記事

国家によるサイバー攻撃からのセキュリティ - 川口貴久 / 国際安全保障

1/2

※本稿の見解は執筆者個人のもので、いかなる法人・グループ・組織の見解を代表しません。

サイバーセキュリティ分野で「プリズム(PRISM)」といえば、エドワード・スノーデン(Edward Snowden)の暴露によって明白となった米国家安全保障局(National Security Agency: NSA)が運用する監視プログラムのことである。PRISMはインターネット上でMicrosoft、Google、Yahoo!、Facebook、YouTube、Skype、Apple等が提供するウェブメッセージ等のメタデータ(注1)をユーザが知らぬ間に収集したとして、批判の的となった。

多くの人は、自分が利用しているウェブサービスのメタデータが収集されるのは嫌だろう。しかし、それはテロの予防等に役立っている場合もある。

「セキュリティもプライバシーも重要だ」という意見は多くの人が同意するだろう。だが、実際に両者の均衡点を模索し、政策に収斂させることは容易ではない。シリーズ「安全保障をみるプリズム」の主旨の通り、セキュリティかプライバシーかという二者択一の選択は現実的ではなく、両者の間にはグラデーションがある。民主的社会ではグラデーション上の均衡点を模索するために自由闊達な議論が行われる。

そこで、本稿は「安全保障をみるプリズム」シリーズの主旨に則り、安全保障を論じる際の一つの視点を提供したい。具体的にはサイバーセキュリティ問題、特に国家によるサイバー攻撃の問題をとりあげる。

実際、サイバー攻撃のほとんどは犯罪者や愉快犯によるものである。だが、最も洗練されたサイバー攻撃を行う主体は主権国家である。国家がサイバー攻撃のために投入するリソース(資金、要員、技術資産(例えば「未知の脆弱性」等))は犯罪集団や個人のそれを大きく凌駕し、強力な国家意思と官僚機構がサイバー攻撃の活動サイクルを支える。こうしたサイバー攻撃は単なる個人情報漏洩や資金窃取に留まらず、産業社会や民主社会を破壊する効果を持つものもある。それゆえ、国家によるサイバー攻撃とその対処を本シリーズで検討すべき安全保障上の論点の一つとして扱う。

本稿はまず、国家によるサイバー攻撃のうちに特に重要なものを整理し、こうした脅威からセキュリティを確保するための手段、そして、これを実現するための論点を提示する。

1.国家によるサイバー攻撃

国家によるサイバー攻撃といっても、国家の関与度は様々である。①最高指導者による承認と国家による直接指揮がある場合、②国家が「代理人(proxy)」に財政的・技術的支援を行い、攻撃を奨励する場合、③国家が「代理人」による攻撃を看過する場合(消極的関与)等である。国家は「代理人」を用いることで、サイバー攻撃への関与や責任を否定できる。

では、どの国家がサイバー攻撃を行っているのか。極論すれば、ある程度の資源を持つほぼ全ての国家(恐らく日本を除いて)がサイバー攻撃を行っている。FireEyeやCrowdStrike等のセキュリティ会社は、国家が関与するサイバー攻撃グループを特定し、評価・分析を行っている。例えば、上記2社はロシア連邦軍参謀本部情報総局(GRU)との関係が示唆されるグループにそれぞれ「APT28」「Facny Bear」、中国国家安全部(MSS)との繋がりがあるとみられるグループに「APT10」「Stone Panda」と名付け、こうしたグループの脅威情報や動向を公開している。

米国も同様にサイバー攻撃を行っている。イランの原子力関連施設の遠心分離機を破壊したマルウェア「Stuxnet」(2010年)は米国とイスラエルによる共同開発、一部でのオランダの協力があった可能性があったと報じられた。

国家によるサイバー攻撃はどのようなものか。多様な形態があるが、特に重要と考えられるのは次の分野である。

重要インフラの機能停止

第一に、重要インフラ機能を停止させるようなサイバー攻撃である。日本では、金融、通信、鉄道等の14分野が重要インフラ(サイバーセキュリティ基本法にいう重要社会基盤事業者)に指定されている。重要インフラの中でも「電力」は最重要の一つである。電力は他の重要インフラが機能する前提であり、これが停止すれば他の重要インフラもサービス提供を維持することが難しい。

