ページの先頭です。
サイト内の現在位置を表示しています。
  1. Home
  2. コラム
  3. IISEの広場
  4. 2015年
  5. サイバーインテリジェンス ~サイバー攻撃の脅威~
ここから本文です。

サイバーインテリジェンス~サイバー攻撃の脅威~

11月6日、株式会社ラック ナショナルセキュリティ研究所所長の伊東寛氏が「サイバーインテリジェンス~サイバー攻撃の脅威~」と題して講演を行った。以下は講演内容の抄録。

1. はじめに

サイバー攻撃とはインターネットやコンピュータを使っているシステムを悪人が攻撃することである。ここでいう攻撃という言葉には、システムに負荷をかけて落としてしまうとか、内容を書き換えるもののほかに、情報を盗む行為なども含んでおり、広い意味で使われている。本日は、このようなサイバー攻撃のうち、インターネットを利用して相手から情報を盗み出すこと、つまり、情報の窃盗など中心としたお話しをする。
さて、本論に入る前に、自己紹介を兼ねて私の勤務している会社で行っているセキュリティビジネスについてご説明したい。今日のお話の前提になると思うからだ。
皆さんのパソコンにはアンチウィルスソフトがはいっていると思う。このアンチウィルスソフトは皆さんひとりひとりのパソコンをウィルス等から守っているわけだが、私の会社は企業のシステム全体をハッカーなどから守る仕事をしている。
どうやっているかというと、どんな企業でも社内システムとインターネットをつなぐ関所となる部分があるので、そこにセンサーを入れて、流れる通信を監視し、怪しい通信がないかをモニタする。例えば、過去に一度も中国とやりとりしたことがないのに、ある日突然、中国に情報が流れだしたら、それは絶対おかしいわけだ。こういう時はすぐにブロックする。しかし、これは昔の話であって、今は海外に直接つながるのではなく、日本にプロキシ・サーバを置いて、ある程度情報をためてから送る、という仕掛けになっている事が多い。それはそれで別の見つけ方があり、どうやって見つけるかがノウハウである。

また、このような契約企業のシステムを守るほかに、システムがおかしいので診て欲しいという依頼に基づいて専門家がチェックする仕事もある。
おかしいと言ってきた会社はほぼ間違いなくウィルスにやられている。とすると、次の問題は、どんな情報がいつから盗られているかだ。しかし、何が盗られたかは結構分かりづらい。情報はコピーされて持って行かれても無くなるわけではないからだ。が、わかる場合もある。それは日本国内のプロキシ・サーバの場所がわかって警察がそれを抑えることのできた場合だ。このようなケースではその中身を見れば盗まれた情報が入っているので盗られた物がわかるというわけだ。
一方、被害者のシステムを調査することで、いつ頃侵入されたかはわかることが多い。これは、ログ(記録)というものを調べることでできる。しかし、ログの解析も結構難しく、素人ではなかなか手に負えない。有名な話では検事が証拠を改ざんしたという事件があった。その検事はあるツールを使ってログの内容を改ざんしたが、実はログはあちこちに残るので、それらを突き合わせていくといろいろなことがわかる。こうして矛盾を見つけそれを突くことで、無実の人が冤罪にあうことが防がれた。
さて、こうしてログを分析した結果だが、診断を依頼してきた企業の1/3くらいは1年以上前から侵入されていたことがわかった。言い換えれば、その間、侵入されていたことに気がついていなかったのである。また、このことは、自分の会社は大丈夫だと思っていても実はすでにやられている会社が他にもたくさんあるという可能性を示唆している。

2. 変化したサイバー犯罪被害に関する報道

日本年金機構の事件を契機に変わった点がいくつか見受けられるように思う。まず、以前は、被害者は民間企業で狙われていたのは技術資料であった。また、その手口は標的型攻撃である。
標的型攻撃というのは、来たメールにファイルが添付されていて、それを開くとウィルスに感染するというものだ。こういう手口には、いくら注意しても必ず引っかかる人がいるので根絶できない。また、対策が取られる度に犯罪者の方も賢くなってきている。5年前に私が受け取った標的型攻撃メールの文章は、そもそも日本語が変だった。「は」と「が」の使い方がおかしいのだ。あるいは、銀行から来たメールの文章が「こんにちは」で始まっていたりした。敵もそういうおかしさに気づいてきて、最近は文章がこなれてきている。さらにメールアドレスも以前はいかにも怪しかったが、今では、もっともらしくなってきている。このように標的型攻撃も日々進化している。
いずれにせよ、以前の被害者は民間企業が主であり狙われたものは技術資料だった。最近は、被害者が公的機関であり狙われるものは個人情報資料が多いようだ。このように何か変化があったように見える。
もうひとつの変化は公表のあり方である。標的型攻撃による被害は以前からずっと起こっていたのに、そのことが新聞に出ることはめったになかった。被害にあった企業は、そのことが新聞に出ると信用にかかわる、お客様に迷惑をかける、株価が下がる、トップの進退問題になるなどの理由から公表したくない。普通は内部で箝口令が敷かれる。我々も守秘義務があり絶対言わない。そのため、このような被害が公表されずにいると、結局、別な会社も同じような手口でやられてしまう。もっと早く公表しておけば類似の被害を防ぐことができたと思うこともあった。
このような状況が年金機構の事件から変わったように感じている。サイバー犯罪事件が新聞などでよく報道されるようになったのだ。そして、その被害者は、主に公的機関や大学関係、団体などである。
このような変化が起こった理由であるが、もしかすると、公的機関が被害者の場合の事件はすべて公表するという政府トップレベルの判断があったのではないかと思う。公表内容も「第三者機関による調査で判明」というケースが多い。民間企業なら、その被害を広く報道されることには耐えられないが、公的機関なら仕方が無いと考えられたからではないか。もちろん、これは私の想像にすぎないが。

