中ロ乱発、サイバー攻撃どう防ぐ　米「次の9･11」警戒

Global Economics Trends 編集委員 西村博之 2021年9月26日

  米同時テロから今月で20年。警告されていた惨事をなぜ防げなかったのかと悔いる声がまた米国を覆った。翻って今日、サイバー空間を通じた大規模な攻撃に警鐘を鳴らす専門家も少なくない。ハッカー集団は巧みになり、その手を借りたロシアや中国が国ぐるみで攻勢を強める。被害もデータの抜き取りや「身代金」の要求といった経済面にとどまらず、重要インフラの誤作動など物理面まで及んでいる。見えにくいサイバー攻撃の実態と世界への影響、そして対抗策とは――

次の重大危機は「サイバー9･11」。専門家のあいだで、そんな声が目立ってきた。2001年9月の同時テロの前も、アルカイダなどテロ組織の危険性は知られていたが、真剣な対応がとられなかった。その轍（てつ）を踏んではならない、というわけだ（We’re sleepwalking toward a cyber 9/11）。

絵空事とも言い切れない。2月、米フロリダ州西部オールズマー市の浄水管理システムにハッカーが侵入し、酸性度の調整に使う水酸化ナトリウムの濃度を通常の100倍以上に高めようとした。コンピューター画面のカーソルが勝手に動いているのに気付いた職員が危うく操作を止めたが、放置すれば数千人の命に危険が及ぶ可能性があったという（Someone tried to poison Oldsmar’s water supply during hack, sheriff says）。

相次ぐ被害に官民連携
バイデン米大統領は8月25日、著名なハイテク企業や金融機関のトップをホワイトハウスに呼んだ。サイバー防衛への官民連携を働きかけるためで、米グーグルの親会社アルファベットのピチャイ最高経営責任者（CEO）や米マイクロソフトのナデラCEO、米JPモルガン・チェースのダイモンCEOなどが参加。バイデン大統領は「連邦政府だけでは課題に対処できない」と認め協力を求めた（Remarks by President Biden on Collectively Improving the Nation’s Cybersecurity）

会合後、米政府は米国立標準技術研究所（NIST）が経済界と連携してサイバー対策の強化へ新たな指針をつくると発表した。米国土安全保障省傘下にできた新たなサイバーセキュリティー専門機関（CISA）も官民連携の組織を立ち上げるなど、サイバー防衛への取り組みが一気に加速し始めた。背後には相次ぐサイバー攻撃への危機感がある。

▶20年12月、米ソフトウエア会社ソーラーウィンズのネットワーク管理ソフトを使う米政府機関や大手企業のシステムが長期にわたり不正侵入されていたことが発覚。21年4月にはロシアの外国情報機関を後ろ盾にしたハッカーの仕業であることが分かった（Russian SVR Targets U.S. and Allied Networks）

▶21年3月、マイクロソフトの企業向け電子メールソフト「エクスチェンジサーバー」が大規模なサイバー攻撃を受けた。中国系のハッカーは中小企業や地方自治体、学校など3万に及ぶ組織からデータを盗み出した（Chinese Hacking Spree Hit an ‘Astronomical’ Number of Victims）。

▶5月、米最大産油地のテキサス州から東海岸の大消費地ニューヨーク州をつなぐ米最大級の石油パイプラインがサイバー攻撃を受けて操業を停止し、大規模な燃料不足と価格高騰を引き起こした。システムの復旧と引き換えに金銭を要求する「ランサムウエア」型の攻撃で、運営会社コロニアル・パイプラインはロシアを拠点とする組織「ダークサイド」に440万ドル（約4.8億円）相当の身代金を支払った（FBI Statement on Compromise of Colonial Pipeline Networks）

▶同月、ブラジルの食肉大手JBSがランサムウエア攻撃を受け、北米とオーストラリアの食肉処理場のシステムが停止。米連邦捜査局（FBI）は6月、ロシアのハッカー集団「REvil」が攻撃をしかけたと断定した（Media Statement: JBS USA Cybersecurity Attack）。同集団は7月、クラウド管理サービスの米カセヤを狙った大規模なランサムウエア攻撃にもかかわったとされる。

