サイバー攻撃の餌食になりつづけの日本

日本がサイバー攻撃の餌食にされ続ける理由

 山田 data-id="-3" data-m="'{"i":-3,"n":"socialtoolbar","o":1,"p":-2,"y":8}'>

【概略】

 今年6月19日、オーストラリアのモリソン首相は、政府と企業を標的にしたサイバー攻撃の被害を明らかにした。

相手は攻撃の規模や性質から、国家ベースのものだという。報道では、コロナの発生源を巡って…

（山田敏弘：国際ジャーナリスト）

　最近、世界各地でサイバー攻撃に関するニュースが急増している。

　イギリスの国家サイバーセキュリティセンター（NSCS）は7月16日、新型コロナウイルスのワクチンなどを狙ったロシアからのサイバー攻撃が頻発しているとして、ロシア諜報機関などを非難する声明を発表した。この警告は、アメリカとカナダと連名で出されている。

　

　またアメリカの司法省は7月20日、中国政府系のハッカー2人を起訴したと発表した。

起訴状によると、中国在住の2人は、中国のスパイ機関である国家安全部（MSS）などのために世界各地でサイバー攻撃を行い、日本を始め世界12カ国で45の政府機関や民間企業へのハッキングを仕掛けたという。しかも新型コロナのワクチン開発や治療データなども狙っていた。

　

🔶米国により続々と起訴される中国人ハッカー

　こうした攻撃は氷山の一角に過ぎない。中国だけを見ても、欧米諸国へのサイバー攻撃はこの20年ほどの間に数え切れないほど実行している。

　米国が確たる証拠を掴んで攻撃者を起訴したサイバー攻撃に絡んだケースでは、2014年の人民解放軍の5人を皮切りに、2017年に中国人民間ハッカー3人、2018年にはMSSと関連ある民間ハッカー2人、2019年にも2名が起訴されている。

　

　2020年1月にも、2017年に米信用情報会社エクイファックス社から個人情報を大量に盗んだとして人民解放軍のハッカー4人が起訴された。

　とにかく、中国の場合は、軍も民間も協力し合っている場合が多く、中国政府系ハッカーらのオペレーションになるとその規模も相当な大きさになる。

　

　日本でもここ最近、読売新聞や日経新聞が相次いで国家の安全保障やサイバーセキュリティについての短期連載を掲載するなど注目度も高まっているのだが、先の米英のニュースなどを見るにつれ、筆者は日本のサイバーセキュリティにおける対応の鈍さが心配になる。

　

　今年に入ってから、日本を代表する企業を狙ったサイバー攻撃が次々と表面化しているからだ。

　例えば1月20日に電機メーカー大手の三菱電機が大規模サイバー攻撃を受けていたことが判明した。その後、1月31日にはNECが攻撃を受けていたことが明らかになり、さらに大手鉄鋼メーカーの神戸製鋼所、航空測量大手パスコ、NTTコミュニケーションズなど次々とサイバー攻撃事案が報じられた。防衛関連情報や個人情報が狙われていたのだ。

　

　問題はサイバー攻撃の被害だけではない。最近表面化したこれら大手企業へのサイバー攻撃は、多くが何年か前に起きていたケースだったことが問題なのだ。つまり、攻撃を受けていたことが周知されるのに随分と時間がかかっていたことになる。

　三菱電機もメディアが報じたことで表面化したものだし、そのほかのケースも三菱電機の件が明らかになったことに便乗したり、防衛省側からの指摘で公表したりしたものと見られている。

　だが現実には、筆者が取材で国内外の情報関係者やサイバーセキュリティ専門家などから聞いている分析などを総合しても、日本もずいぶん前からサイバー攻撃の餌食になっている。日本が誇る大手企業が研究開発に尽力してきたテクノロジーが、国外からのサイバー攻撃の標的になってきた。

　悪いことに、被害に遭ったことに気づかない場合もある。実際に盗みだされてしまっている具体的な技術なども、攻撃者たちをモニターしている国外のセキュリティ関係者から知らされることもあるのだ。

🔶被害に遭っても公表したがらない日本企業

　ただどんな形であれサイバー攻撃の被害に遭ったとしても、そもそも日本企業はサイバー攻撃を受けたことを報告したがらない傾向がある。なぜなら上場企業なら株価に影響を与えたり、株主などからも対策が不備だと批判されたりする可能性があるからだ。

　だが新型コロナウイルス感染症のことを思い浮かべてほしい。公衆衛生上の問題であれば、巷間でどんな病気が流行っているのか、またどんな病気で人が死んでいるのかなどをきちんと把握することができなければ、適切な対応はできないし、政策も作れない。つまり、一刻も早くどんな「ウイルス」による攻撃が起きているのか周知しなければ、攻撃への対策も被害拡大の防止もできないのである。これは「サイバー攻撃」についても全く同じだ。

