*9月12日に開催されたウェビナーの内容をもとに編集・再構成を加えてあります。
ランサムウェア攻撃によるパラダイムシフト
山口 サイバーセキュリティの世界には国家機関だけでなくハッカー集団や自警団のようなものもいますが、その動向についても伺いたいです。
松原 昨年5月、アメリカに対する大規模なランサムウェア攻撃が立て続けに起きました。1つはアメリカ東海岸の消費しているエネルギーの45%を供給するコロニアル・パイプライン社へのランサムウェア攻撃で、エネルギー供給が止まったことでアメリカン航空が航路を変えなければならなくなったり、ガス欠になったガソリンスタンドで人々が殴り合いの大騒ぎを起こしたりと、1社を狙ったサイバー犯罪にもかかわらず、単なる金銭目的の犯罪にとどまらない国家安全保障上の問題に発展しました。
その後、JBSという世界最大手の食肉加工会社にもランサムウェア攻撃が起き、私たちの生活に欠かせない食べ物のサプライチェーンが止まってしまった。
アメリカ政府のショックは相当なものでした。警察が対処すればいい犯罪だと思っていたランサムウェア攻撃は、実は安全保障問題だったのだとパラダイムを変え、ジョー・バイデン大統領が自ら経済安全保障問題である、国家安全保障問題であると何度も会見で訴えた。さらにウラジーミル・プーチン大統領ともジュネーブで昨年6月に首脳会談を行い、すぐに攻撃を止めさせるよう求めました。
犯罪者の金銭目的の行為が首脳会談マターに発展した背景には、歴史的な経緯があります。そもそもランサムウェア攻撃者は旧ソ連圏のロシア語話者に多いと言われています。共産圏は理数系に力を入れていたので、ITやサイバーに通じた若手人材が多いにもかかわらず失業率が高く、日々の糧を稼ぐために悪の道に手を染めてしまう人もいる。そのうえ、ロシア国内の組織に対してサイバー攻撃を仕掛けるのでなければ、逮捕されることもない。それに対して民主主義国家は、ロシア政府が黙認しているのではないかと苦情を言ってきましたが、ロシアは手を打ってこなかったように見える。その黙認が見過ごせないところにまで発展したのが、コロニアル・パイプラインの事件でした。
日本のサイバーセキュリティ能力は低くない
小泉 どの国にとってもサイバーは国家安全保障上、避けて通れない”新しい日常”になっているということだと思うのですが、日本のサイバー安全保障について伺います。
以前、松原さんはインタビューで、決して日本のサイバー安全保障のレベルは低くないとおっしゃっていましたが、諸外国の事例から日本が改善すべき点などはありますか。
松原 日本のサイバーセキュリティ能力が低いのではないかとよく聞かれるのですが、日本のサイバー能力は恐らくみなさんが思っているほど低くはありません。
その証左となるのが、昨年の東京オリンピック・パラリンピックです。日本はサイバー攻撃に耐えきれないのではないかという報道が欧米でも出ていましたが、蓋を開けてみたら、ロンドンオリンピックの倍以上のサイバー攻撃があったにもかかわらず、大会運営に支障をきたすようなサイバー攻撃被害を全て防ぐことができた。これは画期的です。これまでのオリンピック・パラリンピックもサイバー攻撃に晒されてきましたが、大会運営に支障をきたさなかったのは東京が初めてです。「怪しいメールを開かない」などの基本動作を関係者に研修で徹底させ、技術的にも防御の網を張り巡らせるということをコツコツ続けてきたおかげで被害を防ぐことができた。
もちろん昨年大丈夫だったから今年も来年も大丈夫とは言いきれませんが、日本も自信を持つべきですし、日本が続けてきた地味ではあるが大事な取り組みを今こそ英語で教訓として発信すべきだと思います。
攻撃国との単純比較は適切ではない
松原 では、日本がなぜサイバーセキュリティ能力が低いと言われるのかと言うと、1つは予算、もう1つはサイバー部隊の規模、そして日本政府からの発信の問題です。
予算は日本とアメリカで2桁くらい違いますし、政府の発信もたくさんあるわけではないので、国民は不安になる。サイバー部隊の規模も、アメリカは6500~7000人、中国は数万人規模、北朝鮮も6000~7000人いると言われる。
