過去4回に渡り、サイバー攻撃・サイバー防衛の基本となる話をいろいろと取り上げてきた。そこで今回は、サイバー攻撃に特有の、厄介な問題点について取り上げてみようと思う。
私はやってない(?)
まず、「否認性」である。平たくいえば、攻撃側が「私はやってない、潔白だ」としらばくれるのが容易という話だ。それはなぜか。
第一に、攻撃者が攻撃元、あるいは自身の身元を秘匿する手段や手口がいろいろある。攻撃者がターゲットとなるコンピュータやシステムに直接侵入する場合はいうに及ばずだが、それ以外の場面でもいろいろな可能性が考えられる。
たとえばDoS(Denial of Service)攻撃やDDoS(Distributed Denial of Service)攻撃を仕掛ける場合、無関係の第三者が使用しているコンピュータを乗っ取って攻撃用のプログラムを送り込んで、お先棒を担がせることができる。お先棒を担がされた側にしてみれば、いつの間にか知らない間にサイバー攻撃の犯人に仕立て上げられるわけだ。
そこで、"攻撃元" が突き止められて司法当局が踏み込んでくるようなことになれば、それはもう、人生に関わるリスク要因になりかねない。もちろん本当の攻撃元は別のところにいるのだが、お先棒を担がされた側がそれを知る手段はない。
第二に、軍事組織が軍事的目的でサイバー攻撃を仕掛けるからといって、それが制服を着た軍人による仕業になるとは限らない。むしろ、そういう体裁をとらない方が、否認性という観点からすれば有利である。
たとえば、作戦を仕切るところだけ軍の関係者が担当して、民間人のブラックハット・ハッカーをリクルートして組織化した上で、攻撃を仕掛けさせる。つまりサイバー民兵だ。
リクルートして組織化するまでもなく、場合によっては「愛国的な」ブラックハット・ハッカーやスクリプト・キディが、自発的に攻撃を仕掛けるケースも考えられる。エストニアやグルジアの事案では、こうした攻撃がかなりあったようだ。
どちらにしても、実際に攻撃を担当するのが市井の民間人であれば、軍は関与を否定して「それは民間人が勝手にやったこと」とすっとぼけることができる。
それどころか、「自分こそ被害者だ」と居直ることも、もしもその気になれば自作自演で自らを被害者に仕立てることも、理屈の上では可能である。いや、実際にそういうことがなされているとか、具体的にどこの国がとかいう話ではないが。
頭数の多さは問題にならない
さらにサイバー攻撃が厄介なのは、攻撃者の頭数と、攻撃の規模やダメージが正比例しないことである。優秀な攻撃者が少数いるだけでも大きなダメージを与えうるということだ。
つまり、サイバースペースにおける戦争では、予算が豊富な国や勢力、あるいは頭数が多い国や勢力が有利になるとは限らない。おカネや頭数がなくても、優秀なブラックハット・ハッカーを確保できれば、それだけで一発逆転か、少なくとも形勢を有利な方向に運ぶことができる可能性は常に存在する。
ましてや、(どこの国のこととはいわないが)人口が多く、使えるリソース(コンピュータ機器や通信インフラなど)が豊富で、統制が行き届いている体制の国であれば、優秀な人材を発掘・育成してサイバー戦士の集団を組織するのは容易になる。
しかもインターネットの普及により、地球の裏側からでも攻撃を仕掛けることができる。攻撃者がターゲットのところまで物理的に出向く必要がないのは、攻撃側にとってみれば極めて利点が大きい。
COTS化が攻撃側を有利にした可能性
さらに話を厄介にしていると考えられるのが、ウェポン・システム、とりわけ情報通信分野におけるCOTS (Commercial Off-The-Shelf)化の広がりである。
COTSについては、以前に連載していた「防衛産業ウォッチング」で取り上げたことがあった。コンピュータのハード/ソフトだけでなく、通信機器、そこで使用するプロトコルなど、軍用として専用のものを開発する代わりに民生技術を活用する事例はひきもきらない、という話である。
だから、軍用ネットワークがイーサネットだったりTCP/IPネットワークだったりするし、そこでインターネットと同じプロトコルを使った電子メールやチャットのメッセージが飛び交っていたり、ということが日常的に起きている。市販のパソコンをそのまま使っている事例はたくさんあるし、オペレーティング・システムも同様だ。WindowsマシンもLinuxマシンもたくさん使われている。
ということは。インターネット上で利用可能な攻撃手法、あるいは民生品のソフトウェアで発覚した脆弱性といったものが、みんな軍用システムを狙う攻撃者を手助けする可能性があるということだ。
弱者ほどサイバー戦の価値が大きい
ここまで述べてきた「否認性」「頭数が問題にならない」「COTS化の広がり」といった話は、「弱者ほどサイバー戦の有用性が高い」という話につながる。
ゲリラ戦の基本は民衆の海の中に紛れ込んで泳ぎ回ることだが、否認性という特質は、インターネット利用者という海の中に紛れ込んで泳ぎ回ることである、ともいえる。そして、少数の優秀な人材が、COTS化によって入手しやすくなった攻撃ノウハウを活用して攻撃を仕掛ける……しかも、攻撃対象になるのが先進国であれば、そちらの方が情報通信技術に依存する度合が高いだけに、攻撃を受けたときのダメージが大きい。
こうなれば、一般的には弱者とみなされている国家、あるいは非政府主体が相対的に有利になる。筆者がサイバー攻撃を「弱者の最強兵器」とみなしているのは、そういう理由があるからだ。
しかも、だからといって核・生物・化学兵器みたいに「規制しよう」という国際的コンセンサスは芽生えにくいし、芽生えたところで実効性のある規制はかけられない。防御側の方が何かと不利な状況にあるのは致し方ないが、それでもなんとか防御策を講じていくしかないというのが正直なところだろう。
執筆者紹介
井上孝司
IT分野から鉄道・航空といった各種交通機関や軍事分野に進出して著述活動を展開中のテクニカルライター。マイクロソフト株式会社を経て1999年春に独立。「戦うコンピュータ2011」(潮書房光人社)のように情報通信技術を切口にする展開に加えて、さまざまな分野の記事を手掛ける。マイナビニュースに加えて「軍事研究」「丸」「Jwings」「エアワールド」「新幹線EX」などに寄稿しているほか、最新刊「現代ミリタリー・ロジスティクス入門」(潮書房光人社)がある。