バイデン大統領の反撃
一連の被害を受け米国は反撃に出た。7月9日、ロシアのプーチン大統領と電話で会談したバイデン大統領はインフラや企業を守るため「あらゆる必要な措置をとる」と警告した（Biden Warns Putin U.S. to Take ‘Any Necessary Action’ to Defend Against Ransomware）。

その10日後の7月19日には、マイクロソフトなどへの悪質なサイバー攻撃が中国国家安全部の仕業であると断定。北大西洋条約機構（NATO）、欧州連合（EU）、英国、日本などの同盟国と共同で、中国の「悪質かつ無責任なサイバー活動」を非難した。サイバー攻撃をめぐって幅広い国々が一斉に特定の国を批判するのは前代未聞だ（The United States, Joined by Allies and Partners, Attributes Malicious Cyber Activity and Irresponsible State Behavior to the People’s Republic of China）。

中国側はただちに米国などの主張が「でっち上げ」だと否定し、「米国こそが悪質なサイバー攻撃の世界チャンピオンだ」と反論した。

政府が後ろ盾のハッカー集団
サイバー攻撃の主を突き止めるのは容易でない。ひとつにはロシアや中国が犯罪組織も含めた在野のハッカー集団に攻撃を「外注」することが多いためだ。「サイバープロキシー（代理人）」という手法で、仮にハッカー集団が尻尾をつかまれても政府は自らの関与を否定できる（Cyber Proxies and Their Implications for Liberal Democracies）。

だから攻撃を受けた側が相手を名指しする場合には、侵入の経路や起源、攻撃のパターンなどデジタル上の足跡を根気よく解析して相手を突き止める必要がある。この特定作業を「アトリビューション」と呼び、説得力のある批判を行うとともに、自らの追跡能力を誇示して先々の攻撃をけん制するための第一歩になる。

ハッカー集団の背後に政府がいると主張する場合は、双方の結びつきを具体的に指し示さなくてはならない。今回、米政府がサイバー攻撃の背景にいる中国当局の個人まで摘発したのはこのためでもある。「中国政府はロシア政府と同様、自らが攻撃を行うのでなく、攻撃者を守り、もしくは賄っている」とバイデン大統領は主張した。

広がる手口
サイバー攻撃の目的は大きく4つに分けられる。第1が国や企業からの情報・データの収集。第2が行政や企業活動の妨害。第3が金銭の収奪。第4が騒ぎを起こして楽しむ愉快犯的な目的だ。政府と連携したハッカー集団の場合、政府が指示した対象に攻撃をしかけて妨害活動を展開しつつ、金銭収奪など自らの目的も追求することが多いとされる。

サイバーセキュリティー大手のトレンドマイクロによると、手間暇をかけ、狙い定めた対象に侵入する「標的型サイバー攻撃」が増えたのは10年代前半。10年代後半からは国家が後ろ盾とみられる集団が目立ち始め、それに伴って社会インフラを攻撃する事例も増えてきた。

手口も巧みになり、ネットワークを通じて直接システムに入り込むだけでなく、ソフトウエアの製造工程に介入して不正コードを仕込む手法、企業からシステムの管理・運用を請け負うサービス事業者を侵害しその顧客を一網打尽にする方法、電子機器のマザーボードなどにマルウエアを埋め込んで利用者を搾取する手口などが広がっているという。

さらに直近では「サプライチェーン（供給網）の弱点を突いて標的の取引先や関係会社、国外拠点などに攻撃をしかけ、被害を拡大させる事例も増えている」とトレンドマイクロの石原陽平氏は語る。

急浮上する中国
台頭が著しいのは中国だ。かつては、つたない表現の電子メールをばらまくなどして外国企業や政府機関のシステムに侵入を試みていたが、今やフロント企業や大学で働く優秀な下請け技術者のネットワークを構築。当局の指揮下で探知されることなく世界中のシステムに侵入している（How China Transformed Into a Prime Cyber Threat to the U.S.）。

