内田助教授によれば、国内では大学や企業にかなりのボットが存在しているという。また、定年退職した人に、PCを無料提供するのでインターネットを楽しまないかと誘い、そのPCにボットを仕込んでおく、という例があるのだという。内田助教授は「事実かどうかは分からない」としつつ、「かなり確かなソースから得た情報なので、おそらく実際にある」という。企業内では、退職する人がボットを残していくこともあるのだそうだ。

ただ、内田助教授が最大の問題点としてあげるのは「人間」だ。情報セキュリティのガイドラインBS7799には、非常に強固なセキュリティシステムに侵入するための最良な方法として、従業員にワイロを送ることと記されており、「情報システムの最大のセキュリティホールは人間」(同)というわけだ。

その端的な例として内田助教授は、1994年にCSI Conferenceで開催された電話会議「Meet the Enemy」(ハッカーと語ろう)を挙げる。これは内田助教授も参加していたハッカーたちの会議だが、そこに電話会社のオペレーターが飛び入りで参加、一人のハッカーが、そのオペレーターからユーザーIDとパスワードを聞き出してしまったそうだ。「間の取り方、聞き出し方、聞き出した後にオペレーターを外す(＝電話会議から退場させる)やり方など、ここまでやられたら我々はどれだけプロテクトできるか」と内田助教授が言うほど、そのハッカーの手腕が優れていたようだ。こうしたソーシャルエンジニアリングの攻撃は、日本国内では1981年に某相互銀行、1985年に某郵便局で実際に行われ、それぞれ3,500万円、1,100万円の被害が出たという。いずれも従業員をうまく引っかけて、しっかりと確認せずに入金操作をしてしまい、それを引き出されて盗まれた事例で、どちらも犯人は捕まっていないそうだ。

今回の講演タイトルにもなっている「The Day After...」は、米国防総省がまとめたサイバーテロに関する報告書のタイトルだ。報告書では、サイバーテロによって鉄道、金融、航空といった分野に多大な被害が出ると指摘、米国はサイバーテロに対してきわめて脆弱と結論づけていた。日本国内だけでなく、セキュリティで進んでいるといわれる米国でも、セキュリティの問題は多い。内田助教授は、病気の治療法として根本療法・原因療法・対症療法の3種類があると指摘、ウイルス対策やIDS(侵入検知システム)などが対症療法の典型といい、現在はよりインテリジェントに侵入を防止するIPS(侵入防止システム)のような原因療法的なものが登場してきている。これをさらに進め、OSからいかにバグをなくすか、ソフトウェアエンジニアリングを防止するかなど、根本療法をさらにしっかりと考える必要がある、と講演をまとめた。