巧妙化するサイバー攻撃にどう立ち向かえばよいのか。セキュリティ上の防御策から逮捕・起訴、物理的な反撃など懲罰的抑止まで、実際に各国で取られてきた実例を示しながら、アクティブ・ディフェンスのあるべき姿と各抑止策のメリット・デメリットを解説する。


暗殺は「アクティブ・ディフェンス」として許されるのか(C) Gorodenkoff

 最近、「アクティブ・ディフェンス」という軍事専門用語が日本のサイバーセキュリティの世界でもよく使われるようになってきた。しかし、この用語は、そもそも英語圏においても曖昧な定義のまま多々使用されており、混乱を招きやすい。

 コロナ禍の中、IT依存度の世界的な上昇に伴い、サイバーセキュリティの重要性が増し、国家戦略においても、日米同盟や日英、Quad(クアッド)などあらゆる国際協力関係でも重点課題として取り上げられるようになった。各国がサイバー攻撃にいかに立ち向かい抑止すべきかとの「アクティブ・ディフェンス」の姿勢が問われている。

 どの抑止策も一長一短あり、法整備が欠かせず、報復もあり得るため、国民の理解が必要だ。ところが、様々な選択肢を一般向けかつ包括的に論じ、今後の国としてのサイバーセキュリティのあり方を切り開こうとする日本語の資料はほとんどない。そのため、今後の各所での議論のたたき台とすべく、アクティブ・ディフェンスの定義と各対応策の具体例、それぞれの長所と短所について私見を述べたい。

そもそも「反撃」は認められるべきか

「アクティブ・ディフェンス」の定義を巡っては、反撃・攻撃能力が含まれるかどうかで見解が真っ二つに分かれる。

 サイバーセキュリティ研修や資格を世界的に提供している米教育機関「SANS」や米国防総省の下にある国家安全保障局(NSA)は、サイバー空間のアクティブ・ディフェンスに攻撃要素が含まれるのを否定する。攻撃者やサイバー攻撃手法、攻撃対象の動向に関する情報収集を怠らず、攻撃を受けている兆候がないかITシステムを常に監視し、最新の攻撃傾向に即した防御策を取り、ITシステムに脆弱な箇所があれば穴を埋めるのが、アクティブ・ディフェンスと考える。

 米サイバーセキュリティ企業「パロアルトネットワークス」は2016年、先手を打って防御の穴を埋める強固な防御体制がいかに大切かを示す非常に興味深い報告書を出した。40時間(2日間弱)試してもサイバー攻撃に成功しなければ、60%の攻撃者が諦める。優れた技術的能力を有する攻撃者であっても、平均して209時間(9日間弱)サイバー攻撃に成功しなければ、次の標的に移る。

 SANSやNSAの定義は、軍だけでなく、あらゆる政府機関や民間企業にも適用できる包括的なものである。ITがこれだけ多くの組織に利用され、社会経済活動や経済安全保障・安全保障の根幹を成す存在になっている以上、サイバーセキュリティの確保は政府や軍のみならず、あらゆる組織の責任だ。

 但し、全ての攻撃者が堅牢な防御だけで諦めるわけではない。安全保障に打撃を与えるサイバー攻撃に対しては、懲罰的抑止として政府が一歩踏み込んで反撃すべきとの考えのもと、「アクティブ・ディフェンス=反撃能力」と解釈する人たちもいる。サイバー攻撃を受けたら攻撃し返す、あるいは先手を打って、相手のITインフラに攻撃を仕掛け、相手のサイバー攻撃能力を奪ってしまおうとする考え方だ。ただ、攻撃は民間には許されないため、この解釈は政府にしか適用できない。

 抑止策としては、名指しの非難、逮捕・起訴、経済制裁、軍事攻撃による相手のITインフラ無力化や攻撃者の殺害がある。ただ繰り返しになるが、こうした懲罰的抑止を検討すべきと考えつつも、サイバー空間の「アクティブ・ディフェンス」の本来の定義とは切り離して扱う人や組織も多い。

情報機関の高度なインテリジェンスが不可欠

 能動的な防御と懲罰的抑止のいずれの実行においても不可欠なのが、様々な情報源から収集した情報を精査・分析して現状を把握し、次にどのような行動を取るかの判断材料にする「インテリジェンス」だ。どの国や犯罪グループがいかなる動機で、どのような手段を用いて、どの業種にサイバー攻撃を仕掛けているか知らなければ、限りある予算と人手を有効活用したメリハリある防御・対応はできない。