中国の能力が高まったのは、サイバー攻撃の所管が人民解放軍から国家安全部に移った15年ごろからだという。ロシアをまねてスパイ活動とサイバー犯罪を融合させたハッキングの技術を身につけ、今や同国に迫る水準の工作を行うようになった、と米戦略国際問題研究所（CSIS）のジェームズ・ルイス氏は言う（How China’s Hacking Entered a Reckless New Phase）。

たとえば米フェイスブックは3月、中国の組織が同社のプラットフォームを通じて中国外のウイグル人活動家やジャーナリストを標的に、サイバー攻撃やマルウエアの拡散をしかけている、と注意喚起した（Taking Action Against Hackers in China）。

追い上げられる米国
英国際戦略研究所（IISS）は7月にまとめた報告書で、米国の「サイバー力」はなお他国を圧倒するものの、中国が国内のデジタル技術の発展をてこに、いずれ肩を並べうると分析した（Cyber Capabilities and National Power: A Net Assessment）。

米外交問題評議会（CFR）の専門家、デビッド・フィドラー氏はサイバー政策の地政学的な意味合いが増すなかで、米国は環境の変化に対応できていないとみる（America’s Place in Cyberspace: The Biden Administration’s Cyber Strategy Takes Shape）。

大きな問題のひとつは官民の連携不足だ、とみるのは米カーネギー平和財団のジョージ・パーコビッチ氏。「情報共有や運営面の協力を可能とする体制や法律がないため対応が行き当たりばったりで、戦略に基づく包括的で継続性のある取り組みが行われてこなかった」という（Toward a Collaborative Cyber Defense and Enhanced Threat Intelligence Structure）。バイデン大統領が、ホワイトハウスにハイテク企業などの首脳を呼んだのは、この問題に手をつける狙いだろう。

サイバー兵器による平和？
では、サイバー攻撃が日常的になった世界で、国どうしの関係はどう変わるのか。7月の米ロ電話首脳会談で、バイデンとプーチンの両大統領が初めてサイバー攻撃の問題を話し合うと、米ニューヨーク・タイムズ紙は「かつて超大国の首脳会談は核兵器が主要議題だったが、今日はサイバー兵器が取って代わった」書いた（Once, Superpower Summits Were About Nukes. Now, It’s Cyberweapons）

サイバー攻撃は今や兵器と位置づけられる
核兵器との比較はやや誇張があるにせよ、サイバー攻撃を「兵器」と位置づけた点に違和感をもつ人は少ないだろう。外交や戦争が他国に影響を及ぼす手段だとすれば、サイバー攻撃はそれを実現する説得もしくは脅迫の道具としてすでに十分な存在感を示しているからだ。その意味でサイバー力は軍事力、経済力、政治力を補完する国力の大事な要素になったと言える。

サイバー攻撃が通常の武器と違うのは、貧しい小国などでもうまく使えば大国に打撃を与えられる点だ。通常兵器や核兵器と違って、攻撃力を獲得・維持するのに大きな経済力を要しないからだ。北朝鮮やイランなどがサイバー攻撃に力を入れている理由もここにある。軍事力に大きな差がある国どうしが、通常の兵器とは異なる方法で戦う「非対称戦争」の手段のひとつとも位置づけられている（Could Ransomware Become a Geopolitical Weapon? Game Theory Says Yes）。

サイバー攻撃の普及を前向きに捉える専門家は、国どうしの争いがデジタル空間で完結すれば、銃やミサイルを使うよりも安全で命も失われずに済むと説く。米ジョンズ・ホプキンス大学のノラ・ベンサヘル客員教授は「戦争の目的は戦うこと自体でなく政治的な目的の追求であり、これを物理的な対立なしに実現できるなら理想的だ」と述べている（Could Cyberwar Make the World Safer?）。

戦争誘発のリスクも
ただ、現実にはサイバー空間での争いが、平和裏に行われる保証はない。国土安全保障省の元幹部で米ハーバード大学教授のジュリエット・カイエム氏は、米国がすでに「壮大なサイバー戦争」のさなかにあるとして、「秘密工作も含めてあらゆる手段」を用いて戦う必要性を説く（Is the U.S. in a cyber war?）。

