サイバースパイ戦勃発！-私たちは何をなすべきか（西本逸郎 氏 ／ 株式会社ラック 最高技術責任者）

　「防衛産業が標的に！」「国家機密が狙われる！」「サイバースパイか？」などと大手新聞やテレビなどで連日報じられていましたので、耳にされた方も多いと思います。こういう実態をどう読み、どう対応すればよいのでしょうか。

　重要なのは「誰がどんな目的で」という基本的なことです。私の勝手な整理をご紹介します。

1. ：愉快犯
   愉快犯・自己顕示欲の強い人は以前から存在し、恐らく今後も存在し続ける人たちです。
2. ：市場支配(プラットフォーマ)
   現在、明らかな脅威となっているわけではないのですが、「市場支配者あるいは支配を狙っている人」たちです。サービスを受けるためには、結果的に選択肢のない中で、「位置情報などのプライバシー情報」を強制的に求められることなど、国などによる適切なケアが求められる分野です。
3. ：主義主張
   国家や企業などの秘密や「犯罪」の告発や、例えば「ネットは自由である」という信条に基づき、国や大企業などからの「制限や統制」に対して「攻撃」を行う。例えば、業務妨害や内部情報を窃取し公開あるいは外部機関に告発、個人情報を窃取し当該組織の管理責任の無さを示すなどにより、ダメージを与えたりもします。
4. ：金銭
   金銭を得る目的で、商売敵にダメージを与え報酬を得る、あるいは業務妨害を行い恐喝まがいの商売を行う。クレジットカードやオンラインバンキングの情報などを窃取するなどを行う人たちです。
5. ：権益拡大
   国や準ずる組織が、平和を守るあるいは自国の権益を拡大するために行う諜報活動などがこれに当たります。場合によっては他国の権益拡大行為や軍事活動の妨害も行っているとみられます。
6. ：ストーカー
   個人相手だけではなく、企業も対象となる可能性があります。スマートフォンやソーシャルメディアの普及により、新たな脅威として顕在化・深刻化する可能性もあります。

何が起きているのでしょうか？

　見逃せないことがあります。前回のオピニオン欄記事「結果責任問われる情報セキュリティ」でも、「電算機からサイバースペース(空間)への変化」として述べましたが、この3年ほどでさらに浸透し、世の中の知見や財産だけではなく、経済・学問・生活などさまざまな活動がサイバー空間で行われ、記録されるようになりました。

　昨年9月に発生した検察官によるフロッピーディスク改ざん事件では、検察官・弁護士・裁判官などもサイバー空間とは無関係ではいられない時代になったと思い知らされました。同時に、携帯などのデジタル機器を解析した結果、解明されたと考えられる事件報道も多く見かけるようになりました。また、スマートフォンとソーシャルメディアの一般化により、世界規模でさまざまな変革が発生しているとみられています。

　C(主義主張)とE(権益拡大)の顕在化に注目して見ます。

　Cの顕在化は、大相撲八百長メール事件にそのヒントがあると思っています。この事件は、大相撲関係者による野球賭博に関連して捜査中、携帯電話の削除済みのメールから八百長に関係したものが見つかり、「公益性・公共性」の観点で大相撲協会を管轄している文部科学省に知らせたというものです。これは、警察による情報漏えいではないかという指摘があった一方、当該文部科学省も「公共性・公益性」があると認め、その後の指導に当たっています。この警察による「告発」は私自身正当なものであると思っています。

　また、尖閣諸島中国漁船衝突ビデオ流出事件では、国の組織内でのCの存在を知ることになりました。Wikileaks、それを守ろうとし「アラブの春」で政府の規制を妨害したと言われている「アノニマス」(匿名という意味)というハッカー集団もCと考えています。今年4月に発覚した大手ゲーム会社での大規模個人情報の流出事件もDではなくCであり、ゲーム会社のダメージを狙ったものだと私は推測しています。

　一方、最近になり Eと推測される事件が顕在化しました。専門家の間では以前から報告や議論がなされていましたが、日本においては具体的な被害として明らかになったのはつい最近のことです。これは最近多発しているのではなく、最近報道され始めたと理解してください。それが、冒頭で記述しました「防衛産業が標的に！」などと言われているものです。

