民間人を巻き込むテロ攻撃が後を絶たない。多くの国際企業に助言する英コントロール・リスクス・グループの日本法人社長の岡部貴士さんは「中東では身近な電子機器が武器となり、甚大な被害を生んだ。
これは再現可能な手口であり、『遠い国で起きた特殊な事件』として片付けてはいけない」という――。
■ポケベルが一斉爆発、3400人超が被害に
いつも手にしている電子機器が、ある日突然、武器になる。
かつてそれは、多くの人にとって映画の中の出来事だった。
映画『キングスマン』(2014)では、悪役が配布したSIMカードを入れた携帯電話が都市全体を暴力に陥れる武器として使われる様子を描いている。
その極端さゆえに、この設定はあくまでフィクションとして消費されてきた。
2024年9月、中東で起きた出来事は、そうした前提を覆した。
9月17日、レバノン各地で親イラン民兵組織ヒズボラ関係者らが使っていたポケベルが一斉に爆発し、翌18日にはトランシーバーなど別の通信機器も爆発した。ロイターの11月時点の集計によれば、この2日間で39人が死亡し、3400人超が負傷した。
■中高年には懐かしいローテク通信機器
ポケベルを知らない世代のために補えば、これは携帯電話が普及する前に広く使われていた小型の受信機だ。
おそらく40代後半から50代前半の世代にはなじみのある機器ではないだろうか。日本では、学生や若い社会人が「0840(おはよう)」や「724106(なにしてる)」といった数字で意思疎通をする独特の文化も生んだ。古いが単純で、それゆえ安全そうに見えるローテクな通信機器である。
ところが今回、そのローテク機器が罠になった。
この事件で、ポケベルはいつものように着信音を発し、多くの使用者がメッセージを確認しようとして手に取ってボタンを押したとき、爆発した。
■イスラエル対ヒズボラの「転換点」
2024年11月には、ネタニヤフ首相の報道官が、この攻撃を首相が承認していたことを明らかにした。2025年2月には、モサド長官ダビッド・バルネアがINSSの国際会議で、この作戦を対ヒズボラ戦の「転換点」と位置づけ、その背景や狙いの一端に言及している。
事件当時、このスキームは謎が多かった。現在もなお、その全容が完全に解明されているわけではない。しかしその後、ロイターやAP通信、ニューヨーク・タイムズなど複数の主要メディアの報道を総合すると、一定の共通した攻撃の構造が浮かび上がってきている。
さらに、英国王立防衛安全保障研究所(RUSI)などの安全保障研究機関の分析も、こうした構造的特徴を補強している。
本稿はこの事件の評価や責任の所在を論じるものではなく、そこから現代企業が得られるリスク対応上の示唆を考察することに焦点を当てたい(なお、見解は筆者個人によるものである)。
■「スマホより安全」という判断の落とし穴
この攻撃が異様なのは、被害の大きさだけではない。
爆発したのは個々の機器であり、組織内の情報伝達機能にも影響を与えたであろう。通信機器への信頼が損なわれれば、連絡は滞り、指示伝達にも遅れが生じうる。
結果として、組織全体の活動に一定の支障が生じる可能性がある。
だが、やっていることは案外地味だ。派手で高度な新兵器の登場ではない。それは、
相手の調達網を読む。

機器の選定過程を読む。

使われ方の癖を読む。

最も効果が大きい瞬間まで待つ。
その積み上げの先に、あの同時爆発があった。
この作戦で、攻撃者は、誰を狙うかを一人ずつ決めていない。相手自身に、組織の重要人物を選ばせたのである。
2024年2月、ヒズボラ指導者ハッサン・ナスララは支持者に向けて、携帯電話は危険だと警告した。壊せ、埋めろ、鉄箱に入れろ。
そう呼びかけた結果、組織はポケベルを広範に配る方向へ進んだ。攻撃者はここに着目したと思われる。組織が通信機器を配る相手は当然組織上の重要人物だ。見方を変えれば、敵に自ら標的名簿を作らせたのである。
■ポケベルメーカーはペーパーカンパニー?
本質は企業でも同じだ。攻撃者が求めているのは、社内で誰が重要かという地図である。だがその地図は、外から盗まなくても手に入ることがある。組織は日々、自分で重要な端末を選び、重要な人に権限を渡し、重要な情報を特定の経路に乗せているからだ。
今回の事件は、その構造を極端な形で見せつけた。
では、その機器はなぜ疑われなかったのか。なぜ「正規品」に見えたのか。
その要因の一つは、機器そのものだけではない。
本物らしく見える背景まで作られていたからだ。
ロイターなど複数の報道によれば、問題の機器は台湾ブランドGold Apolloの型番AR-924として流通していた。一方でGold Apollo社は、実際にそのモデルを製造・販売したのはハンガリーに設立されたBAC Consultingであり、自分たちは利用されたと説明した。
このBAC Consultingという会社は、イスラエル側が設立した製造拠点を持たないペーパーカンパニーだった可能性が高いと報じられている。ブランド、販売主体、製造実態。この三つの関係が、最初から霧の中にあったのである。
■「正規品」に見せるための巧妙な仕掛け
しかし、その後、Apollo Systems HKを名乗るウェブサイトが立ち上がり、Gold Apolloブランドのモデル型番AR-924の製品情報が載せられた。2022年12月と2023年2月には、同名義のYouTubeチャンネルに宣伝動画も投稿されていた。そこでは「高容量のリチウム充電池」が売り文句になっていた。
製品ページがある。動画がある。流通の説明がある。