その電力分野がサイバー攻撃の対象となっている。ウクライナでは2015年12月および2016年12月、サイバー攻撃による広域停電が発生した。米国でもサイバー攻撃による停電の準備活動が確認された。米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、遅くとも2016年3月以降、「ロシア政府のサイバー攻撃アクター」が電力、原子力等の重要インフラを標的としたことを公表した。DHS産業用制御システム・セキュリティの最高責任者ホーマー(Jonathan Homer)氏は、2017年時点で「彼らはスイッチを入れたり切ったりできるポイントまで達していた」と述べた。(注2)

2019年3月5日には、サイバー攻撃によって米国西部の電力管理センターと発電所で停電が生じた。これは小規模であり、大規模停電や5分以上の停電には至らなかったし、国家アクターが実行したかは定かではないが、米国の電力網に対するサイバー攻撃で初めて停電を引き起こしたものだった。

商業的優位性を得るための知的財産窃取

第二に、商業的優位性の獲得や自国産業の振興のために外国民間企業の知的財産を狙ったサイバー攻撃である。驚くことではないが、政府や情報機関が他国政府や情報機関に対して諜報活動の一環としてサイバー攻撃を行うことは明示的に禁止されていない。問題となっているのは、国家が外国の民間企業に対して、経済的動機に基づくサイバー攻撃を行うことである。(注3)民間企業は事業で得られた利益の一部を再投資することで、新たな技術や知的財産を生み、これらが事業の拡大や発展に貢献している。経済的動機に基づくサイバー攻撃は、こうした企業の再投資プロセスや持続性を根底から覆すものである。

初代米サイバー軍司令官のアレグザンダー(Keith Alexander)将軍はかつて、中国からのサイバー窃盗を「史上最大の富の移転」と呼び、警鐘を鳴らした。セキュリティ会社や米司法当局の見立てでは、中国発のサイバー攻撃の対象は、中国がその時々重視する産業分野、つまり「戦略的新興産業」(第12次5カ年計画(2011-15年)や中国製造2025「10大重点産業分野」(2015年5月)と一致している。

この類のサイバー攻撃は昔から確認されていたが、遅くとも2013年までに米国内ではこの問題が顕在化し、米中首脳会談の主要テーマとなった。紆余曲折はあったが、2015年9月の米中首脳会談で、米中両国は互いに「企業や商業セクターに商業的優位性を与えることを意図して、営業秘密やその他ビジネス上の機密情報を含む知的財産を、サイバー空間を利用して窃取せず、また故意に支援しない」ことで合意した。しかし米政府の評価によれば、この合意は一時的に効果があったものの、もはや破綻している。(注4)

中国によるサイバー窃盗が続いていることを示唆する証拠は多い。例えば、2017年4月以降、匿名の脅威分析チーム「Intrusion Truth(入侵真相)」は、中国発のAPTを徹底的に調査し、結果を公開している。(注5)また日本、米国、カナダ、英国、豪州、ニュージーランド、ドイツ等は2018年12月、民間企業の知的財産を窃取しているとして、前述のサイバー攻撃グループ「APT10」(別名Stone Panda等)を非難した。

選挙や民主プロセスへの干渉

第三に、人々の意思決定や民主制度に対するサイバー攻撃である。正確に言えば、「サイバー攻撃」に限定するのはミスリードで、実際には偽情報流布や政治広告といった広範な「影響工作・浸透工作(influence operation)」である。

この典型例は2016年米大統領選挙である。米国情報機関による調査報告および司法当局による捜査報告書等によって明らかになったのは、ロシアからの組織的かつ継続的な選挙干渉の事実である。攻撃者は単に特定の大統領候補の当落に留まらず、米国市民の民主プロセスや選挙の信頼を損ねることを意図していた。(注6)こうした選挙干渉は古くから確認されていたが、デジタル技術の活用によってかつてない規模と効果をもたらすものとなっている(この問題については稿を改めて論じたい)。

2.国家によるサイバー攻撃から、いかにセキュリティを確保するか

このように国家によるサイバー攻撃は単なる情報漏洩や資金窃盗に留まらず、社会の重要インフラ、産業発展、民主主義に影響を与えうるものだ。では、どのようにして、国家によるサイバー攻撃からセキュリティを確保すべきだろうか。

「武力攻撃」相当のサイバー攻撃への対処としての「妨げる能力」

1つのアプローチは、国家によるサイバー攻撃を一定条件下で「戦争」(正確に言えば、国際法上の「武力攻撃」「武力行使」等)と捉え、国際法等の規範による抑制・管理や国家間の抑止の対象とする考え方である。