　米国はサイバー空間を、陸海空、宇宙に続く第5の戦場として位置づけ、国家戦略を立て、サイバー空間での攻撃(サイバー戦争)が引き金で実際の武力行使に到る可能性を否定しない、との発言もあります。わが国もその一環で防衛産業や国家機密が狙われ、サイバー戦争に巻き込まれているのではないか、わが国は大丈夫か、と報道されているものと思います。

　もちろん、防衛機密や国家機密はしっかり管理いただきたいのですが、私たちが実際に対応してきたところでも輸出競争力がある製造業、メディア、金融関係機関、公共団体、ゲーム関係企業、通信関係会社、コマースサイトなど分野は多岐にわたります。その手口は「攻撃」という言葉すら当てはまらず、あらゆる情報を収集する基盤の整備を行っているように思われるのです。その中で、たまたま、防衛機密や国家機密に関わる部分が強調され明るみに出て、サイバースパイなどと報道されているのではないでしょうか。

　スパイと言えば、映画の007のように知的でアクション中心の活動や、一時話題になった「美人過ぎるスパイ」などを連想されるかもしれません。このような危険で時間やお金もかかる手法も現存しているのでしょうが、ありとあらゆる記録がデジタル化された現在では、甚だ非効率な方法だと言わざるを得ません。現在は、遠隔地での普通の勤務で行うことができる極めて安全で合理的な活動である、と言えます。つまり、ITの高度化はスパイ活動の有りようと費用対効果を著しく変革させたのかもしれません。

　私たちが実際に多くの組織で見た手口を簡単に説明しておきます。まずは組織内のパソコンを乗っ取る(遠隔地から操作する)ために侵入します。多くは「標的型」と呼ばれる関係者が開けざるを得ない巧みなメールを送りつけます。1台のパソコンを乗っ取ると、そこを拠点にして内部のシステム構成・管理方法・組織・勤務体系などさまざまな調査をじっくり行いながら、いつでも情報を盗み見たり、操作できる「情報筒抜け基盤」を構築し維持していきます。それは、そこで得た情報で多額の金銭を得るような動機は感じられず、淡々と「勤務」しているように思えます。

　では、この「攻撃」とも言えない基盤整備の、本来の脅威とは何なのでしょうか？

　この基盤を使用すれば、システムの破壊や誤動作させることで直接的なダメージを与えることも可能ですが、実際にはやらないと思います。なぜならば、相手を本気にさせ、折角の基盤も失いかねないからです。そんなことよりも、得ることのできる情報を活用し外交を有利に進め、確実に利権を拡大させていくのではないでしょうか。一方、わが国としては、外交交渉が不調に終わり政策もまとまらないだけではなく、経済・科学・文化などが衰退し光を失い蝕まれ、いつの間にかに「ゆでガエル」になってしまうのではないでしょうか。この「ゆでガエル化」こそが、本来の脅威とも言えるのではないでしょうか。

どうすればいいのか？

　「どのように守ればよいのでしょうか？」とよく聞かれます。この質問の意図は「コンピュータウイルスの感染を防ぐにはどうすればいいか？」というものです。標的型においては、ウイルスなどの侵入を100%防ぐことはできません。「風邪をひくな」という対策はないのです。

　そうではなく、相手の狙いが「ゆでガエル」ならば、そうならない対策を考えなければなりません。つまり、抜本的に考え方を変えて、私たちなりのセキュリティモデルを構築する必要があります。

1. 守るべきものは何かを再度考える。
   それは「文化・尊厳を守り、世界の方々と協調して暮らしていく」というようなことかもしれません。
   
2. 考えるべきセキュリティモデル
   「ウイルスに感染することはけしからん」的な発想ではなく、ウイルスがうじゃうじゃいても大丈夫なくらいに、鍛えていくこと。また、そういう理解を広げることも重要です。現在は、ウイルス感染自体が不祥事扱いです。つまり、風邪をひくと始末書やメディアにたたかれるということです。どうなったら駄目なのかよく考えましょう。理想の企業を追い求めても解が無いのと同じで、理想のセキュリティなどというものは存在しません。そうではなく、自分にとって「最悪は何か」を考慮することが重要です。

　そこから知恵を働かせれば、いろいろな手が考えられます。従来のセキュリティ対策では非常識となる発想も多いと思います。私たち専門家も、私たちらしいセキュリティモデルの構築をしてまいりたいと思います。