3. サイバー技術はインテリジェンスや戦争を変える

インテリジェンスは政策決定に資するための基礎となるものである。それは情報収集活動と分析などからなっている。
昔の情報収集活動は、主に人間がスパイ活動をして情報を取ってくるものだった。これをHumint (Human intelligence)という。それに対して、電波や無線を傍受することで情報を集めるのはSigint (Signal intelligence)という。
サイバー技術の進歩によって情報収集活動が大きく変わってきている。HumintよりSigintを重視するようになってきたのだ。人間を利用した情報収集活動の場合は人材を育てるのも大変だし、人は裏切る可能性もある。一方、サイバー技術を使った情報収集活動は遠隔でできるうえ、時間がかからない。情報も大量に入手できる。そして秘密のうちにできる。この結果、情報収集活動がより安全に、効率的にできるようになった。だから列国はサイバーインテリジェンスを重視するようになってきたのだ。
ところで、インターネット技術を使った犯罪の大きな特徴は、自分の身元を隠せること、あるいは他人に罪をなすりつけることができることである。インターネットには悪人が利用するという想定がなく、簡単に「なりすまし」ができるからだ。警察がトレースバック(犯人までネット上をたどっていくこと)しようとしても、少し勉強した犯人はそれをごまかすことができる。以前、国内で起きた遠隔操作ウィルス事件では、4人もの人が誤認逮捕された。
これらのことはインターネットの持つ本来的な弱点によるともいえるが、この弱点はインテリジェンスに於いても同様で、スパイ活動の犯人が分かりにくいということになる。つまり、スパイ活動とインターネットは親和性が高いということだ。これに輪をかけて、収集した資料の分析にもサイバー技術が活用されるのはもちろんである。
さて、サイバー技術によりインテリジェンスが変化したように、戦争のかたちも変わったというのが私の意見である。
クラゼヴィッツの書いた戦争の定義の一つに、戦争は「力をもって我が意思を相手に強要することである」というものがある。クラゼヴィッツが考えたこのときの力とは「武力」に相当する。また、私はアルビン・トフラーの言葉を借りて、力には軍事力、経済力、情報力の三つがあると思う。ここで、クラウゼヴィッツの戦争の定義をトフラーの言葉で拡張して考えた場合、軍事力による戦争、経済力による戦争、情報力による戦争があるということになる。
軍事力の戦争はいわゆる昔ながらの戦争である。
経済力の戦争とは冷戦がそうだったと考えている。資本主義の経済体制と共産主義の経済体制が経済という土俵の上で経済的な戦争をして、我々は勝ち組にいた。この経済戦争では、お金を使って他国を支援することで味方を作るとか、経済制裁をかけて言うことを聞かせることなどが行われる。お金による我が意志の強要というわけだ。そして、それは戦争行為そのものではないだろうか。
情報力による戦争とは、情報を操作することで相手の意思決定をこちらにとって都合のよいものに変えることだ。あるいは相手国も含め世界的に情報を操作することで、その国の評判を貶めて相対的にこちらの評価を上げることや、その結果として自国の製品が売れるようにすることなど、経済的優位な立場を取ることも考えられる。こういうものが情報戦争なのだ。
昔は戦争と諜報活動は明確に分離されていた。戦争には戦争法規(戦事国際法)があり、それなりにルールが決まっていた。これに対して諜報活動に関しては特段、それを律するような条約がない。ところが、今、情報戦争というものを考えることができ、一方で、いわゆる非公然活動を含む諜報活動のことを考えれば、戦争と諜報活動との境目があいまいになったように思う。まして、サイバー攻撃は物理的損害を与えることができるようになったため、戦争の補助手段としても利用されてきており、今後、ますますこの境目は混沌としてくるであろう。

