オフィスや家庭で使われるインターネットから、交通や通信などの社会的インフラの制御まで、ITシステムへの依存を高める現代社会。そこでは、コンピュータウィルスを使った情報の窃盗やPCの遠隔操作、不正アクセスなどさまざまなサイバー攻撃が日常的に行なわれている。我々はこのような時代をどう生きるべきなのか。東京電機大学教授で内閣官房情報セキュリティ補佐官を務める、セキュリティ技術研究の第一人者、佐々木良一氏に聞いた。

東京電機大学　未来科学部　情報メディア学科　教授　佐々木　良一　氏
（内閣官房情報セキュリティ補佐官）

＜イラン核施設の遠心分離器1,000台を破壊＞
　――先生は「ゼロリスクはない」時代であることを認識することがとても重要と言われています。どのような意味でしょうか。

　佐々木良一氏（以下、佐々木）　たとえば、2010年に米国とイスラエルがイランの核施設を破壊するために開発したマルウェア・ウィルス"Stuxnet"というのがあります。当時イランにあった核燃料を精製するための遠心分離機5,000台のうち、1,000台を破壊したと言われています。もちろん、イランの核施設のシステムとインターネットは切り離されていました。
　では、どのようにウィルスは侵入できたのでしょうか。イラン側が核施設内の事務用コンピューターのプログラムをアップデートしようとした際に、USBメモリーから、人間の手を介して、ウィルスが侵入し、その後、施設内のLAN経由で拡がったと言われています。このような巧妙な手を使えば、どのような場合でも感染させることができます。

　もう少し、日常的な例を挙げてみます。企業では「標的型メールを開けないようにしましょう」ということが言われます。このことは、まったく正しいのですが、企業のセキュリティ対策としては意味がないことが、私たちのチームの調査・分析でわかっています。数万人の従業員の１人でも開けてしまい、ウィルスが侵入すれば終わりです。このウィルスはなかに留まり、開けなかった従業員のPCにも影響を与えることになります。しかし、何万人いる社員の日常をリアルタイムで監視することは、不可能だからです。

＜「DDos攻撃を請け負います」のサイト出現＞
　――アメリカ・イスラエル連合のイランへのサイバー攻撃は衝撃的でした。このとき、人類はある一線を超えてしまったのでしょうか。

　佐々木　そのように考えられる方もいます。少なくとも、平時におけるサイバー戦に突入したことを意味します。この2010年頃を境に、攻撃の方法、内容等を含めて大きく変化していきます。

　たとえば、これまでは国家の意思を受けてやる攻撃は、とても控え目でした。しかし、マルウェア・ウィルス"Stuxnet"事件をトリガーにして、より激しいものになってきています。お金儲けのためのサイバー攻撃の請負業も出現、確実に拡がっています。中国やロシアのWeb上には、「DDos攻撃を請け負います」というサイトも出現しています。

　サイバー攻撃のやり方も巧妙化しています。最近ですと、他人のデータに暗号をかけ、お金を払わないと見ることができなくさせるというのもあります。従来から、怪しいサイトに入るとお金が要求されるものはありました。しかし、現在は、逆に自分のPCに怪しい画面が急に立ち上がり、お金を払わないと消してもらえないものまであります。
　今までPCを使わなかった人たちがスマートフォンを使うようになったことも、この問題の解決をさらに難しくしています。スマホは機能的にはPCと同じです。そのために、影響を受ける範囲、護るべき範囲が個人、企業、国家、どの対象においても拡大しているのです。

　このような現状を打開するために、３、４年ぐらい前から、経済産業省や総務省等が大企業（基幹産業が中心）等と連携をとり、制御系システムや重要インフラシステムに対する安全性の検証や攻撃実験等のシミュレーション的なものをやり始めています。

　しかし、個人情報流出は、７割が内部の人間によるデータの持ち出しによって発生すると言われています。同じように、セキュリティ対策も技術的対策だけでは不十分で、管理的対策（教育、プラントを攻撃された場合の訓練等）が必要なのです。そのことを考えると、どこまで行ってもリスクはなくならないことになります。

≪　（１）　｜　（３）　≫

※記事へのご意見はこちら