　もちろんサイバー攻撃を受けると内部調査などが必要になるし、事態を把握するのにそれなりに時間はかかる。　ただ例えば、2018年5月に欧州で始まった規制「EU一般データ保護規則（GDPR）」では、サイバー攻撃でデータへの侵害が発生した場合に72時間以内に報告する義務がある。もし報告しなければ制裁金も科される。つまり欧州ではとにかく報告をせざるを得ない環境になっている。

　先日、日本政府が、サイバー攻撃で個人情報が盗まれた日本企業に対して、被害個人への通知と当局への報告を義務付け、違反した場合には罰金を科す方針であると報じられた。ただその義務化が始まるのは2022年からだという。

　そう、2年も先の2022年からなのである。本来なら世界中のハッカーらがこぞって狙う世界的なイベントである東京五輪が行われているはずだったこのタイミングで、サイバー攻撃の被害を報告する義務を2年後から行うというのだ。

　

🔶被害の公表なくして抑止効果なし

　サイバー攻撃はこの瞬間も起きている。なのに、なぜそれほどの時間をかけるのだろうか。企業は2年を待たずとも、義務化を待たずに報告を速やかに行う体制を作るべきだ。

　もっとも、問題は政府や企業だけではない。メディアにも責任はある。一つ提案したいのは、メディアがサイバー攻撃で「漏洩」という言葉の使用をやめるべきだということ。

　

サイバー攻撃の世界では、攻撃側が圧倒的に有利であり、防御側が攻撃を阻止するための対策を講じても攻撃者はそれを超えてくる。特に攻撃者が政府系ハッカーともなれば、時間も予算もリソースあるために到底敵わない。日本の大手企業はそれなりにサイバーセキュリティにコストをかけて対策をしてはいるが、それでも相手はその壁を突破してくるものなのだ。

　そこで「漏洩」という企業側に過失があるようなニュアンスで報道されるのは企業側にとっては酷だ。ますます報告したがらなくなる。そこで、「盗まれた」「奪われた」という言い方にすべきではないかと思うのだ。

　自宅を施錠していても空き巣に入られるのと同じで、悪いのは強盗、つまり攻撃者なのである。情報は不注意で漏れるのではなく、力ずくで盗まれるのだ。

　　

　サイバー被害情報を共有・公開しないことのもう一つの弊害は、攻撃者にとって日本が攻撃しやすい対象になるということだ。なぜなら、敵対国の政府が主導してどれだけ悪質なサイバー攻撃を行なっても、日本企業がその事実を隠すために被害が表に出る心配はないし、非難すらされない。対策も共有されない。これなら攻撃者は犯行を繰り返すだろう。サイバー攻撃被害に口をつぐむ日本企業には、自分たちがそんな情けないことをやっているという自覚が必要だ。

　逆に言えば、攻撃されたことを公表し、声高に批判することは抑止力になるのだ。

　冒頭で触れた米国のケースでは、政府は中国からのサイバー攻撃に対して起訴に乗り出し、声高に中国を非難している。しかも批判の矛先が向いているのは中国だけではない。今、欧米の諜報関係者やサイバーセキュリティ関係者らは、悪意のあるサイバー攻撃を繰り返す中国、ロシア、イラン、北朝鮮を「ビッグフォー」と呼んで警戒している。米国はこれまでにビッグフォーのハッカーらを何人も指名手配にし、犯人不在のまま起訴している。

　もちろん起訴したからといって、実際に実行犯を拘束して罪を償わせることはできないが、攻撃者を特定し、顔写真も入手し、起訴状を作って次々と糾弾するやり方は、相手を牽制することになるし、抑止効果もあるだろう。しかも米政府は、起訴に加えて、個人や企業などに制裁措置も実施している。

　翻って日本の状況はどうか。被害を受けてもなかなか発表しないし、仮に企業から管轄官庁に報告しても、彼らが自発的に対外発表することは多くない。外国からの攻撃だと、国外のコンピューターに捜査目的で入り込むことができないために攻撃者を突き止めることはできない。米国のように政府として指名手配や起訴したり、経済制裁に乗り出したりして戦う姿勢を見せることもできず、政府はただ指をくわえて見ているだけだ。

　テクノロジー大国である日本のこうした実態について、筆者が付き合っている米国、英国、ドイツ、イスラエルのサイバーセキュリティ専門家らは失望感を隠さない。日本は能力があるのに「なぜやらないのか」と言い、「なぜ世界をリードしようとしないのか」と首を傾げているのである。

　