4. 米中のサイバーインテリジェンス

サイバーインテリジェンスに関して、最近話題なのは米中会談である。会談では、両国ともサイバー技術を使って相手国の知的財産を盗むことはやめることを合意した。しかし、米国が中国の知的財産を盗むことはまず考えられない。従って米国にしてみれば、合意内容は中国に米国の知的財産を盗むなというメッセージだった。一方、中国政府はこれまで米国の知的財産を盗むようなことはしていないと言っている。これまでやってないのだから、これからもやりませんと言っても何も変化していない。つまりは、中国から見れば何も言質を取られていないということになる。
ところで、日本に対する2012年の標的型メール攻撃のうち、1/3は中国によるものであった。

さらに、2003年から2012年までのサイバー攻撃の量をみてみると、中国からのものが極めて多かった。しかし、2013年以降は減っている。なぜか?これには色々な見方がある。それは、以前はサイバー攻撃の技術力が低くて、うまくその身元を隠せなかったが、最近は隠せるようになったということ。あるいは日本の防御能力が向上したので、攻撃量が減ったようにみえているという可能性もある。
中国のサイバー活動に関する有名なレポートにマンディアントレポートというものがある。米国の民間調査会社、マンディアント社がまとめたのでそう呼ばれている。
その内容は、上海に所在する61398部隊という人民解放軍総参謀部の部隊が米国にサイバー攻撃を行っているとするものである。そしてその部隊の規模は数千人であると書いてあった。ある意味、これは米国が中国からのサイバー攻撃に対して行った最初の意思表示だった。我々米国は中国からサイバー攻撃を受けていることを知っているし不快に思っているという意味だ。
このレポートの中で、中国からの攻撃に関して論理的に検討した結果をいろいろ述べている。しかし、普通、身元を隠せるはずのインターネットアドレスまでトレースバックできていたり、本来、論理的なアドレスとそのサーバーの所在地は隠されるべきなのにそれが表に出ていたり、攻撃者の部隊名が判明していたり、人員規模を建物の大きさで類推するなど、あまり説得力のないものであった。
おそらく、米国はもっと多くのことを知っているものの、高度な秘密に係る部分は隠しているのだ。インテリジェンスはニュースソースを隠すのが原則であるからだ。だからこのレポートは中国からの攻撃のうち、技術的にも最低レベルのものを出したに過ぎず、これをもって中国のサイバー攻撃のレベルであると理解してはならない。
この後、米国は2回目となるさらに厳しい警告を発した。中国の官憲5人の実名と顔写真を公表し、FBIが訴追した件である。外国政府の職員を犯罪者として名指しするのは外交的にはあり得ないことだ。
3回目の警告は前回の米中会談で出す予定だったと思われるが、その直前にスノーデン事件が起きたため中止された。この元連邦政府職員スノーデンによるすっぱ抜きで米国もサイバーを利用して諜報活動をしている事が公になり、会談では米国は何も言えなかった。
スノーデンはなぜ自国の秘密を暴露したのか、いろいろ説はある。善人なので米国の行為を許せなかったとか、タイミングを考えると中国に都合がよすぎるので中国の手先だったのではないかという説もある。
彼が暴露したのはPRISMというシステムである。これはインターネットを利用して世界中の情報を集めているというものだ。特にメールなどを集中的に収集している。またUPSTREAMというのもでてくる。昔は盗聴をする際、電線に細工をした。技術が進むと光ファイバーの盗聴もやるようになった。UPSTREAMはそれをやっていると言われている。
インターネットの情報は、無限の空間を飛び交うのではなく、あくまで電線や光ファイバーなどの物理的なところを通る。そして、世界のインターネットは海底ケーブルを伝ってほとんど米国を通る。国家安全保障局(NSA)のレポートによれば80%は米国を通ると言われている。こうして、米国は世界中のインターネットを盗聴しているのだ。