 だからこそ、インテリジェンスを司り、時にはサイバー攻撃能力も持つ情報機関が、海外では国家のサイバーセキュリティ対策で大きな役割を果たす。

 例えば、2016年10月に英国政府がサイバー攻撃対応やサイバーセキュリティ能力構築、官民連携の窓口として設立した国家サイバーセキュリティ・センターは、情報機関である政府通信本部(GCHQ)の下にある。英国防省は、50億ポンド(約7526億円)を投じて、イングランド北西部ランカシャー州サムルズベリーに攻撃能力を有するサイバー軍司令部を設立。GCHQと共同運用し、2030年までに数千人の専門家や分析官を雇用する予定だ。

 米連邦政府のサイバーセキュリティのトップ3人は、全員NSA出身だ。クリス・イングリス国家サイバー長官は、NSA歴28年で副長官まで務めた大ベテランである。ジェン・イースタリー国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)長官はNSAの元対テロ部門次長であり、米サイバー軍の創設にも関わった。ホワイトハウスのアン・ニューバーガー国家安全保障副補佐官(サイバーセキュリティ担当)は、NSAのサイバーセキュリティ部長だった。

「攻撃者の名指し非難」の効果と限界

 サイバー攻撃は、国家の政治的、経済的、軍事的思惑が複雑に絡み合って仕掛けられる。経済力獲得や軍事力強化のための知的財産、機密情報の窃取や、民主主義国家の分断・弱体化のための影響工作や情報戦もある。国益を損なわせるために重要インフラの運用を止めることもある。

 こうした大規模なサイバー攻撃を抑止するには、外交・司法・経済・軍事の幅広い選択肢が必要だ。

 まず、日本を含め多くの国が採用してきたのが、サイバー攻撃を仕掛けてきた国や組織の名指しの非難だ。攻撃者に恥をかかせ、攻撃者のやり口を把握していると示し、今後のサイバー攻撃を思いとどまらせようとする。その前提として、攻撃者を特定できるだけのインテリジェンス能力が求められる。

 被害の規模にもよるが、多くの国が協調して同時に非難できれば、一国単独の非難よりも大きな国際圧力となる。例えば今年7月、日米英豪加、ニュージーランド、欧州連合(EU)、北大西洋条約機構(NATO)が中国政府を背景に持つハッカー集団によるサイバー攻撃を一斉に非難した。

 しかし名指しされても、サイバー攻撃実行を認めて謝罪する国はない。必ず関与を否定する。外交関係がギクシャクすることは当然予想されるうえに、今後は手口を変え、より巧妙なサイバー攻撃を試みるはずだ。ただ、今後のサイバー攻撃のコストを多少上げることはできるだろう。

有罪判決まで8年かかったロシア人ハッカー

 名指しの非難だけでなく攻撃者の逮捕と起訴、裁判での有罪判決にまで持ち込めれば、相手の攻撃能力にある程度は打撃を与えられる。ただし、攻撃者だと断定できる理由を明らかにすれば、こちらの手の内を明かしてしまう。容疑者の仲間は判明した情報を悪用し、検知を避けるサイバー攻撃手法を編み出すだろう。

 さらに、攻撃者を逮捕するには、攻撃者が当該国や犯罪人引き渡し条約のある国を訪れなければ難しい。身柄移送にあたっても、攻撃者の出身国の政府からの報復を巡って駆け引きがあり、実現にはかなりの時間が予想される。

 2012年にリンクトイン社など複数の米ソーシャルメディア企業にサイバー攻撃を仕掛けて侵入、リンクトイン社からは利用者1億人分もの個人情報を盗み出したロシア人ハッカーのエヴゲーニイ・ニクリンの場合、サイバー攻撃から有罪判決までに8年かかった。

 ニクリンは2016年10月、恋人と休暇で訪れていたチェコの首都プラハで警察に逮捕された後、米露双方が身柄引き渡しをチェコ政府に要求。チェコの法務大臣が決断を下し、米国に身柄が移送されたのが2018年3月。そして2020年9月に禁錮7年4カ月の実刑を告げられた。

