卓話


日本を取り巻くサイバー攻撃の現状

2013年12月11日(水)

螢薀奪 理事
サイバーセキュリティ研究所 所長
工学博士 伊東 寛氏

 私は陸上自衛隊で27年間勤務いたしました。そして、その最後の仕事が、陸上自衛隊が作った最初のサイバー戦部隊であるシステム防護隊の初代隊長でした。退官後、民間のセキュリティ会社に移り、今日に至っております。この間、色々な経験を積んできたつもりです。この間のことをお話しするとかなり面白いとは思うのですが、自衛隊にもセキュリティ会社にも守秘義務がありまして、残念ながら、今日の講話では、かなり一般的な話になってしまうことを先にお詫びしておきます。

 さて、最近、よく耳にするサイバー技術、その中でもインターネットという言葉がよく知られていますが、そもそもインターネットとはどういうものか皆さんご存知でしょうか。映画などの影響で、無限の仮想空間に0と1が飛び交っているようなイメージもあるようですが実は違います。インターネットの根っこにあるのは一般的・物理的な通信網で、はっきり言えば電線等です。つまり、インターネットもそのデータ自体は、海底ケーブルや衛星回線の上に乗って流れているものに過ぎないのです。

 このインターネットの仕組みですが、実はバケツリレーのモデルで理解できると言ったら皆さん驚かれるかも知れません。例えば無線電波なら各所で同時に受信できますが、インターネットは情報を次から次へと手渡していくというイメージです。つまり情報は隣接する者同士の手を介して目的地に届きます。というわけですので、もし、バケツリレーの途中に悪意のある人がいれば、彼は情報の内容を読むことができるし、書き換えることもできるわけです。さらに宛先を変えてしまうことだってできるのです。

 なぜこうなったか、こういう仕組みであるかというと、最初のインターネットは基本的に善意の人が作り、善意の人が利用するためのシステムで、悪意のある人がバケツリレーの途中にいるということは想定されていなかったからなのです。そもそもは米軍が戦争に備えて、仮に全米の通信網がズタズタになっても、何らかの方法で情報が間違いなく目的地に届くようにと考えたものなのですが、この米軍の担当者も良い人だったので、資金は提供したが口は出さなかったようです。そういう訳で現在みなさんがお使いのインターネットには犯罪者の悪用を効果的に取り締まるための仕掛けが本来的にないとういことなのです。

 インターネットについてのお話しはひとまずおいて、次はサイバー攻撃に関する事件の話をしたいと思います。

 もう2年前になりますが、大きな話題になったのが大手防衛産業の技術情報漏洩事件でした。ここで社名を言うと差し障りがあるかも知れませんが、この事件では、三菱重工さんの名前が報道され、とても気の毒な目にあってしまった格好です。しかし三菱重工さんだけが特に不用意だった訳ではありません。同様のことは実はたくさん起こっていて、たまたま新聞に出たのがこの事件だったのです。はっきり言ってこれは氷山の一角でした。私も当時、別の新聞社の方からインタビューを受けました。「なぜ今回こんなことが起こったのか?」それで私は「こんなことはとっくの昔にたくさん起こっています。むしろ、何で今回だけ大きく新聞に出てしまったのか?というほうが正しい質問でしょうね」と答えたことを覚えています。

 もう一つ、昨年ですが、遠隔操作ウイルス事件というのがありました。警察が間違えて無実の人を4人も逮捕してしまった事件です。この遠隔操作ウイルスについては私たちも研究所で分析しましたが、とにかく雑な作りでした。プログラムの英語のスペルを間違えていたり、インターネットに乗っていた参考プログラムのコピーをそのまま貼り付けたりしていました。だから犯人は技術的な誇示よりも警察に恥をかかせたい、そんな悪意だけでインターネット技術を使ったと見て間違いないでしょう。つまり現代社会では悪い人たちがインターネットで悪事を働こうと思えば、その知識を得るのは極めて簡単であることを証明するような事件でした。

 そのほかの大きな事件では、これは今年の事件ですが、韓国の同時多発サイバー攻撃事件というのもありました。韓国の主要な放送局と金融機関のパソコンが攻撃を受け、立ち上がらなくなってしまい大騒ぎになりました。いまやサイバー攻撃を利用すれば、企業や社会に対しても強烈なダメージを与えることができるようになったと言えます。

 さてここで少し話を変えますが、“東京急行”という言葉をご存知でしょうか。もちろん東急東横線などの東急のことではありません。四半世紀も前の冷戦時代のことです。当時、ソ連の飛行機が東京に向けて飛行し、房総半島沖の太平洋上でUターンして帰っていきました。それがあまりにも定期的に規則正しく飛来するので、某所ではこれを揶揄して“東京エクスプレス”と呼んでいたわけです。

 これは何をやっていたかという話の前に、最近、中国が唐突に新たな防空識別圏を設定して大きなニュースになりました。この話題で、自国の空を飛行機が飛ぶことを普段から見張っているのだということを再認識された方もいると思います。防空識別圏は自国の領空に他国の不審機が侵入しないよう、領空をさらに広げた外側に設定してあります。そうでないと飛行機は非常にスピードが速いので、領空に侵入されてから迎え撃っても全く間に合わないからです。