ただ、そこで考えなければならないのは、民主主義国家とロシアや北朝鮮といった国々とのサイバーセキュリティに対する考え方の違いです。後者は、民主主義国家の知的財産を盗んで自分たちの産業力を強めようとする、個人情報を大量に盗んで自分たちのサイバースパイ活動に利用する、あるいは選挙に介入して世論を分断したり結果を変えようとしたりするためのサイバー攻撃を行い
ます。日本はそういった能力は今も持っていないし、これからも持たないでしょう。サイバーセキュリティ人材や予算の付け方が根本的に違うにもかかわらず、同じ定規でサイバー能力を測れるものなのか。
もちろん様々な悪意を持って日本に攻撃を仕掛けてくる国が複数あることは事実であり、それに対する日本のサイバーセキュリティ防御能力が政府や自衛隊、防衛省、民間企業で足りているかというと議論の余地がある。それは今後の国家安全保障戦略の改定や防衛予算の配分のところでも議論すべき点だと思います。
混乱する「アクティブ・ディフェンス」の定義
小泉 防戦一方では守り切れないというのが物理空間の軍事戦略で、だからこそ敵地攻撃能力を持つのか、いやそれは憲法違反だという議論になっているわけですが、いずれサイバー空間に関しても同じような議論になっていくのかなという気はします。
山口 そうですね。また、よくアメリカやイギリスの安全保障関係の人たちからは、日本に情報保全、インフォメーションセキュリティに力を入れて欲しいという声を聞きますね。
小泉 物理空間の敵地攻撃についてはある程度、具体的な議論が進んできていますが、日本がサイバーセキュリティ戦略としてアクティブ・ディフェンス能力を持つことは可能なのでしょうか。
松原 「アクティブ・ディフェンス」というのは曲者の用語なのです。「アクティブ・ディフェンス」と「アクティブ・サイバー・ディフェンス」という用語があり、それぞれアメリカ政府が全く違う定義をしている。
アクティブ・ディフェンスは攻撃される前にこちらから攻撃をする、攻撃を受けたらやり返すというものですが、一方のアクティブ・サイバー・ディフェンスは、米国家安全保障局(NSA)のウェブサイトでは「攻撃能力ではない」と明記されています。では何なのかと言うと、どのような攻撃の手法が使われているのか、どのような攻撃がありそうなのか、どういった脆弱性を突かれて侵入されそうなのかというインテリジェンスを常に収集し、実際にサイバー攻撃被害を受ける前に先取りして防御の穴を埋め、攻撃の可能性や被害を最小化していくことと定義されている。
国際的に尊敬されているサイバーセキュリティ教育機関のサンズ(SANS)も同様の見解で、日本政府の内閣サイバーセキュリティセンターが出しているサイバーセキュリティ戦略の脚注にも似たようなことが書いてありますが、日本の報道では「アクティブ・サイバー・ディフェンス」を「反撃能力」と定義づけしている。米国などとの協力で誤解が生じないよう、まず日本がすべきなのは定義を確立することだと思います。
では、一般的に戦争下でのサイバー攻撃に対してどのようなことをできるかと言うと、1つは防戦のみの対処で、コンピュータウイルスなどが見つかった段階でそれを取り除き、次の攻撃に備えるというもの。
もう1つは、アメリカがハント・フォワードと呼んでいる手法であり、相手がコンピュータウイルスをインフラやネットワークに忍ばせてきていることを見越して、それを積極的にハントし、発見しては取り除くというものです。実際、フィナンシャル・タイムズ紙の報道によると、ウクライナへの侵攻が始まる半年前にアメリカ軍と民間企業がキーウに行って鉄道システムからワイパーを削除し、そのお陰で開戦直後にウクライナ市民の鉄道を使った国外避難が可能になったと言われています。これは必ずしも攻撃とはみなされず、反撃というよりは防御の一環とされます。
さらにもう1つ上の段階を行って、相手の装備品や装備品を動かすためのITシステム、あるいはこちらの位置情報を把握するために使われているITシステムなどに侵入し、軍事ITインフラをダウンさせることも1つのやり方です。
日本に宣戦布告した「キルネット」
山口 ここで参加者からの質問です。ハッカー集団「キルネット」が日本に宣戦布告しましたが、今後どのような展開になりそうでしょうか?
