国家によるサイバー攻撃とは

「国家によるサイバー攻撃」の行動主体は、一般に認識されているハッカーとは大きく異なるものである。一般にハッカーとは、「主にコンピュータや電気回路一般について常人より深い技術的地域を持ち、その知識を利用して技術的な課題をクリアする人々」のことである。

前述のような「国家によるサイバー攻撃」は、その攻撃態様や利用された技術の特性を見る限り、単独のハッカーや小規模のグループで実行することは能力、資金、人的リソースの観点で現実的に不可能に近い。さらに、個性が強く、それぞれの関心が異なる複数のハッカーが集まって同調的行動を行う際、それぞれのハッカーから信頼と敬意を獲得したリーダーや厳格な指揮命令系統が存在しない限り、その同調的行動は短い期間で破綻し、目的達成を果たせないばかりか、関係者外に内部情報が流出することがある。

理由の一つに、参画した一部のハッカーが、外部にあまり流通していない価値の高い情報を、秘密裏に様々なブラックマーケットに高値で”何度も”売るためである。情報という無体物は、他人に与えても元から無くなることがないという非移転性の特性があるため、他者に対して無限に何度も与えることができる。

したがって、情報の価値が高ければ高いほど、費用対効果が極めて高い商材となる。或いは、ハッカーコミュニティで自分自身の名声や価値を高めるために使われることもある。そのため、「国家によるサイバー攻撃」の行動主体には、何かしらの強い統制力が存在しているとみなすのが自然といえる。

ところが、強い統制力を発揮する手段として、高い報酬を与えるだけでは失敗する。前述のとおり、得ることのできた内部情報を他所に高値で売る輩が存在するためである。また、特定の技術領域に長けているハッカーを指揮命令系統の中に入れる場合は、その技術領域の範囲内で活動の場を適切に提供しなければならない。さらに、現在、国内外においてセキュリティ人材という名目でハッカーを育成する取り組みが推進されているが、そのハッカー以上の能力と経験を積んだ技術者を確保して、教える立場に据えなければならない。

(画像:アーバーネットワークス社)

人材以外の観点で「国家によるサイバー攻撃」を眺めると、秘密裏に開発された「高度な技術」の存在がある。敵対する国の社会インフラにおける重要システムは、すでに高いレベルのセキュリティ対策が施されているため、これを凌駕する攻撃技術を開発或いは獲得することが必要となるが、これは一般的な技術開発とは大きく異なるものである。

一般的な技術開発は、「産業や生活などを一層有効な形で運営するための技術の獲得を目的として、それを成し遂げるための組織的な努力のこと」である。実際の活動は、製品や製法のイメージを明確にした上で、科学における知識や法則の基盤を基に、社会のニーズに当てはまるものを発明していく。これにより、資本主義体制という、資本つまり貨幣の運動が社会のあらゆる基本原理となり利潤や余剰価値を生む体制の社会において、技術開発の好循環が進み、常に社会と対話しながら高度な技術が作られていく。

そのため、敵対する国の社会インフラや重要施設に深刻な被害を与える攻撃技術の開発においては、対話すべき対象が「社会」ではなく、「特定の国家機関」となる。そして、このような技術開発の調達先の多くが、利潤追求を求める民間企業であるため、特定の国家機関は、開発された攻撃技術に対する対価を支払っていくことになり、膨大な予算を確保しておくことが求められる。

さらに、技術開発に必要となるイメージを作るためには、敵対する国の社会インフラや重要施設において実際に稼働しているシステムの構成や利用技術を把握及びそれらの脆弱性を徹底的に見出した上で、被害を確実に発生させるため攻撃プロセスを立案していくことになる。つまり、「特定の国家機関」は、高度な諜報能力と緻密な作戦能力の発揮が求められる。

このように、特定の目的を達成するためのハッカーの育成や確保や、攻撃を実現するための高度な技術を開発するには、様々な困難を伴うことになる。しかし、豊富な資金力(予算)が確保でき、かつ強い影響力を行使できる権限を有する「特定の国家機関」であれば、その実現は不可能ではない。すでに、諸外国で確認されている「国家によるサイバー攻撃」の多くに、国家の意思が必然的或いは潜在的に反映されている。

民間企業の立場からみたサイバー攻撃

民間における企業は、営利を目的として一定の計画に従って経済活動を行う経済主体(経済単位)であるため、第三者にとって有益な情報を内部に保有している。そのため、経済的利得を目的としたサイバー攻撃の被害に遭いやすい。

特に、ブラックマーケットでの売買や他のサイバー攻撃に利用することができる「クレジットカード情報及びID/パスワード等の個人情報」や「知的財産等の営業秘密情報」の窃取を狙ったサイバー攻撃が突出して目立つ。

このような攻撃による被害が続いていくと、民間分野の事業活動に重大な影響を与えるため、政府機関は、2003年に個人情報保護法及び関連ガイドラインを整備し、民間企業にその遵守を強く求めた。具体的には、プライバシーマーク制度やISMS(情報セキュリティマネジメント)適合性評価制度を社会全体に浸透させ、「その認証を取得することで、適切な管理策が実現し、情報セキュリティインシデントの発生可能性やインシデントが顕在化したときの損害を減らすことができる」という、情報セキュリティ対策により企業価値が向上するという文化を醸成していった。

この結果、2014年の国際標準化機構(International Organization for Standardization)の統計によると、日本におけるISMS(ISO27001)の認証取得企業は7,181社となり、全世界の30%を占めるようになった。また、認証取得を目的とせずセキュリティ管理のための枠組み(フレームワーク)としてISMSを活用する日本企業も多くなった。これにより、日本の情報セキュリティレベルを向上させるという点では、一定の成果が得られた。

ところが、2006年ごろから相次いで民間企業からの情報流出事故が急増し、情報セキュリティの認証を取得した企業でさえ、数百万件ほどの個人情報流出事故を起こすようになった。これは、認証取得時における想定脅威を「技術を誇示する愉快犯」や「金銭搾取を狙う犯罪」としていたが、その後に大きく変化したサイバー脅威に積極的な関心を向けていなかったことに大きな問題があった。

つまりに、民間企業は、無自覚(自分の責任や義務などを自覚せず)に想定脅威が変化しないものと捉えて、防御策を固定的なものとしてしまい、変化する脅威に対する防衛策を動的に変更管理していなかったのである。見方を変えて言うならば、民間企業の経営層が、継続的に変化をしていくサイバー空間における状況認識を怠ったことにより、経営層自らの危機意識やリスク感覚が欠如し、組織を危険な状況に置いてしまったということができる。

アーバーネットワークス株式会社(ASERT アーバー・セキュリティ・エンジニアリング&レスポンス・チーム ブログより)
http://jp.arbornetworks.com/

(了)