◆被害確認されず、しかし今回が最後ではない
三菱重工サイバー攻撃事案ですが川崎重工やIHIという防衛産業の一角にも攻撃が試みられていたことが判明しました。
IHI・川崎重工にもサイバー攻撃・・・ IHIは20日、同社のサーバーやパソコンが2009年7月から、第三者からサイバー攻撃を受けていることを明らかにした。 現時点でコンピューターウイルスに感染したケースはなく、情報の流出もないという。関係者を装って大量に送られたメールの添付ファイルを開くと、ウイルスに感染し、情報が外部に流出する恐れのある「標的型攻撃」だった。同社は、警察庁に相談している。同社は、防衛省向けの戦闘機のエンジン部品や護衛艦のほか、原子力発電所の圧力容器などを製造している。
防衛・原発関連産業では、三菱重工業がサイバー攻撃でウイルス感染したことが明らかになっており、業界全体が攻撃の対象となっている可能性がある。 哨戒機や潜水艦の生産などの防衛産業を手がける川崎重工業でも、標的型攻撃メールと思われる着信が確認されており、時期や規模については「情報管理上明らかにできない」(広報部)と説明している。これまでのところ適正な処理をしていることから、外部への情報流出はないという。(2011年9月20日22時13分 読売新聞)http://www.yomiuri.co.jp/national/news/20110920-OYT1T01008.htm
三菱重工ですが、防衛関係の情報漏えいがあった場合には防衛省へ即座に報告するという義務を怠っていたとして、防衛大臣が不快感を表明しました。被害状況の確認に時間を要していた、というのが三菱重工の回答ですが、しかし報道が出た直後に防衛省に報告している、その大元となった報道では八月の時点でサイバー攻撃の可能性を見出し、専門業者に解析を依頼していた、とされていますので、確認のために遅れたというのは一日夜二日の話ではなく一週間や二週間以上という次元の話のようです。
八月に判明した事案を防衛省に報告したのが九月下旬、これは企業の情報に関する立場としてどういうものなのか、という一点に尽きます。一方で、法的に、いわゆるスパイ防止法を制定したとしても日本国外からの攻撃に対しては管轄権がありませんし、まさか海外にあるクラッカーの自宅に特殊部隊を派遣するわけにもいきませんので、対処能力の強化を図る以外方法がないというのが実情でしょう。
。三菱重工については、日本の防衛産業の中心となっている企業である点、10式戦車をはじめ自衛隊が我が国の防衛を行う上で必要な装備品を生産しているだけではなく、航空自衛隊の次期戦闘機選定に際して、特に現在の選定が難航している最大の要因、F-22の導入が実現しなかった背景に海上自衛隊イージス艦情報漏えい事件があり、情報管理は国の安全保障にかかわる問題でありながら防ぐことができなかったという点、先端技術実証機のような秘匿しなければならない情報についても不安要素が生じた、という意味で重大ですが、IHIや川崎重工についても、現在のところ被害は確認されていないながらも攻撃が行われていたという形跡の判明は大きな不安があることも間違いありません。
それだけではなく、東芝や日本電気といったほかの防衛産業や重要な技術を担う下請け企業などから情報漏えい、外堀から攻められているという可能性は大丈夫か、という不安が生じます、この点はどうにかならないものでしょうか。今回の情報漏えいに対してどの様な防御措置が取られていたかは全く想像に頼るほかないようですが、単純にパスワードの頻繁な変更やメールへの警戒だけでは防ぎきれないものがありまして、攻撃技術も進歩しますからネットワークに加入している以上完全という言葉だけはあり得ませんので、継続的な対策が必要です。
徹底した暗号化措置と端末利用の制限を行い且つ銀行のオンラインシステム並みの完全独立のスタンドアローン型ネットワークを構築すれば、ある程度被害は防げるのかもしれませんが、端末利用制限は設計作業の煩雑化を呼び開発の長期化と不具合点検の複雑化を招いてしまいますし、ネットワークに関しては内部からの侵入に対し脆弱性を有しているばかりではなく検査費用も大きく、万全といえるようなものは防衛関係の情報でも設計情報などは私企業の財産である以上、政府が私企業のために汎用性のある独自のネットワークの整備費を捻出することは難しく同時に点検もできない、他方で企業努力に頼るという方便で自己負担の強要を行うことも少々無理があります。
一方で忘れてはならないのは、現時点で判明していおる被害というだけではなく、何らかの対策を講じない限り今回が終わり、ということも絶対にありえない、という現実です。この点で、隣国や同盟国では、いわゆるサイバースペースにおける軍事攻撃の意味合いを通常戦力による攻撃と同程度に比重を高めている趨勢があり、この種のサイバー攻撃は国際法が禁じている武力攻撃に分類されないことから法的対策ではなく純粋な技術的対策を、特に予算面や技術面での支援という私企業では限界のある分野については国家規模で推進する必要が出てきます。
被害が私企業の私的データに対してのものですが、国としてソフト面での支援は実施してゆかなければなりません。ある程度行っているのかもしれませんが不十分でした。国が関与する意味について軍事力をハード面に限り解釈し、例えば武力攻撃という意味で自衛隊の活動を制約しながら武力行使と受け取られるような汎用品を輸出したり、テロと軍事攻撃の概念についての一貫した論理の施行を忌避した我が国ではサイバー攻撃と国家による対処というものは難しい話です、しかし理解しなければなりません。
北大路機関:はるな
(本ブログに掲載された本文及び写真は北大路機関の著作物であり、無断転載は厳に禁じる)