欧米による経済制裁と渡航禁止

 攻撃者を逮捕できなくても、攻撃者が当該国内に資金を持っている場合や当該国との取引を行っている場合、制裁で攻撃実現を困難にする方法もある。

 米国は2015年4月の大統領令13694と2016年12月の大統領令13757によって、米国の国家安全保障、外交、経済の健全性、金融の安定性、選挙プロセスに多大な脅威をもたらすサイバー攻撃の実行・共犯に関わった個人や組織に制裁できるようになった。

 米財務省は2018年3月、2016年の米大統領選挙への介入などに関与したロシアの5団体と19人に制裁を科し、米国内の資産凍結と米国人による当該団体と個人との取引を禁じている。

 制裁の対象となったのは、ロシア軍参謀本部情報総局(GRU)のハッカーやロシア企業「インターネット・リサーチ・エージェンシー(IRA)」などだ。IRAは、ユーチューブ、フェイスブック、ツイッターに偽アカウントで投稿し、世論操作や世論の分断を試みていた。

 欧州理事会も2019年5月に決定を下し、EUや加盟国への対外的な脅威となるサイバー攻撃の実行者や実行組織、こうしたサイバー攻撃に金銭的、技術的、物質的支援を提供する個人や組織への制裁を可能にした。そして翌年7月、欧州理事会は、中露北朝鮮の3組織と6人に対し、EUへの渡航禁止と資産凍結を科し、制裁対象への資金提供を禁じている。

FBIが奪還したランサムウェア被害の身代金

 こうした経済制裁は、最近のサイバー攻撃の中でも特に経済安全保障上の脅威を増しているランサムウェア攻撃にも有効だ。

 米セキュリティ企業「プルーフポイント」によると、2020年のランサムウェア攻撃被害組織のうち、52%が身代金を払っている。支払われた身代金が次の攻撃の資金源となる悪の連鎖を断ち切るには、盗られた身代金と情報の奪還が一つの重要な鍵となる。

 幸い、今年5月のコロニアル・パイプライン事件後、米国当局は同社の支払った75ビットコインの身代金(当時の相場で5億円弱)と盗まれた100ギガバイトの情報の一部を奪還できた。ブルームバーグの報道によると、米国政府と企業数社が協力し、5月8日、コロニアル・パイプラインから窃取された情報が格納されていたサーバーを差し押さえ、ロシアへの情報送信を食い止めたという。

 米連邦捜査局(FBI)は、攻撃を行ったサイバー犯罪集団「ダークサイド」が身代金の送金先に指定したビットコイン保管のための「ウォレット」の「プライベート・キー」(パスワードに相当)を入手し、63.7 ビットコイン(当時2億5326万円相当)を回収している。

 現在課題になっているのが、ランサムウェア攻撃の身代金支払いに悪用されている暗号資産の取り締まりだ。ロシアとチェコに拠点を置く暗号資産交換業者「SUEX」は、少なくとも8件のランサムウェア攻撃の違法な取引に関与していたため、米財務省は今年9月、前述の大統領令13694に基づき制裁を科した。

いかなるサイバー攻撃が「武力行使」にあたるのか

 懲罰的抑止の最後の選択肢が軍による反撃だ。これまでの実例には、攻撃者への警告メッセージの送付、ITインフラや攻撃者へのサイバー攻撃または空爆などがある。

 複数の政府機関が、サイバー攻撃を「武力行使」や「武力攻撃」と見なし得る場合もあると表明しているものの、どれくらいの被害規模をもたらすサイバー攻撃へのどの程度の軍による反撃であれば適切なのか、その線引きについては模索が続いている。

 ハロルド・コー米国務省法律顧問(当時)は2012年9月、米東海岸メリーランド州フォートミードで米サイバー軍が主催した省庁間法務会議に登壇し、死亡や負傷、大規模な破壊をもたらすサイバー行動は、国連憲章第2条4項の定める「武力行使」と見なされる可能性があると述べた。具体例として原子力発電所のメルトダウン、人口の多い地域でのダムの決壊、航空管制の停止による航空機の墜落の3つを挙げている。

 NATOサイバー防衛センターの招きで、NATO加盟国出身のサイバーセキュリティの専門家たちが国際法とサイバー戦の関係について取りまとめた「タリン・マニュアル」でも、人の死傷や物体の破壊をもたらすサイバー攻撃は、武力行使に相当し得るとの解釈だ。