米政府が新設した国家サイバー長官のイングリス氏も、重大なサイバー攻撃に対しては相手の能力を奪う「サイバー弾」の利用もためらわないと述べ、大規模な反撃の可能性を示唆した（U.S. Cyber Chief Says ‘Cyber Bullets’ Are Part of War on Hacks）。

さらにはバイデン大統領も「サイバー戦争は本当の戦争につながりうる」と話しており、むしろサイバー空間での争いが、現実の武力衝突などに発展する危険性に目を向けるべきだろう（Biden warns cyber attacks could lead to a ‘real shooting war’）。

3つの「D」で対抗
ならばサイバー攻撃に、国はどう向き合えばいいのか。米ジョージタウン大学のベン・ブカナン准教授は、3つの「D」を挙げる。システムへの侵入を防ぐ防衛（defense）、報復の意志を示し相手に攻撃を踏みとどまらせる抑止（deterrence）、そして相手の攻撃能力を奪う阻害（disruption）だ（The SolarWinds Hack Is Just the Beginning）。

中でもあんばいが難しいのが抑止だ。抑止のカギは相手に対し、攻撃すれば反撃を受けると確信させること。そのためには仮に攻撃された場合、確実に相手をたたく必要があるが、これがさらなる反撃を誘発し対立をエスカレートさせる矛盾もはらむ。

米ランド研究所は、サイバー攻撃が経済合理性にあわなくなるよう周到な戦略を練ることを提唱する。端的には攻撃者が得る利益よりもコストのほうが常に大きくなるよう報復の原則を立てる。サイバー空間での攻撃には少なくとも同様の反撃を行い、たとえば電力やダムといった施設に物理的な被害が出た場合には、軍事的行動も排除すべきではないという（How the United States Can Deter Ransomware Attacks）。

「創造的」な報復
もっとも、現実にはちょうど「経済合理性」を奪う妥当な水準を見極めるのは難しく、行き過ぎた反撃と相手が受け止めた場合にはやはり報復の連鎖が生じかねない。これを避けるのに必要となるのは対立を激化させることなく、攻撃者の動機をそぐ創造的な反撃手段だ。

たとえば、コロニアル・パイプラインがランサムウエア攻撃を受けた事件では、その後FBIがハッカー集団から身代金の大半を取り戻している。これなどは創造的な手段の好例だとランド研究所は説く。このケースでは身代金がビットコインで支払われたが、FBIがブロックチェーン上の取引を追跡して終着点のアドレスを突き止め、令状を得て差し押さえたという。具体的な方法については不明な部分も多いが、支払われた金額の半分以上の回収に成功した（Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside）。

このほかの創造的な報復手段としては、悪さをしたマルウエアのコードを広く公開し、世界各国が容易に察知できるようにして攻撃者を無力化するといった方法もある（The Right Response to SolarWinds）。

経済制裁も選択肢になる。最近では米国が4月、ソーラーウィンズへの攻撃や大統領選への介入を理由に、ロシアに経済制裁を発動したのが代表例だ（US imposes sanctions on Russia over cyber-attacks）。

「恥さらし」の効果
なお米国は中国によるマイクロソフトなどへの悪質なサイバー攻撃に対しては経済制裁の発動を見送っており、「二重規範」との批判も出ている。世界第2位の経済大国で、米国の主要貿易相手でもある中国への制裁は経済への影響が大きい。そこで米国はじっくり「長期戦」で対処するしかないのだとCSISのルイス氏は解説する（US Playing Long Game To Pressure China On Cyber Ops: Experts）。

代わりに中国に対してとられた措置こそが、7月19日の多数国による共同非難。名指しで批判して恥じらわせる「name and shame」という手法だ。効果には懐疑的な見方もある一方、今回のように日欧やNATOなども巻き込んでうまく包囲網を築ければ、国際的な評価に敏感な中国のような国には一定の効き目があると指摘する専門家もいる（The Name, Blame, Shame Game: Are Cyber Attributions Useful?）。いずれにせよサイバー攻撃を食い止める方法は対象国や状況によってまちまちで、効果をめぐる評価も定まっていないのが実情だ。