しかし、サイバー攻撃はそもそも「武力攻撃」「武力行使」となりうるものか? 結論から言えば、「Yes」ということにあらゆる国が合意している訳ではない。日本政府の立場は国連憲章を含む既存の国際法体系はサイバー空間にも適用されうるもので、実際にも適用されるべき、との立場をとる。他方、(「適用されうる」点については幅広い合意があるが)そのような考え方に反対する国々もいる。

日本政府は、実質的に北大西洋条約機構(NATO)サイバー防衛協力センター(CCDCOE)が公表した『タリン・マニュアル(Tallinn Manual)』(注7)の考え方に基づいて、武力攻撃とサイバー攻撃の関係性を整理している。『タリン・マニュアル』の考え方を簡略化して示すと、あるサイバー攻撃(サイバー攻撃単独で行われる場合)はその「規模」と「影響」の観点で、特にキネティック(≒物理的な)な武力攻撃と同様の効果をもたらすか否かを含めて判断され、武力攻撃と認定される場合がある。(注8)

日本政府は国会答弁等で、一定条件下でサイバー攻撃は「武力攻撃」、すなわち自衛権行使の要件となりうることを確認し、日米安全保障条約第5条下の対象にもなりえると宣言している。これまでの国際法の議論や日本政府の発表を踏まえると、電力や航空等の重要インフラに対するサイバー攻撃が甚大な被害をもたらす場合、状況によって「武力攻撃」「武力行使」と見なされる場合がある。

そして「武力攻撃」相当のサイバー攻撃への対処は整備されつつある。2018年12月に閣議決定された「平成31年度以降に係る防衛計画の大綱」(新防衛大綱)では、「有事において、我が国への攻撃に際して当該攻撃に用いられる相手方によるサイバー空間の利用を妨げる能力」を含む防衛能力を抜本的に強化するとしている。

「妨げる能力」の詳細は明らかにされていないが、筆者の解釈では、これは限定的な「敵地攻撃能力」に近い。一般的に「敵地攻撃能力」(または「策源地攻撃能力」「敵地反撃能力」)とは外国領土・領海内のミサイル発射基地・発射体に対する打撃能力を指し、特に1998年8月の北朝鮮によるテポドン発射以降、憲法9条や専守防衛政策との関係で議論になった。

アトリビューション問題:サイバー攻撃の発信源を特定する難しさ

しかし、現時点で「妨げる能力」が機能するかどうかは分からない。例えば、北朝鮮の弾道ミサイルであれば発射の兆候をリアルタイムで把握することはできるかもしれないし(ただし個体燃料、移動式発射台、水中発射能力の開発は兆候を掴むことを難しくしている)、少なくともミサイルが発射された場合、その発信源を直ちに特定できる。だが、サイバー攻撃はその発信源や兆候の把握が難しい。「武力攻撃」相当のサイバー攻撃の第一撃を受けたとしても、発信源を十分な信頼性を以って即時に特定することは困難である。

サイバーセキュリティや安全保障の専門家達は、サイバー攻撃の発信源を特定することの難しさを「アトリビューション問題」と呼ぶ。(注9)。アトリビューションとはサイバー攻撃の発信源を特定することである。攻撃の発信源特定できなければ、有事の際にその発信源を叩くことはできず、平時においては攻撃者にコスト(攻撃のリスク)を意識させ、将来のサイバー攻撃を抑止することも難しい。

アトリビューションは「1か0か」「白か黒か」の二者択一問題ではない。アトリビューションは、インテリジェンス機関の評価・判断と同様に一定の不確実性を伴うものである。アトリビューションは技術的側面以外にも、地政学的環境や日本との二国間関係、攻撃国の国内政治に関する理解が不可欠である。

そして、アトリビューションはセキュリティ各社の脅威分析チームだけの仕事ではない。あるサイバー攻撃を特定国からの「武力攻撃」事態と認定するかどうかは、有事において政治的決断となる。有事に限らず、あるサイバー攻撃について特定国政府を非難するかどうかも政治的判断である。こうした判断は、「政治的アトリビューション」といえる。(注10)

政治的アトリビューションは技術的アトリビューションよりも高い証拠レベルが必要となることが多い。デジタル空間上の証跡だけではなく、ヒューミント(Human Intelligence: HUMINT)等のインテリジェンスを総動員し、判断を下すことになるだろう。現在の日本にそのような能力があるかどうかは疑わしい。

サイバー空間の「グレーゾーン事態」とコスト賦課

上記の課題はあるものの、「武力攻撃」相当へのサイバー攻撃対応は整備されつつあると評価できる。しかし、それ以上に難しいのが、「武力攻撃」「武力行使」未満のサイバー攻撃である。