つまり、検索しても、それらしく見える材料が揃っていたわけだ。
作られたのはただの「偽物」ではない。「まともな会社が作ったまともな正規品のように見える市場環境」である。諜報の世界には、本来の出自を隠して信用させるための偽の身元や経歴を意味する「レジェンド」という言葉がある。今回つくられたのは、機器というより製品のレジェンドだったといえよう。
調達の誘導も抜け目がなかった。Times of Israelは、販売側が価格を繰り返し引き下げ、ヒズボラ側にAR-924を選ばせるよう働きかけたと報じている。またCBSによれば、最初のロットが「無償のアップグレード」として提示されたという。多くの企業は供給網リスクを「誰が作ったか」で考える。だが本当は、それだけでは足りない。「なぜその製品を選んだのか」も、同じくらい危険なのだ。
■見過ごされた「バッテリーへの違和感」
では、なぜ誰も見抜けなかったのか。
兆候は、本当になかったのか。
結論として、兆候はあった。だが、止められなかった。
たしかに、製品自体は巧妙につくられていた。電池パック内部に張り付けられたPETN爆薬はわずか数グラムである。しかも起爆構造には金属を使わない部材が使われた。このため、ヒズボラ側は受領後、空港のセキュリティスキャナーを通すなどの確認もしていたが、それでも異常は見つからなかった。
しかも違和感はゼロではなかった。ヒズボラはバッテリーの減りが早いことには気づいていた。だが、それは「少し出来の悪い製品」として処理された。ここが重要だ。
組織は、異常があるだけでは止まらない。異常を止める仕組みがなければ、止まらないのである。企業でもよくある話である。問題は、兆候があったかではない。リスク兆候に気付いたときにそれを止める力があったか、だ。
■地味で面倒な作戦だからこそ再現性がある
この事件を見て「特殊な話だ」と片づけてしまうのは危ない。
実際、私たちは紛争地での事業継続支援や情報漏洩(ろうえい)対応、サプライチェーンを起点にした不正アクセス対応など、攻撃と防御の現場を見ている。そうした感覚から見ても、今回の事件は決して例外的なものとは言えない。
たしかに、数千台規模の機器に物理的な細工を施し、同時に起動させるには非常に面倒な作業が要る。だが、注目すべきはその再現性だ。
相手の調達ニーズを読む。供給網に入り込む。製品を正規品らしく見せる。相手の運用の癖を知る。少しの異常では止まらないことまで織り込む。分解すれば、この作戦は地味な積み重ねでできている。
実際、サイバー分野の標準をまとめている米国機関(NIST)は、サイバー供給網リスクの例として、偽造品の混入、無許可生産、改竄(かいざん)、盗難、悪意あるソフトウェアやハードウェアの挿入を挙げている。
供給網はもはや単なる納品ルートではない。「攻撃ルート」そのものなのだ。
■考えうる日本企業への「攻撃ルート」
では、日本企業にとって何が怖いのか。
たとえば、妙に条件のいい見積もりが来る。これまで付き合いのなかった窓口が「正規販売」を名乗ってくる。便利すぎるアップグレード提案が届く。保守や更新の手間が減るという触れ込みで、新しい機器やソフトウェアへの切り替えを勧められる。こうした話は、ビジネスの現場では珍しくない。
爆薬の代わりに盗聴機能が入っていたらどうか。バックドアが入っていたらどうか。保守更新を装った不正アクセス手段が仕込まれていたらどうか。
ランサムウェア侵入も、機密流出も、資金移動の不正操作も、ずっとやりやすくなる。怖いのは爆発ではない。信頼された機器と正規の運用が、そのまま侵入口に変わることだ。
見直すべきなのは、価格と納期と品質だけではない。どこで改変されうるのか。どの流通経路を通ったのか。保守や更新の権限は誰が持つのか。
現場は何を当たり前だと思って使っているのか。そこまで見ないと、本当の調達リスクは見えない。
■信じる仕組みそのものが、武器になる
レバノンで起きたポケベル攻撃は劇的な事件だった。だが同時に、再現可能な構造の実演でもあった。
攻撃者が示したのは、道具を爆弾に変える方法だけではない。信頼を攻撃面に変える方法だ。
世間を揺るがせたランサムウェア攻撃でも、入口は案外ありふれている。信頼できそうな一本のメール。正規の更新を装った侵入。見落とされた脆弱性。攻撃者は、技術の穴と人間の信頼の両方を突いてくる。
道具が武器に変わったのではない。
信じる仕組みそのものが、攻撃に使われたのだ。

----------

岡部 貴士(おかべ・たかし)

コントロール・リスクス・グループ日本法人社長

慶応義塾大学卒業後、金融機関を経て、複数のコンサルティングファームで日本企業のリスクマネジメント支援に20年間以上従事。グローバル戦略に最適な組織体制の構築、グローバル企業のアジア全域でのリスク軽減に向けた提言など、様々な業界におけるリスク管理や危機管理のプロジェクトを多数手がける。2021年12月より現職。

----------

(コントロール・リスクス・グループ日本法人社長 岡部 貴士)
編集部おすすめ