基本読書

基本的に読書のこととか書く日記ブログです。

サイバー戦争の実態を解き明かす、セキュリティ専門家による終末のシナリオ──『サイバー戦争』

この『サイバー戦争 終末のシナリオ』は、サイバーセキュリティを専門とし、《ニューヨーク・タイムズ》紙記者である著者が7年以上の月日をかけてセキュリティ関係者に取材を重ねて「サイバー戦争の実態」を解き明かしていく一冊である。

21世紀、パソコンは今や一般家庭に普及し、誰もがスマホを持ち歩き、冷蔵庫や掃除機までがインターネットに繋がるようになっている。送電網や原子力発電所も電子的に制御され、今やあらゆるものがハックされる。それゆえ、電子攻撃、サイバー戦争のリスクの増大が年々叫ばれるようになっているが、実際どのようにそれが実行され、何が起こり得るのか、多くの人はイメージできていないのではないか。

本作は、サイバー戦争において攻撃、防御双方がどのような危機意識と手段で日々しのぎを削っているのかを、各国政府機関から民間のハッカーまで様々な立場の人々への取材・証言ベースに解説していく。具体的な攻撃手法やセキュリティを赤裸々に解説するような本ではないが、本書を読めば問題だ問題だと言われているサイバー戦争がなぜ本当に問題なのか。それがいかに「国を終末に向かわせる」ほどのダメージを与える可能性があるのかについて、よく理解できるようになるはずだ。

ロシアとウクライナ

本書のプロローグはロシア・ウクライナ間のサイバー戦争の事例からはじまる。その理由は、この二国間で史上最大ともいえるサイバー攻撃が行われてきたからだ。ロシアはウクライナに継続的にサイバー攻撃を仕掛けているが、2015年にはウクライナの送電網を制御するコンピュータにあらかじめ仕掛けておいたバックドアを用いることで不正侵入し、回路遮断器を止め数十万のウクライナ市民を停電に追い込んだ。それだけでなく、その一年後にもロシアは再度ウクライナに停電を起こしている。

その時点で相当に大規模な被害が出ているのだが、破壊の規模が大きくなるのは2016年を超えてからだ。その年に何があったのかといえば、サイバー攻撃の分野で世界最先端をひた走っていた米国NSAのハッキングツールがどこの国の所属か未だに不明な「シャドウ・ブローカーズ」を名乗る組織によって公開されてしまった。これによって、差が開いていたはずの各国のサイバー攻撃能力が米国に追いつき始めた。

ロシアもNSAのサイバー兵器庫を利用する。2017年に行われたロシアからウクライナ送電網への攻撃で、ウクライナ人はATMから現金を引き出せなくなり、電車の切符も買えず、チェルノービリ原発の放射線レベルの計測システムも使えなくなるという破滅的な被害をもたらした。その攻撃はウクライナで事業を展開している他国の企業をも襲っていて、一回の攻撃がもたらした被害額は100億ドルを超える。それほどの兵器をNSAは保管しており、何者かに奪われたことで世に解き放ってしまったのだ。

ゼロデイとエクスプロイト

一般的にハッキングでは「ゼロデイ」(修正パッチの当てられていない脆弱性)と「エクスプロイト」(脆弱性を利用するコードのこと)で攻撃を行う。それは当然誰が実行しても効果があるものだから、サイバー兵器は「容易にコピーして敵に使用される」リスクを常に抱えている。どれほどアメリカが「自分が最強」と思えるサイバー兵器を作成したとしても、守りきれなければ途端にその武器は自分たちに牙を向く。

その実例がウクライナで起こったわけだが、ウクライナに行われた攻撃は、それでもまだマシな方だった。この国はまだ完全には自動化されておらず、「モノのインターネット」の進展もそれほどではない。原子力発電所や信号機、工場はインターネットから切り離されている。ではアメリカは? といえば、その逆である。『サイバー戦争の最大の秘密は、攻撃面で世界最大の優位を維持しているアメリカが、最も脆弱な国であることだ。この点は、私たちの敵もすでに嫌と言うほど理解している。』

ウクライナには、アメリカにはない危機感があるという利点もある。幾度もサイバー攻撃に晒されたことで、この国にはコンピュータへの不信感が育っている。たとえば著者が会ったウクライナ人は投票をコンピュータで行うという考えを狂気の沙汰と考えている。アメリカ人は、ますます自分たちがこうしたサイバー攻撃の危機に曝されるようになっているにも関わらず、その事実を知らず、危機感は薄いままだ。

実際どのような兵器で、どう使われているのか?