現状、国家によるサイバー攻撃はそのほぼ全てが「武力攻撃」「武力行使」未満のものである。重要インフラを停止・破壊するようなサイバー攻撃は「武力行使」「武力攻撃」と見なされる可能性はあるものの、その前工程の準備活動、脆弱性を探るための諜報活動は見なされないだろう。商業的利益を狙ったサイバー攻撃や(議論の余地はあるが)選挙干渉も「武力行使」「武力攻撃」と見なされないと考えるのが一般的である。

これは、いわゆるサイバー空間の「グレーゾーン事態」である。「グレーゾーン事態」とは2015年新安保法制制定の背景の一つであり、「純然たる平時でも有事でもない」状況を指す。こうした事態は軍事的対応が求められるほど熾烈ではないが、法執行機関による対応能力を超えることが多い。

サイバー攻撃を行う国家は、慎重に「武力攻撃」「武力行使」の閾値を超えないように、相手国によるキネティックな反撃を引き起こさないレベルを維持している。しかし、同時にこうしたサイバー攻撃が単なる犯罪や愉快犯といったレベルではないことも確かである。

国家にとって、サイバー攻撃はコストパフォーマンス(費用対効果)が高い。前述のとおり多くの場合、サイバー攻撃の発信源を辿ることは不可能でないにしても困難で(被害者側に)コストがかかる。サイバー攻撃を行ったことが明らかになっても、攻撃者に対する制裁や報復のコストは(攻撃を辞めようと思う程)課せられることは少ない。

国家による現在進行形のサイバー攻撃を止めさせるための手段の一つは、攻撃の発信源を突き止め、均衡性のある制裁や報復によって敵対者にコストを課すことである。具体的には、名指し批判(naming & shaming)、資産凍結を含む経済制裁、刑事訴追、外交上の措置(外交施設の閉鎖や外交官追放)、サイバーおよびキネティックな手段による報復等が含まれる。最近では、対象国の政治指導層やエリートにハッキングを仕掛け、個人的な機密情報を暴露するという手法も検討されていると報じられた。(注11)

敵対者に恒常的なコストを課す手法は米国トランプ政権でもみてとれる。トランプ政権は2018年7月、オバマ大統領が署名した抑制的(良く言えば、慎重な)サイバー対応方針を示した「大統領政策指令20号 (PPD-20)」を機密指定解除し、これを破棄した。そして、新たなサイバー攻撃への対処方針である「国家安全保障大統領覚書13号 (NSPM-13)」に署名した。NSPM-13は機密文書だが、ワシントンポスト紙の報道によれば、文書は「非常に長い承認プロセスを経ることなく、『武力行使』を下回る水準または死傷・破壊・重要な経済的影響を引き起こすレベル以下で、米軍に(サイバー)活動の自由を与える」ものである。(注12)

そして、この類の活動は自己のネットワークの外側、特に外国のネットワーク上で恒常的に展開される。この考え方は、「国防総省サイバー戦略2018」で「前方防衛(defending forward)」戦略と示される。あらゆるレベルのサイバー攻撃やサイバー活動を検知し、それらを執拗に追跡し、攻撃元を特定し、その攻撃源を絶つこと、サイバー軍司令官ポール・ナカソネ(Paul Nakasone)将軍が指摘する「執拗な関与(persistent engagement)」は現在および将来のサイバー攻撃を防ぐことができるかもしれない。

日本を含む大多数の国は、米国流の「前方防衛」「執拗な関与」を完全に実現することは難しい。これらは国際法上の議論も呼んでいる。しかし、「前方防衛」「執拗な関与」の考え方は、サイバーセキュリティに不可欠な現実の一部を反映している。

あわせて読みたい

「サイバー攻撃」の記事一覧へ

トピックス

ランキング

  1. 1

    再々委託も 電通・パソナに疑惑

    田中龍作

  2. 2

    河井夫妻「Xデー」は6月18日か

    五十嵐仁

  3. 3

    米で広がる分断 アジア人も下層

    WEDGE Infinity

  4. 4

    ブルーインパルス 文字を描いた?

    河野太郎

  5. 5

    香港民主化の女神「すごく怖い」

    NEWSポストセブン

  6. 6

    抗体簡易検査は「お金をドブに」

    中村ゆきつぐ

  7. 7

    給付金の再々委託 経産省に疑問

    大串博志

  8. 8

    黒人暴行死と特殊なアメリカ社会

    ヒロ

  9. 9

    よしのり氏 まゆゆは本物だった

    小林よしのり

  10. 10

    コロナの陰で反ワクチン派が台頭

    木村正人

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。