 NATOは、2014年に集団的自衛権について定めた北大西洋条約第5条を更新し、第5条がサイバー攻撃にも適用されるとした。2021年6月にブリュッセルで開かれたNATO首脳会議の共同声明でも、サイバー攻撃によって第5条が発動され得るとしている。どのようなサイバー攻撃が該当するかについては、ケース・バイ・ケースで決定する。

 2019年4月に米ワシントンDCで開催された2プラス2「日米安全保障協議委員会」の共同発表でも、「一定の場合には、サイバー攻撃が日米安保条約第5条の規定の適用上武力攻撃を構成し得る」とある。但し、何が該当するかは、「他の脅威の場合と同様に、日米間の緊密な協議を通じて個別具体的に判断される」。

18年中間選挙で米サイバー軍が実行した反撃

 2016年の米大統領選挙に対するロシアの影響工作の反省から、米サイバー軍は、2018年11月の中間選挙の前と最中にロシアからの干渉を抑止すべく奔走した。前述のGRUのハッカーやIRAの社員たちに対し、「身元を把握し、追跡している。介入行為を止めろ」というショートメッセージやメール、ポップアップメッセージを送った。米ワシントン・ポスト紙によると、警告メッセージのみにとどめたのは、「武力攻撃」と見なされてロシア側に反撃されないようにするためだったという。

 さらにサイバー軍は、大統領の承認を得て、中間選挙日と票の集計期間中、IRAのインターネット・アクセスを遮断し、プロパガンダを拡散できないようにしている。しかし、同作戦の効果の程度については、政府内でも識者の間でも見解が分かれているようだ。

ドローン空爆でISISハッカーを殺害

 空爆による攻撃者の殺害や本拠地の破壊も行われているが、誤爆や民間人の巻き込み被害のリスクを伴う。

 2015年8月24日、米軍の「イスラーム国(ISIS)」指導部殺害リストの3番目に名前が載っていた英国人ISISハッカーのジュネイド・フセイン(21)を米軍がシリア北部のラッカでドローンから空爆、殺害した。実は、8月13日にも、米軍は、ラッカ近郊でドローン空爆を試みたが失敗し、近くにいた民間人が3人死亡、5人が負傷している。

 フセインは、トニー・ブレア元英首相の秘書のメールをハッキングし、秘書が管理していたブレア元首相のアドレス帳情報や政府職員の個人情報をオンライン上に流出させたため、有罪判決を受けて2012年に半年間収監されていた。

 その後、2013年にシリアに渡り、オンライン・スパイ・ツールを開発するなどしてISISのサイバー能力の構築に貢献した。ツイッターやオンライン・フォーラムを駆使して、数多くのフォロワーを獲得し、ISIS参加を呼びかけている。

 また、2015年8月、ISISのハッカー部隊が、米軍や航空宇宙局(NASA)、国務省やFBIなど米国政府関係者1400人分の名前、メールアドレス、住所、パスワードをオンライン上に流出させ、ISIS支援者に対し、リストに載っている人たちを攻撃するよう呼びかけた際、フセインも関わっていた。

「誰も答えを見出せていない」

 2019年5月5日、イスラエル国防軍は、「イスラエル市民の生活の質にダメージを与える」ことを目的としたサイバー攻撃を仕掛けてきたハマスのサイバー部隊が入居しているガザ地区内の建物を空爆したと発表した。イスラエルのサイバー能力の暴露を避けるため、ハマスによるサイバー攻撃の詳細は明らかにしていない。

 当時、イスラエルとハマスの間ではロケット弾が飛び交っている状況だった。5月3日、数千人のパレスチナ人がイスラエルへの抗議デモをガザ地区で行った際、デモ参加者の一部がイスラエル国防軍に発砲、兵士2人が負傷した。イスラエルは報復としてガザ地区のハマスの拠点を空爆し、ハマスの戦闘員2人が死亡、3人が負傷している。

 5月6日の停戦合意までの時点で、ハマスはイスラエル側に数百発ものロケット弾を打ち込み、イスラエル国防軍もガザ地区のハマスの拠点を空爆。イスラエルの民間人が4人死亡し、パレスチナ側は、少なくともハマス9人を含む23人が死亡した。