 そこで先ほどの東京急行ですが、当時のソ連は日本が設定している防空識別圏の本当の位置を調べるために飛来していたのです。ある一定の位置まで近付くと、日本の航空自衛隊機が上がってくる。その境界が日本の実質的な防空識別圏で、建前としての防空識別圏はまた別であるとソ連は判断するわけです。

 しかし、今日の私のお話でさらに重要なのは、ソ連軍の真の狙いです。ソ連機が飛んでくると、日本のレーダーが機体をキャッチしてスキャンします。そこでソ連軍は日本のレーダーの周波数とか変調方式とかレーダーの技術的なデータを取るのです。何のためでしょう?それは、もし日本とソ連が戦争になった時に、日本のレーダーにジャミングと言うのですが、電波的な目つぶしをかけるためなのです。つまり軍隊というのは、戦争になってから慌てて相手の弱点を調べるのではなくて、平和な時にこそ、戦争に備えて、あらかじめ敵になるかもしれない相手の弱点を調査しておくものなのです。

 さて、ここでまたシステムの話に戻りますが、セキュリティ業界にいる私の仲間内で最近よく「変だよねー」という言葉が出ます。それは、2年前の三菱重工さんのような1面の大きな記事はともかく、2面とか3面の小さな囲み記事にもじっくり目を通すと、交通網の混乱とか銀行システムの不具合とか空港の回線トラブルとか、色んなシステム障害が起こっていることに気が付きます。これはやっぱり変だと。ここでもう皆さん私の言いたいことをお察し頂けたと思いますが、“サイバー上の東京急行が行われているのではないか?”ということです。これが私の自衛隊とセキュリティ会社の二つの経験から感じ、その危険性を皆さんに訴えたいことなのです。

 そろそろ、時間なのでまとめに入りたいと思います。

インターネットの現状を私の観点で言えば、自動車が発明された直後の世界とほとんど同じだと思います。まだ免許制度も車検制度もなく、もちろん道路交通法も信号機もありません。今のインターネットはまさにそんな世界で、関連する法律もほとんど皆無で非常に危険な状態だと言わざるを得ません。その中で皆さんは暮らしている。その危険性に気が付いている人は少ないように感じます。

 さて本日最後のお話しのポイントになりますが、サイバー攻撃への対策についてお話したいと思います。日本に降りかかっている危険なサイバー攻撃に対して、皆さん一人ひとりはどうしたらいいかということですが、実はその正解はありません。「サイバー攻撃を受けない方法を教えて下さい」という質問は、いわば「風邪を絶対引かない方法を教えて下さい」という質問と同じで、残念ながらそんな特効薬はないのです。あるとすれば結局、基本・基礎の常識的なことをしっかりやっておくということになります。例えば風邪のウイルスが飛び交っているような、怪しいインターネットのホームページには不用意に入り込まないこと。熱があったり体調が変であったりすれば医者に診てもらうのと同じように、パソコンの様子がどうもおかしいと感じたら、ドクターつまりパソコンの専門家に診てもらった方が無難でしょう。

 普段、我々の会社は契約企業さんのインターネットを外部から守る仕事をしています。例えば宝石店が仕事上の安全を維持するため、店員さんだけでは間に合わないからガードマンを雇うようなものです。企業のインターネットを外からガードマンのように監視していて、何か危険が生じた時にはアラームをかけるというような仕事をしているわけです。  その他にも一般企業を対象にインターネットのトラブルを解決する仕事も引き受けていますが、その場合、調査員が出かけて行ってよく調べると大方は大変なことになっています。昨年の例では、その3分の2は1年以上前から攻撃されていたことが分かりました。逆に言えば、不審な侵入に気付いていない企業さんがたくさんあって、ようやく気が付いて調べた時にはもう何年も前から情報が盗まれていたというケースがあるわけです。やはり専門家に早めに相談するということが重要だと思います。

 最後になりますが、サイバー攻撃について皆さんにはもっと危機感を持って頂きたいのです。今の日本に欠けているのは危機感です。さらに言えば危機感でもたりなくて、それは危機意識でなければならず、危機意識だけではまだ足りなくて、問題意識にまで高めるべきでしょう。その問題意識から具体的な行動に移すことが大切で、それは皆様方それぞれの立場に応じた取り組みが必要です。例えば部下のセキュリティを指導できる立場であれば、「うちの会社は大丈夫なのか、具体的にはどうなっているのか?」と声を掛けるだけでだいぶ違うと思います。一般的にどんな会社の担当者もあまり日の目を見ていないので、偉い上司に声を掛けてもらえば嬉しいし、やる気も出ると思います。そのような立場立場での具体的な行動が社会全体のセキュリティを上げて行くことにつながると思います。

         ※2013年12月11日(水)の卓話をクラブ会報委員が纏めたものです。