「サイバー軍備管理」の鼓動
大きな被害を防ぐための「サイバー軍備管理」を提唱する専門家もいる。サイバー攻撃はなくならないと割り切った上で、主要国が「責任ある攻撃」をめざすことで合意するとの内容だ。たとえば、カーネギー平和財団のバイスプレジデント、ジョージ・ペルコビッチ氏らは、サイバー攻撃をスパイ活動と破壊活動に分け、後者については予見性を高めるルールをつくり意図しない被害が広がるのを防ぐことを主張する（Responsible Cyber Offense）。

バイデン大統領は、7月のプーチン大統領との首脳会談で、情報通信、保険、エネルギー、食料、原子力発電所など16の主要インフラは破壊的な攻撃の対象にしないよう呼びかけた（Biden tells Putin certain cyberattacks should be ‘off-limits’）。

中国ともオバマ政権が15年にサイバー攻撃の「休戦」で合意したが、17年にトランプ大統領が誕生し中国に強硬姿勢をとり始めると、中国が再び攻勢を強めた経緯がある（Xi’s Broken Promises on Cybersecurity）。

米オバマ政権は中国とサイバー攻撃の「休戦」で合意したが、後に事実上ほごにされた。米海軍大学院大学のジョン・アルキラ特別教授は「米国、ロシア、中国の3カ国が（サイバー軍備管理で）合意すれば他の国々も乗ってくるはず」と期待を寄せる（John Arquilla on the New Challenge of Cyberwarfare） 。

国際ルールへの期待
国際法が果たす役割にも期待が集まっている。既存の国際法がサイバー空間に適用されるか否かは必ずしも明確でなく、サイバー攻撃を国際法でどう扱うべきかも意見は分かれていた。ただ相次ぐ被害を前に、国際法によって野放しのサイバー攻撃に一定の歯止めをかけるべきだとの声は勢いを得つつある。「いまの議論の焦点は、国際法をサイバー分野に適用するかどうかでなく、どう適用するかだ」と国際法が専門の米テンプル大学のダンカン・ホリス教授は言う（A Brief Primer on International Law and Cyberspace）。

NATOのストルテンベルグ事務総長は7月、サイバー空間が陸海空に次ぐ作戦領域に含まれ、サイバー攻撃が行われた場合、国連憲章に沿ってNATOが集団防衛（第5条）を発動しうると明言した（Remarks by NATO Secretary General Jens Stoltenberg at an event hosted by the Atlantic Council）。

NATOはサイバー空間で、どのような事例が「武力攻撃」にあたるのか国際法上の解釈を示した「タリン・マニュアル」を専門委員会でまとめるなど、この分野の議論をリードしてきた（The Tallinn Manual）。

国連でも複数の枠組みでこの問題が議論されており、国連総会への提出をめざし、25カ国による政府専門家会合（GGE）が、サイバー空間に国連憲章を含めた既存の国際法を適用すべきだとする報告書を5月にまとめている（Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security）。

報告書はサイバー攻撃を国際法への違反行為とみなし、違反には制裁や集団的自衛を認めることで歯止めをかけることを狙う。攻撃を受けた場合、必要な場合のみ攻撃に見合う形で反撃するといった原則を確認。被害を受けた国が攻撃した国を非難するときは事前に相談する、重要インフラを保護するといった行動規範についても議論を深めた。ただGGEの報告書に法的な拘束力はなく、国際世論の醸成に向けた長い道のりの一歩とみるべきだろう。

大国を縛るルールに疑念
サイバー空間を想定していない国際法の適用には、なお多くの課題が立ちはだかる。たとえば、国際人道法がサイバー空間に適用された場合、人権問題を理由にした制裁がしやすくなるのでは、との警戒感が一部の専制主義国家にはくすぶる。また、究極的には力がものを言う世界で、米中ロなどの「サイバー大国」が最終的に自らの手足を縛る国際ルールを受け入れるのかを疑問視する声もある（The UN Cyber Groups, GGE and OEWG）。

ルール作りには時間がかかる一方、無秩序なままでは混乱が広がりかねないサイバー空間の国家間対立。まずは主要国が緊密な情報交換で相互不信を拭いつつ、不測の事態を防ぐ最低限の原則づくりをめざすのが現実的と言えそうだ。