 イスラエル国防軍は、まず、国内のインテリジェンス機関と協力の上、ハマスのサイバー攻撃を無力化してから、イスラエル空軍の戦闘機でハマスのサイバー部隊のいる建物を半壊させた。イスラエル国防軍の報道官は、「現時点で、サイバー作戦能力はハマスにもはやない」と発表した。米ワイアード誌は、「デジタル攻撃にほぼリアルタイムで物理的に反撃した最初の実例のようだ」と報じている。

 ただ反撃する場合、原則として、受けた攻撃の倍返しはならず、同程度にしなければならない。米技術系ニュースサイト「ザ・ヴァージ」は、「イスラエル国防軍が空爆前にサイバー攻撃を無力化したと認めているにもかかわらず、今回のような反撃をしたのは適切だったのかとの疑問が残る」と指摘した。

 ワシントン・ポスト紙は、「国がサイバー攻撃で打撃を受けた際、サイバー攻撃のみで反撃すべきか、それとも物理的な手段を使っても良いのか? サイバー攻撃から物理的な攻撃にエスカレートしたならば、更なる報復が起きるのか? 国が逆に物理的な攻撃にサイバー攻撃で応じた場合、それは危険なエスカレートと見做されるべきなのか?」と問いかけ、こう続ける。「誰もこうした問いにちゃんとした答えを見出せていない」。

 また、フセインの件からも分かるように、ある程度時間をかけて準備しても、空爆のように実力行使で反撃した場合、第三者が巻き込まれ、死傷してしまう最悪の事態も考えられる。高度なスキルを持つハッカーであれば、攻撃の痕跡を隠すため、攻撃者の特定は困難だ。ほぼリアルタイムでサイバー攻撃に反撃すれば、正確な標的設定が一層難しい。攻撃の応酬が続いて事態が泥沼化した場合の出口戦略も考慮する必要がある。

広い視野に基づく戦略構築が不可欠

 増大し、巧妙化し続けるサイバー攻撃に対峙するには、後手後手に回るのではなく、攻撃者の動機や手口、標的に関する最新インテリジェンスに基づき、能動的な防御策「アクティブ・ディフェンス」が必要だ。そうしなければ、国の経済安全保障を支える企業の叡智や最新技術情報、安全保障や外交に関する機密情報が盗まれ続け、ランサムウェア攻撃で企業活動が中断させられてしまう。

 防御には、攻撃に使われるツール、コンピュータウイルスや脆弱性、防御策に関する技術的な知識を有する人材がまず必要だ。攻撃の動機を把握して防御戦略を練るには、攻撃者のいる国や地方の言語、文化・歴史・地政学的背景も知り、インテリジェンス能力を持たなければならない。

 防御体制を高めるだけでは諦めない情報機関や軍のハッカー部隊と対峙するには、政府による一歩踏み込んだ懲罰的抑止も求められる。起訴や制裁に踏み切るには、国内法だけでなく、海外の法律や国際法をも理解し、必要に応じて国内法を整備し直せる人材や、金の流れを追える金融・マネーロンダリングの専門家もいる。

 非難、起訴、制裁、攻撃者の使うITインフラの無力化、攻撃者や攻撃拠点の空爆など、どの選択肢を取るにしても、外交的、経済的、軍事的軋轢が生じ得る。制裁や軍による反撃の応酬など事態の泥沼化の危険性もあろう。安全保障や経済安全保障、戦略的コミュニケーションの専門家も交え、広い視野に基づく戦略構築が不可欠である。

 つまり、政府のサイバーセキュリティ対策においては、技術、経済・金融、経済安全保障・安全保障、外交、法律など多様な専門家や戦略家の参加が必須だ。どれをとっても一朝一夕に身につく知識ではない。インテリジェンスを担う情報機関の体制作りや、雇用・協力する専門家のセキュリティ・クリアランス付与もしなければならない。

 二国間・他国間の協力関係でサイバーセキュリティが今まで以上に重要視されている中、防御強化だけでなく、多国間で協調して更に踏み込んだ対応策を求められることもあろう。実のある機微な議論ができるだけの信頼関係を他国と築くには数年かかる。大局観を持って、バランスの取れた対応策を選ぶためには、多様な専門人材向けの教育、そして優秀な人材を登用・長期雇用するための人事異動制度や報酬の見直しも肝要となる。

*******************

松原実穂子

NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。