安全保障上優先すべきは攻撃の帰属先ではなく、責めるべき相手である。Beyond Attribution: Seeking National Responsibility for Cyber Attacksレポート

前回に引き続き、大西洋評議会のサイバー地政学レポートのご紹介。2012年2月22日公開の「Beyond Attribution: Seeking National Responsibility for Cyber Attacks」（https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/beyond-attribution-seeking-national-responsibility-in-cyberspace/）はサイバー攻撃を受けた際、アトリビューション＝攻撃元を技術的に特定することが優先されているが、安全保障上は責任を負わせる相手を特定する方が重要という指摘である。

●レポートの内容

攻撃元の特定と、責任の所在の特定は似ているようであり、実はかなり異なる。特に非国家アクターを利用された場合に、その違いは明確になる。レポート中では、下記の2つの例が紹介されている。
1999年、NATOがユーゴスラビアに空爆を行った際、誤ってベオグラードの中国大使館を爆破した。激怒した中国人が北京のアメリカ大使館に押し寄せ、窓ガラスを割り、石を投げた。アメリカの情報機関と国家安全保障会議のメンバーはビデオで投石者を特定するようなことはしなかった。多数の抗議者を調査すればたくさんの情報が得られたのは間違いないが、それは意志決定とは関係がなかった。抗議を減らすためには中国政府に働きかける必要があり、それは犯人の特定とは関係のないことだった。
8年後、感情的なロシアのナショナリズムの中で 、エストニアにサイバー攻撃が殺到した。攻撃はアメリカを含む178カ国から行われていた。多くは、「ロシア語のインターネット・フォーラム やウェブサイトに掲載された指示」に従って行われ、ロシア政府の高官政治家のコメントによって支持されていた。中国政府が投石を見過ごしたように、ロシア政府はこの攻撃を調査し、阻止しなかった。攻撃の責任の所在はロシア政府にあった。

このレポートでは、国家責任の範囲を10段階に分け、国家の責任が免責されるものとそうでないものを明らかにした。目からウロコというか、言われてみればその通りという発想だ。レポートでは表にまとまっていなかったが、整理して表にしたものが下記である。ご覧のように国家責任を問える範囲と、免責される範囲がわかりやすく区分できる。免責の余地があるのはカテゴリー1と2のみで、他は当該国家が責任を負うべきこととなる。

このアプローチは正確な帰属が特定できていない場合に有効である。このアプローチには、4つの重要な利点がある。
・帰属ではなく、政策を前面に押し出している
・自国民によって組織された攻撃や自国領土からの攻撃に対して国家に責任を負わせることだけを論点とするため、技術的な帰属証明を問題外としている
・攻撃が非国家アクターによって行われたとしても、このアプローチでは違反した政府に責任を負わせることができる
・このアプローチは国家安全保障の基本に根ざしている 。国家安全保障会議のスタッフと大統領は、この事件を専門用語から切り離すことで、直感、教育、経験をはるかに 容易に理解し、活用することができるようになる。

●感想

なるほどと思いながら読んだが、よく考えるとカテゴリー8，9、10はやっぱりアトリビューションが特定できないと厳しそうな気もしたが、レポートには実際に起きた事件で、アトリビューションよりも政策を前面に出して中国に対抗した例がいくつかあげられており、すでに現場ではアトリビューションよりも、責任の所在を明らかにして止めさせることを優先して動き出しているのだという。

閾値以下の攻撃で、カテゴリー3から7あたりまで、つまり非国家アクターを利用している場合には、特に有効のように見える。犯罪組織が勝手にやっているという主張を押し返せる。ランサムウェアに関しては、各国協調してロシアに対処を迫ることができるわけだ。

関連記事
大西洋評議会のサイバー地政学プロジェクト、Cyber Statecraft Initiativeのロシアのサイバー非国家アクターレポート

好評発売中！
『ウクライナ侵攻と情報戦』（扶桑社新書）
『フェイクニュース　戦略的戦争兵器』（角川新書）