　そうしている間にも、中国などライバル国は日本企業から知的財産を奪い、着々と日本人のデータを蓄積している。

　日本では2015年に日本年金機構から125万人分のデータが盗まれたケースが有名だが、もちろんそれ以外にも日常的に大量のデータが日本企業から盗まれている。明らかになったものを見ても、2019年だけで大手金融機関、大手家電メーカー、大学から医療機関、中小企業に至るまで幅広く被害に遭っているのだ。

　　

　海外でも、中国は冒頭で触れたエクイファックス社から1.5億人の分の個人情報を盗み、米人事管理局（OPM）への攻撃では、連邦職員2150万人分の個人情報を奪っている。これら以外にも大量の個人情報が中国を中心とした政府系ハッカーらに盗まれているのだ。

© JBpress 提供 『サイバー戦争の今』（山田敏弘著、ベスト新書）

　台湾も、2008年に約2300万人の人口のうち1500万人の個人情報が中国政府系ハッカーらによって政府機関などから奪われている。

中国はこうした莫大な個人データを元に、ライバル国などのデータベースを構築していると言われる。スパイが工作などを行う際にもこのデータベースが活用され、サイバー攻撃のターゲット情報にすることもあると分析されている。政府に近い中国企業がビジネスを有利に運ぶために利用している可能性もある。

　日本の現状は、丸腰のまま敵に囲まれて攻撃を受けている状況だ。特にコロナ禍でリモートワークが増える中、さらにサイバー攻撃を受けるリスクは高まっている。であれば、一刻も早い対応が求められる。現状を正しく把握しているのなら、「2年後」などと悠長なことを言っている余裕はないはずだ。

PR Microsoft ニュース

　

※参考数字(最新ではありません。2018年から現在)

🔶諸外国の宇宙軍は

〇ロシア
1992年 『宇宙軍』 創設
『航空宇宙軍』 となり2016年時点での人員は約14.5万人。 航空機約2,500機を保有。 武装機 （回転翼機を除いても、爆撃機、戦闘機、戦闘攻撃機、攻撃機、武装偵察機） を約1,100機保有という日本海空自衛隊を上回る人員装備。

〇中華人民共和国
1984年 『中国人民解放軍ロケット軍』。1966年7月1日に極秘裏に設立、ロケット軍に改名されるまでは別名で存在していた。
中国の弾道ミサイル及び地上発射長距離巡航ミサイルを運用する独立軍種。兵員は３０万人以上。核抑止、核攻撃、通常ミサイル精密打撃をその任務としている

〇アメリカ
2019年8月29日に再編成された 『アメリカ宇宙軍』創設

🔶では、近代戦のサイバー部隊は
世界各国のサイバー部隊の主だった部隊のトップ５は中国、ロシア、イスラエル、アメリカ、北朝鮮。

〇中華人民共和国
「中国サイバー軍」2011年5月広東省広州軍区にもサイバー軍の存在を認めた。
サイバー攻撃部隊だけでも２０万人。
※中国のサイバー部隊はますます増強中でもあります。人民解放軍は2015〜2016年に組織改編をしていますが、そこで人民解放軍戦略支援部隊という組織が作られました。詳しい実態は明らかになっていませんが、プロパガンダもサイバー攻撃も、コンピュータを使う攻撃・作戦は全部そこに入れ込もうという構想です。となれば、すでに数百万人規模の部隊になっているとの分析も聞いています。軍事予算の30％近くをそこに充てようとしているという予測もあるほどです。

〇ロシア
ロシア連邦軍参謀本部情報総局（GRU）のほか、ロシア連邦保安庁（FSB）などがサイバー戦に従事。

〇イスラエル
国防軍参謀本部諜報局（アマン）傘下の8200部隊がサイバー戦の主力部隊。

〇アメリカ
「アメリカサイバー軍」　2005年3月、サイバー戦争用の部隊サイバー軍を組織した。国防長官が外国政府によるサイバー攻撃を戦争行為とみなすと表明している。

〇北朝鮮
北朝鮮サイバー軍は約7000人規模と推測。世界各国の企業等にサイバー攻撃をかけて国家的規模で金品を搾取している。

〇北大西洋条約機構 （NATO）
ベルギーの 「情報通信局」 がNATO加盟国に対するサイバー攻撃を監視。

〇日本
2014年3月に防衛省・自衛隊に保全監査隊を廃止して、総人員約110名のサイバー防衛隊が将来2025年を目途に完成見込み。(宇宙軍は宇宙ゴミ対応で20名の『班』程度の部隊が今年創設された)
※日本の自衛隊は陸13万、海4万、空4万人。総員で約22万人。常時10％以上の欠員の上、第〇〇大隊等の名前があってもその実は全部で３個大隊しか無いのに第17とか35とかまでの呼称を付けているのが現実。活動や訓練は大部分が災害救助や離島やへき地の急病人搬送などに費やされています。

現実をみると　凄い状態になっていましたが知らない人も多いのでしょうね、日本国民。