「中国最強商社」伊藤忠を襲った身柄拘束
https://business.nikkei.com/atcl/gen/19/00002/021500092/

なぜ、日本企業の在中国駐在員が、スパイ容疑をかけられて逮捕される事例が相次ぐんだろうか。

以前、大学教員だった頃、コンプライアンス関連で科学技術研究費申請の準備のために、自分の会社との「兼業届」を出したら、「悪いことをするに決まっているから」という理由で「不受理」とされた。その時に、ふと思った。多くの人に、自分自身の行動規範を相手に被せて、相手を判断する判断基準にする傾向がある。
相手が「悪いことをするに決まっている」と考えるならば、おそらくその本人が「悪いことをする」傾向があるのだろうと、私は思った。

同じことが国家でも言えるんじゃなかろうか。

https://news.yahoo.co.jp/pickup/6371743
亡命してNY市警に潜入、中国スパイのチベット人を訴追

自国が、海外に住む自国民に「スパイ」行為をするように国家が「指示」を出しているならば、そうした国では、「他国も、我が国に駐在する民間人に、スパイ行為を命じているに違いない」という判断をするのだろう。そうした国に駐在する場合は、相手の「判断基準」を前提に振る舞わない限り、かなり逮捕されるリスクは高い、ということになるような気がする。

国内に視点を戻すと、日本で活躍する中国人は少なくない。中国人SEを何人も知っているし、私自身は彼らが中国人だからどうこう、ということはまったく感じたことはない。

日中往来の知恵
https://ameblo.jp/china-usagi/entry-12420969387.html

ただ、彼らは、もし中国大使館などから「使命」を持たされた場合には、普通の隣人ではなくなるかも知れない。その可能性を考えた時に、ちょっと怖さを感じる。

特に、システムエンジニアリングの領域では、上位システムのサーバなどに接続する場合には、一定程度の権限を持たされたり、元請企業の関係者のメールアドレスなどを知る立場にもある。

一般に、情報システムへの侵入を試みる場合、正攻法でいきなり大企業を攻めようとしても、かなり堅牢なファイアウォールで守られていて簡単には入れないケースが多いと思う。ただ、情報システムの受発注の経緯を見ていくと、元請企業などが100%その社内で業務を遂行できるケースは稀で、下請け、孫請け、さらには、ひ孫請け、4次くらいの下請けまで「誰か、人材はいませんかぁ」という感じで「SE探し」が降りてくることがあって、そこまで降りてくると、私自身も(学校の非常勤教員の仕事を全部切れば、)仕事をさせていただける可能性が(このトシになっても)皆無ではない。実際に、松尾くんはそうした「第n次下請け」の仕事をいただいたりしているし、私も、いざとなったら、金のためなら、非常勤教員はやめて、紹介を受けたいとも思っている。

“デジタル庁 関連政策の集約に期待” 日本貿易会 小林会長
https://www3.nhk.or.jp/news/html/20200923/k10012630491000.html

表向き華々しい「ディジタル化」ではあるし、中央官庁が発注する企業を受注するのは、大企業であったり、天下った官僚OBのいる中堅企業だったりするんだろう。システム統合や集約は、効率化のためには必須ではあると思う。けれども、実際にはそこから、無数の下請け、孫請けに仕事が流れ、当然のことながら、関連企業間のシステム接続や、もっとアナログな、メール連絡先の交換なども行われる。関係者のメールアドレスがわかれば、そこから偽装メールを送りつけてメールサーバへの侵入を試みることもできる。

サプライチェーン攻撃と対策のポイント
https://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2019/11.html

一般論として言えば、大企業のセキュリティは厳しくても、下へ降りれば降りるほど、セキュリティ対策は甘くなるし、外国人プログラマの採用も増えてくると思う。さらに、官公庁の情報システムを受託した中核企業に勤務するSEの、誰か一人がスパイならば、ほぼ全部の情報が抜き取れると思っても間違いがない。
加えて、いきなり「本丸」を責めるハッカーも、そんなにはいないような気がする。本丸だけ守りを固めても、通用口がスカスカなら、苦労して本丸を責める必要なんか何もない。

図らずも、今ググったページに「防衛装備品調達」の話題が書かれていたけれども、僕が「マイナンバーカードへの集約」なんてのにかなり懐疑的なのは、その関連情報システムを支える末端の「ひ孫受け」レベルの会社に至るまで、システムエンジニアや、データ入力要員の管理、その管理以前に「把握」ができているのか、極めて疑問だ、ということがある。

ゆうちょ銀行 デビットカードで不正送金の被害と発表
https://www3.nhk.or.jp/news/html/20200923/k10012630531000.html?utm_int=news-social_contents_list-items_001

特になぁ、データ入力要員とか、システムサポートの枝葉まで含めたら、有象無象の「頭数」が関与してきて、その中に、誰か一人スパイがいたら、もう、やりたい放題されちゃうような気もする。

あたしゃ、とりあえず Suica だけは使っているけれども、他の電子マネーは登録する気になれていない。(登録はしてあっても、残高75円とかね。)
使いたい人に、あれこれ口出しする気もないけれども。ドコモ口座のは、ひどかったなぁ。あれは、銀行側の問題だったような気がする。もう、すべての労働者に対して「悪いことをするに決まっている」という視点で対応しないと、被害は防げないのかも知れない。

たかが、デビットカードですら、このザマなんだもの。マイナンバーなんかで納税情報とか、税金支払い口座情報、診療記録だとか、そんなのが全部抜かれたら、国はどう責任をとるつもりなんだか。あたしゃ、めっちゃ、懐疑的。


追記:これまで、中央官庁がハッキングされて、まとまったデータが抜かれた事例があまり報告されなかった理由の一つに、仕事がエクセルベースで、データが「集約された形になっていなかった」ことがあるんじゃないかと思う。私の口座残高と同じで、せっかく侵入しても、盗めるものが極めて限定的。だから、あまり問題にならなかったんじゃないか、という気がする。

それを、「集約しよう」という動きだから、今後は、盗もうと思ったらかなり価値のある情報がそこに存在することになる、っていうことなんじゃなかろうか。