松原 キルネットは親ロシア派のハッカー集団であり、ロシアのウクライナへの軍事侵攻が始まった直後の3月頃からウクライナやウクライナを支援する国々へのサイバー戦を宣言してきました。使っている手法はDDoS攻撃であり、ウクライナの味方をし、ロシアに対して悪意を持った行為をしているとみなしたアメリカ、ドイツ、イタリアなどの国に攻撃しています。今までに最も長くDDoS攻撃を続けたのが、カリーニングラードの貨物列車の通過を禁じたリトアニアに対するもので、10日間にわたり断続的にDDoS攻撃を続けました。
DDoS攻撃は、攻撃によってウェブサイトがダウンする、サーバーが使えなくなってサービスが停止することはありますが、対処の取りようがあり、対処すれば攻撃の効果は続かないので、長期化することは考えにくいと思います。
ロシアのサイバー部隊は疲労困憊?
山口 もう1つ参加者からの質問です。ウクライナにおける新規のワイパー攻撃が見られなくなりましたが、ロシアのヘルソンからの撤退と関係しているのでしょうか?
松原 ウクライナのビクトル・ゾラ情報保護局副局長は、少なくとも今までに10種類のワイパー攻撃があり、今後も新たなものが仕掛けられてくるのではないかと危惧していると話しています。日本ではここ最近ワイパー攻撃に関する報道は出ていませんが、ロシアのサイバー攻撃能力を見ると、出し惜しみの疑問はさておき注意はしておいた方がいいと思います。
小泉 今回の物理空間における東部ハルキウでの大突破でもそうですが、戦争は相手を出し抜くことを繰り返してやり抜くものだと思うので、これまでロシアのサイバー攻撃が低調だったから今後も大丈夫だと考える根拠はない
日本はこれまで大規模なサイバー攻撃で社会がめちゃくちゃになることはありませんでしたが、中国とロシアの本気がこの程度だという保証はない。日本は国家レベルの大規模なサイバー攻撃を受けたことがないので、耐え切れるかどうかはやってみないと分からないですよね。
松原 ロシアのサイバー攻撃が低調のように見える理由について、ビクトル・ゾラが興味深いことを欧米メディアに話しています。
ロシアによる侵攻直後にフョードロフ副首相の呼びかけでウクライナのIT軍がつくられましたが、そのIT軍がロシアに対してDDoS攻撃を含むサイバー攻撃を仕掛けることで、ロシアのサイバー部隊が防戦一辺倒になり、攻撃にまで手が回らなくなっているのではないか、と。
ただ、おそらく防御を担当する人と攻撃を担当する人は違うので、必ずしもそうではないのではないかなと思いました。
また、エストニアのシンクタンクが発表したワーキングペーパーによると、ロシアのサイバー部隊がいろいろ攻撃をしたもののうまくいかないので、疲労困憊して“お休みモード”なのではないかという意見をお持ちの研究者もいました。
小泉 ロシア人がすねちゃった(笑)。ロシア系住民の多いエストニアの人たちはロシア人の気質をよく理解しているので、本当にそうなのかもしれません。
地上の物理的な戦争では攻撃と防御を同じ兵隊が行うので、こちらから攻めて相手を忙しくさせておけば攻勢に出られないというのはなるほどと思ったのですが、サイバーの場合は攻撃と防御が分かれるのですね。
松原 恐らく分かれると思います。
経済安保とサイバーセキュリティ
山口 経済安全保障の文脈でサイバーセキュリティについて注視すべき事例はあるか、という質問もいただいています。
松原 経済安全保障推進法案が成立する前から警察庁、警視庁、複数の県警で経済安全保障のタスクフォースが立ち上がり、地元の大手企業や業界団体に具体的な被害や対策に関する話をして注意喚起し、被害を最小化しようという取り組みをしています。司法と地元の企業が一緒に対処しようという動きが公に出てきたのはこれが初めてで、非常にいい試みです。