ゼロデイを用いることでハックする手法について先に触れたが、ではどのようなゼロデイが存在し、発見され、どうやって攻撃に利用されるのか? たとえばリナックスのプログラム「サンバ」のバグで、悪用すれば検知されずに標的のデバイスを乗っ取ることができるゼロデイが2006年チャーリーによって発見された。

彼は結局アメリカ政府機関に5万ドルでそれを売り、2年後のその事実を公表したが、それはけっこうな波紋を世界に広げることになる。政府機関がゼロデイをベンダーに伝えず自分たちだけで利用し情報を得ていたことが明らかになり、高額なゼロデイ市場が存在すること、その平均的な市場価格が市井のハッカーに公になったからだ。

ゼロデイを売買するのは個人だけではない。多数の組織がこの事業に参画している。NSAを辞めた5人が立ち上げた脆弱性リサーチ研究所(VRL)はゼロデイを見つけるだけでなくワンクリックで攻撃に使用できる兵器の作成までを請け負う企業だ。VRLがツールを供給するのは、アルカイダの司令官の捕獲や、北朝鮮のミサイル発射システムを停止に追い込む作戦のような、難しい標的を狙う作戦の時だったという。

VSLはアメリカ政府機関からしか仕事を受けないという縛りを入れているが、他国に雇われる傭兵のような競合他社もいる。その企業所属のエンジニアはNSAから引き抜かれ、当時の2倍から4倍もの給料をもらい、アラブ首長国連邦で贅沢な生活を与えられながら、カタールのシステムへの不正侵入だったり、ミシェル夫人など米政治家関連の重要人物のメールや行動履歴などをハックしていたと語る。

手法的にはゼロデイを利用する他にも、インターネットの海底光ファイバーとスイッチから企業のデータを吸い上げる方法(NSAと英国のGCHQがこれで莫大な量のデータを取得していた)など無数に存在する。

日本はどうなのか?

ここまで読んできて疑問に思うのは「日本」はどうなのか? ということだ。スパイ大国と呼ばれ情報は何から何まで筒抜けなどといって馬鹿にされる日本だから情報もすべて抜かれているのか? と思いきや著者の評価は高い。

日本では一年間で50%以上もサイバー攻撃の成功例が減少している。リサーチャーの分析によれば、それは「サイバー衛生」(企業や国民それぞれがインターネットを利用する環境を健全な状態に保とうとする取り組み)の文化があり、日本政府が2005年に実施したサイバー・セキュリティ戦略が効果をあげているからだという。戦略によって政府機関、重要インフラ事業や、企業、大学、一般個人向けにセキュリティ上の必要条件を明確に義務付けていて、それが完全ではないにせよ守られているようだ。

おわりに

とはいえ状況は深刻だ。人間がシステムを構築している限り、脆弱性(ゼロデイ)がなくなることはない。そして、少なくともITに関わるものであれば今や誰もがゼロデイの重要性を理解しているから、それが見過ごされる可能性も低くなっていく。

iOSやウィンドウズの致命的な脆弱性は、かつてと比べ物にならない値段でやりとりされている。それはすでに何十、何百もあって、いつかここぞという時に爆発させるために温存されているはずなのだ。その攻撃対象が送電網になるのか原子力発電所になるのかその全てになるのかはわからないが、我々には間違いなく対策が必要だ。

本書では中国の米国に対する執拗なサイバー攻撃の数々、ロシアが狙ったアメリカの送電網、選挙ハッキング。アルゼンチンの電子投票機をわずか20分でハックした凄腕のハッカーが語る、電波放射でチップの銅にマルウェアを送りこむ特殊な攻撃手法について。過激化していくそうした状況下で、企業と政府機関はどうやって身を守っているのか/いけばいいのか──など上下巻だけあって事例が豊富なので、ぜひ読んで確かめてもらいたい。これから先、話題になることが増えていくはずだ。