の「危険信号」キーワードを検索します。直接的かつ暴力的な意図があった場合、Babel Street Insightsは投稿者にフラグを立て、記録し、その投稿者の他のオンラインID/アカウントやオンラインアクティビティを検索することができます。Babel Streetは、投降者の表示名と現実の人物を繋げて、その人物の連絡先情報を提供することもできます。当社のテクノロジーはさらに、セキュリティスタッフの目を引く可能性のある活動を行っているグループ(つまり、ある政党に関連する分派グループが、別の政党の悪事を非難している)を特定します。セキュリティアナリストは、Babel Streetを使用することで、個々のソーシャルメディアアカウントと特定のグループに属するソーシャルメディアアカウントの関係をマッピングし、最も影響力のあるアカウントを特定し、それらのアカウントからの投稿を綿密に監視できます。
セキュリティチームは、Babel Streetを使用して世界中の地政学的および地理的状況を監視し、保護対象者のセキュリティをさらに強化することもできます。誘拐の傾向を調べることで、ナイジェリアが貧困、政情不安、宗教的過激主義に拍車をかけ、誘拐の危機に瀕していることをアナリストはすぐに知ることができます。こうした理解を基に、セキュリティチームは経営幹部がその国で開催される会議に出席することを思いとどまらせるよう提言することもできます。また、政情不安や自然災害、暴動やデモが起きやすい地域なども検索で見つけることができます。VIPや企業を脅すようなソーシャルメディアへの投稿やオンライン・ディスカッションを発見し、攻撃を未然に防ぐこともできます。
同様の機能が、セキュリティチームがデジタル脅威を発見し、阻止するのに役立ちます。当社の検索ツールは、ダークウェブを含むインターネットを精査して、盗まれた認証情報の兆候や経営幹部の会社についての言及がないかを調べることができます。これらの言及は、新たなBEC攻撃、レピュテーション攻撃、または中間者攻撃の兆候である可能性があります。Babel Streetはソーシャルメディアを監視して、主要人物に関する情報収集などといった潜在的なソーシャルエンジニアリング攻撃の兆候がないか調べることができます。当社のテクノロジーは、潜在的な脅威活動を示唆する可能性のある企業に関する議論の有無を、チャットルームやその他のフォーラムを監視して調べることができます。
包括的な要人保護は2つの側面から成る取り組みです。VIPの身体的健康と、VIPが代表を務める企業のセキュリティを守るために、セキュリティチームが必要なのです。Babel Streetは両面から皆様のお役に立ちます。
End Notes
1. Rodriguez, Olga, “Man who attacked Nancy Pelosi’s husband also found guilty of kidnapping and faces life in prison,” AP News, June 2024, https://wreg.com/news/nation-and-world/ap-us-news/ap-attacker-of-nancy-pelosis-husband-also-found-guilty-of-kidnapping-and-could-face-more-prison-time/
2. Wikipedia, “Attack on Paul Pelosi,” accessed June 2024, https://en.wikipedia.org/wiki/Attack_on_Paul_Pelosi
3. Ibid
4. Ibid
5. Kopp, Jeffrey, “David DePape found guilty of five state charges in Paul Pelosi Attack,” CNN.com, June 2024, https://www.cnn.com/2024/06/21/politics/depape-verdict-guilty-state-charges/index.html
6. Fetzer, Richard, “Did push-ups and disrespect lead to murder?” CBS News/48 Hours, August 2023, https://www.cbsnews.com/news/tushar-atre-death-did-pushups-and-disrespect-lead-to-murder/
7. Oladimenji, Saheed and Kerner, Sea Michael, “SolarWinds hack explained: Everything you need to know,” TechTarget, November 2023, https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know
8. Ibid
9. Ratnam, Gopal, “Cleaning up SolarWinds hack may cost as much as $100 billion,” Roll Call, January 2021, https://rollcall.com/2021/01/11/cleaning-up-solarwinds-hack-may-cost-as-much-as-100-billion/
10. Briggs, Bill, “Hackers hit Norsk Hydro with ransomware. The company responded with transparency,” Microsoft Source, December 2019, https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/
11. Wikipedia, “Jeff Bezos phone hacking incident,” accessed June 2024, https://en.wikipedia.org/wiki/Jeff_Bezos_phone_hacking_incident