インターネットの仕組みは、簡単にいうと情報をバケツリレーで渡していくものだが、その際、近い人にではなく太いパイプを持っている人に渡すように作られている。そのため、仮に東京から大阪にEメールを出しても、海底ケーブルでいったん米国に行ったほうが早い場合もある。これが先ほど、インターネットの80%が米国を通ると言ったことにつながるわけだ。
また、現在、Eメールを暗号化している人はほとんどいないと思う。暗号化していなければ読まれてしまう。そういった話もPRISMに出てくる。
このように、米中ともインターネットを使った情報収集活動を盛んに行っている。それにも変わらず、先ほど述べたような、今回、米中の合意がなされたわけである。そもそも、米国が怒っているのは、中国の政府機関が米国の民間企業を攻撃するのはアンフェアだという点である。民間企業同士の産業スパイなら、民間企業も自分を守れるし守るべきだが、相手が国であれば、それはほぼ無理である。かけられるコストが桁違いだからだ。
そして、米中首脳会談で中国は「これからもやらない」と言ったが、その後の報道によれば、早くも3日後には「相変わらずやっている」と米国は指摘した。この理由だが、中国にはたくさんのサイバースパイ組織があり、中央政府がそれら全てをコントロールできていないのかもしれない。あるいは特に軍部が政府の言うことをあまり聞かないのかもしれない。この説を裏付けるものとして、首脳会談の直前に中国軍機が米国軍機の直前を横切ったと言う事件があった。外交的に考えれば会談に水を差すような行動は控えるはずだ。考えすぎかもしれないが、それは、政府が会談をし、そこで何を約束しようと、軍は知らないという意思表示だったのかもしれない。いずれにせよ、今後の米国の行動が注目される。

5. 拡大し多様化するサイバーインテリジェンス

外交上のサイバーインテリジェンスの他の例として「サイバースパイが発覚した」というニュースを紹介する。ダライ・ラマの事務所のパソコンがウィルスに感染していたという事件である。
今のパソコンには大抵カメラやマイクが付いている。このウィルスは感染すると見かけは変わらないのにマイクがオンになる。それで音声を拾ってインターネット経由で盗聴者に送るというものだ。研究者の調べでは、こうして盗まれた情報は中国に送られていたという。このウィルスはゴーストネットと言われているが、解析したら、103ヶ国の外交系の機関がやられていたと言うから大変な規模である。
こういうウィルスをスパイウェアといい、実は世界中で使われている。有名なのは「FinFisher」というソフトである。これは発売元のGamma International社が、悪用されては困るから普通の個人には売らないけれども、きちんとした政府には提供すると言っているものだ。アンチウィルスソフトでは検出されない、パソコン周りの音声を全部盗聴できる、タイプしたキーを全て記録できる、どこにいるかもわかると宣伝している。こういうものが堂々と売られている。この会社のサイトには世界中36か国にお客がいると書かれており、日本もリストに入っていた。
そのほかにもフランス、英国、ドイツ、韓国など、たくさんの国々がサイバーインテリジェンスを行っている。
目的が明確なサイバー攻撃事件以外に、意味不明なものもある。例えば日本の新聞などに小さく報道されていることもあるシステム事故のいくつかはそうだ。なぜかわからないけどシステムダウンし、原因不明のまま復旧してしまうということが起きている。
また、私の友人がインターネットを監視していると、意味のわからない通信が86400秒ごとに繰り返されて来るが、その発信相手は全部異なっていたということがあったという。これだけ定期的にくるということは統制されていることを意味しているが、内容、目的がわからない。もしかするとこれも情報を盗ろうとしているかもしれない。インターネットの装置は、ある信号が来ると正直に返事をするようになっている。返事をすることにより、こちらのシステムのバージョンなどがわかる。これを利用して、何らかの情報を集めているという可能性もある。

このように、サイバー攻撃には、いたずらだとかサイバー犯罪以外に、将来に備えて我々のインターネットの弱点を調べているものがあるのではないかとも考えられる。こうして収集した情報は、どこかで、将来のサイバー攻撃やサイバーテロのための基礎資料となっているかもしれないのだ。こうしたものもインテリジェンスである。
されに、これまで述べてきたようなソフト関連のインテリジェンスだけでなく、ハードに仕掛けがされているケースもある。パソコンのチップ内に予め何かが仕掛けられるような危険性だ。これはサプライチェーンリスクと言われている。これもアンチウィルスソフトでは検知できない。これからIoT (Internet of Things)時代を迎え、いろいろなものがインターネットにつながるようになるので、今後、こうしたリスクに関してもちゃんと考えておかないと危ない。

6. おわりに

現在の社会は、自動車が発明された直後の世界に似ている。そこでは、道路交通法もないし、エアバックもなく、ドライブレコーダーも搭載されていない等、極めて危険な世界であった。今日のインターネットの世界も同じだ。サイバー技術の進歩に防護技術も関連する法律も追いついていない。つまり、今、自分の身は自分で守るように心掛けないと、いつ何時、加害者になったり被害者になったりするかわからないということだ。
繰り返すが、日本は継続的に外国からサイバー攻撃を受けているし、その対策は、特に日本の安全を考えた時、まだまだ不完全である。
従って、「俺は関係ない」というような考えは捨て、ひとりひとりが、それぞれの立場で問題意識を持ち、できることをしっかりやる。少なくとも自分の身は自分で守るという意識を持つ。さらには、声をあげて不備な体制を治すように政治家に働きかけ国を動かすことが重要である。
(文責:加藤)

このページの先頭に戻る