サイバーセキュリティは大事だから皆さん頑張りましょうと抽象的に言われるよりも、自分と同じ業界がこれだけ被害を受けていて、こういった情報が筒抜けになったという生々しい話を聞いた方が、同じ被害を出さないために何らかの手を打とうという気持ちになる。
また、経済安全保障上のサイバーセキュリティで私が注目しているのは、ソーシャルメディア上のサイバースパイ活動です。人事やヘッドハンター、会議の主催者を名乗る偽のアカウントから「あなたは優秀な人材なのでぜひわが社に来てください」「カンファレンスに参加してください」というメッセージがソーシャルメディアで届くと、メールよりもガードが低く、リンクをクリックしやすい。アメリカのサイバーセキュリティ企業「Trellix」は、今年、とりわけ経営層をターゲットにしたものが増えると指摘しており、気を付けたほうがいいと思います。
サイバーセキュリティ教育と人材育成の課題
山口 サイバーセキュリティに関する教育も重要になってくると思います。小学校などのもっと早い段階から国民にサイバー教育をすべきではないかという声も聞かれますが、教育や人材育成についてどのような課題がありますか?
松原 アメリカやイギリスでも、サイバーセキュリティ教育を子どもの頃から行った方がいいという声がありますが、大人にも分かりにくいサイバーセキュリティを子どもにどう教えられるのかという課題があります。私が注目しているのが、漫画仕立てで中小企業の経営層向けにサイバー攻撃の対策について紹介している東京都の取り組みです。こういった取り組みは、年齢層を広げて子ども向けの教材にも生かせるのではないかと思います。
山口 最後に小泉さんと松原さんから総括をお願い致します。
小泉 かつては安全保障の話をする時にはミサイルや戦車について話せばよかったのですが、今ではコロナから気候変動、サイバー認知領域まで多様な安全保障を考えなければいけなくなってきている。サイバーは何の話をするにも関係するので、独立した1つの領域と言うよりは、いろいろなドメインに繋がるルートの基幹部分。
その意味でサイバーの重要性はますます増していくと思いますし、もうサイバー安全保障を特別なものとして捉えていてはいけないのだろうと思います。ミサイルや戦車の安全保障と同じように当たり前のようにサイバーが考慮されないといけないフェーズに入っているのだと改めて感じました。
松原 ウクライナで続いている戦争を見ていてつくづく思うのは、サイバーだけ見ていてもダメだということです。軍事や歴史的な経緯も分かっていないといけないですし、日本語の情報は限られるので英語やロシア語、ウクライナ語などの語学も必要。そのうえ、サイバーセキュリティと一口に言ってもワイパーやDDoS攻撃、インテリジェンス、国際法や憲法など多岐にわたりますが、それを全て1人で分かっている人は世の中にいません。
それを認めたうえで日本政府として、あるいは企業や大学として、多様な人材をいかにチームに取り入れ、今後の安全保障、サイバーセキュリティに取り組むのか。全ての分野に対処するだけの資金が無尽蔵にあるわけでもないので、優先順位をつけなければなりませんが、そのためには戦術的判断のできる人と戦略的判断のできる人が両方必要です。
アメリカやイギリスには、サイバーを戦略的に分析して研究できるポジションが多くありますが、日本にはそれほどありません。日本をとりまく安全保障環境、サイバーセキュリティ環境が厳しいものになっている中で、幅広くサイバーを見られる戦略的な人材をいかに確保するのかも重要です。
今回このようにサイバーセキュリティの課題やチャンスについてお話しさせていただきましたが、関心を持っていらっしゃる方がこれだけいるということは心強いです。皆様がお持ちの強みや知見を活かして一緒に戦っていければなと思います。
記事全文を印刷するには、会員登録が必要になります。