「デジタル庁が目指すべき“人間中心”のAI戦略とサイバーテロ対策」（1）

国際政治経済学者　浜田 和幸

日常的なサイバーテロの可能性が深刻化

　サイバー空間の安全や公平性を維持、管理するのは大変なことである。何もトランプ大統領が気に入らないニュースをことごとく蹴散らすときの決まり文句である「フェイクニュース」のことではない。狙った相手国の政府や公共施設（電力、通信、交通網）をマヒさせることが技術的に可能な時代になったからである。国家の安全保障にとっても看過できない事態といえるだろう。

　こうした事態を受け、最近、台湾ではアメリカとの合同でサイバーセキュリティ演習を実施した。実は、こうした演習は2013年から繰り返し行われているのだが、今回は日本、オーストラリア、マレーシアなど10カ国が参加しての大規模なものとなった。

　台湾政府の説明では「2018年以降、毎月平均すると3,000万回ものサイバー攻撃を仕掛けられた」とのこと。主に狙われたのは「軍事施設を含む台湾の公的機関」であり、「機微にわたる機密情報」が奪われそうになったらしい。台湾側の分析では中国軍は台湾への軍事進攻を可能にするために事前に通信網や総督府の機能をマヒさせることを狙っているという。台湾海峡をめぐってはきな臭い動きが絶えない。

　とはいえ、政治、軍事的な側面に限らず、一般社会においても偽情報の流布や個人、企業情報が改ざんされたり、盗まれることは日常茶飯事である。いうまでもなく、「壁に耳あり、障子に目あり」という古き良き時代から、「パソコンに耳あり、スマホに目あり」という24時間監視化時代に突入しているからだ。

　日本政府が公表する「サイバーセキュリティ戦略」を見ると、電力インフラを管理・制御するソフトウェアの脆弱性を狙ったサイバー攻撃によって大停電が引き起こされる可能性が早い段階から指摘されていた。実際、海外においては、すでに制御システムをターゲットにしたサイバー攻撃が頻繁に発生している。

　経産省はこの「サイバーセキュリティ戦略」に基づき、今後大量導入が想定されるスマートメーターに対する防御をどのように構築すべきか、発電所から各家庭の次世代電力計に至るまでの情報セキュリティ対策の調査に着手している。

　思い起こせば、2010年にイランのウラン濃縮施設の制御システムがUSBメモリを経由してウイルスに感染する事件が発生。その結果、インターネットに接続されていないネットワークも攻撃対象になり得ることが判明した。そのため、我が国における対策の検討に際しても、アメリカの標準技術研究所が発表した「スマートグリッドのサイバーセキュリティに関するガイドライン」などを参考にするようになった。

　イランの核開発を遅らせるために、ウラン濃縮施設の制御システムを標的にした「スタックスネット」と呼ばれるマルウェアが使われた模様で、その開発はオバマ前大統領自身の命令によるものとされた。そこで日本でも「アメリカが開発したと思われるサイバー攻撃のノウハウを吸収することも必要」との判断が下されたわけである。

　スタックスネットが狙ったターゲットはシーメンス社の制御装置であった。このマルウェアを開発するためには、100億円近くの経費がかかった模様である。イランの工場と同一の設備をつくり、想定した通りに感染するかどうか実験が行われていた。スタックスネットは、他の制御システムに対しては感染しても発症せず、ウラン濃縮のシステムだけに発症するようプログラムされていた優れもの。

　実はこうした米軍が関与したと思われる高度なサイバー攻撃以外にも、より日常的なサイバーテロの可能性が深刻化している。たとえばオーストラリアでは、水道運営会社に雇用を拒否された元契約社員の技術者が腹いせに下水処理施設の制御システムを不正に操作し、ポンプやバルブを止め、100万キロリットルもの汚水が周辺に垂れ流されるという事件が起こっている。

　ポンプ場に設置された制御システムは無線LANによって中央から操作されていた。通常は、インターロックというかたちで侵入されれば、すぐさま検知される仕組みになっていたのだが、この元契約社員は手元の無線装置を使って不正な遠隔操作を行ったのである。犯人はシステムの内情に詳しかったため、管理者側はいつネットに侵入されたかも、どのような不正が行われたかもわからなかった、というわけだ。

（つづく）