日本のサイバー防衛は形だけ（小川和久）

政府は2021年9月、新たなサイバー戦略を閣議決定した。防衛省でも、クロスドメイン（多次元横断）への取り組みとしてサイバー防衛を位置づけている。

見たところ、これによって日本の安全は一気に高まりそうな印象だが、そう受け止めるのは早計に過ぎる。他の分野にも当てはまることだが、特にサイバー分野での日本はサイバー先進諸国に比べて大幅に立ち後れている。

原因は日本社会にはびこる形式主義である。組織を整え、人員を配置し、必要な装備を導入するのだが、それが機能するかどうかの検証すら形だけに終始してしまう。以下、日本の現実を知る人間として、実例を通して警鐘を鳴らしたいと思う。

筆者は2002年夏、住民基本台帳ネットワークシステム（住基ネット）の稼動にあたり、総務省にセキュリティに主眼を置いた住基ネット調査検討委員会の設置を求め、その委員の立場で翌年、米国のネットワーク・セキュリティを調査し、報告書を提出した。

調査で明らかになったのは、日本が米国に20年、韓国に10年の差をつけられている現実だった。聞き取り調査を行った米国の政府機関、国立研究機関、重要インフラ産業、民間研究機関のどこに行っても、日本政府側からのコンタクトは私が初めてで、むろん、日本の重要インフラ産業からの接触もなかった。

当時、日本では高度情報通信ネットワーク社会推進戦略本部（IT戦略本部）の下に情報セキュリティ対策推進会議を、経済産業省が情報セキュリティ総合戦略策定研究会を設置するなど、新しい情報ネットワーク社会に備えた取り組みも始まっていた。

要するに日本は、最も深い関係にある米国の実情すら知ろうともせず、サイバー・セキュリティは重要だと口にしていたのだった。

日本の立ち後れがネットワークで結ばれた米国の安全を脅かしかねないと懸念していた米国政府は、私の調査に対して全面的な協力を惜しまず、以下の実例を開示してくれた。

米国側がサイバー・セキュリティについて試行錯誤を重ねるきっかけとなったのは、エリジブル・レシーバー演習である。

演習は1997年6月、就任まもないジョン・ハムレ国防副長官の命を受け、統合参謀本部が実施した。国防総省の『レッド・チーム』と呼ばれる専門家35人がハッカー役となって国防総省のコンピュータ・システムへの侵入を試みた。外国に雇われたハッカーがアメリカを攻撃するというシナリオだった。

演習期間は3か月。4万2000回の攻撃で36回、国防総省のコンピュータ・ネットワークへの侵入に36回成功した。国防総省側が検知できたのは、わずか2回にすぎなかった。

侵入に使ったツールは、一般用のパソコンと、ハッカー向けウェブサイトからダウンロードしたプログラムだけ。法律に違反せず、誰でも簡単に入手できるハードとソフトのほか、通信回線も一般的なインターネットプロバイダが提供する通常のものだった。

ハッカーたちはアメリカの9つの主要都市の送電を停止させ、それら地域の救急システムを破壊することができた、と評価された。演習の途中、ハッカーたちのいたずらによって、戦闘機部隊に届くはずの空対空ミサイルがトラック輸送部隊に届き、代わりに戦闘機部隊は大量のトラック用ヘッドライトを受け取る、という事態も発生した。

演習を受けてただちに対策が講じられたが、それでもなお米国は冷や汗をかき続けることになった。

例えば1998年8月、アフガニスタンに潜伏していたオサマ・ビン・ラディンを巡航ミサイルで攻撃する計画を立案している途中、ミサイルを発射する巡洋艦の指揮官クラスの妻の居場所を、わずか4時間ほどで探り当てられることが判明したのだ。テロ組織がミサイル攻撃のあと数時間以内で、インターネット上の公開情報を使って攻撃の指揮をとった軍人の家族を割り出し、報復できるのは明らかだった。

1999年10月には、2年前のエリジブル・レシーバー演習でわかった防衛上の欠陥がどれほど克服されているかを検証する『ゼニス・スター』演習が行われたが、この結果もさんざんだった。ハッカーたちは米軍基地に電力を供給する送電システムを攻撃し、米国東部からハワイに至る主要軍事基地は軒並み停電、地域救急システムを麻痺させることに成功した。これが現実なら、米国の国家機能は麻痺状態に陥ったことになる。

そして、現実にも国防総省に対するサイバー攻撃は行われた。

1999年のNATO（北大西洋条約機構）による旧ユーゴ・コソボ空爆のとき、出撃する米国の攻撃機パイロットの自宅に脅迫状が送り付けられる事件が相次いだ。侵入者は国防総省のサイトから入り込み、パイロットの個人情報を難なく手に入れていたのだ。さらに、国防総省の入館パスを作る方法や国防長官の日程まで入手していたことが明らかになった。

同じ頃、何者かが5～6年間にわたって国防総省のコンピュータ・ネットワーク内を自由に探り続けていたことも判明した。関係者の間で有名な『ムーンライト・メイズ（月光の迷路）事件』だ。逆探知したところ、足取りはロシアのモスクワで途絶えてしまい、おそらくは子どものハッカーがロシアを踏み台にして侵入したのではないかと推測された。

以上は実務者として演習やチェックを担当した米海軍大学院（カリフォルニア州モントレー）のジョン・アーキラ教授が筆者に明かしたエピソードである。アーキラ教授は『サイバー戦争』の概念を打ち出した人物で、ハッカーの手口で国防長官の日程を入手したとき、国防長官の背中に『あなたは死んだ』と書いたポストイット（付箋紙）を張りつけたことでも知られている。

結論を言えば、日本に欠けているのは米国のような徹底して検証する姿勢である。世界最高レベルの専門家に日本のシステムを攻撃させ、その結果を受けてサイバー・セキュリティへの取り組みの設計図を描かない限り、日本の安全は高まらない。日本でしか通用しない「専門家」に丸投げしてはならない。（4月18日付『週刊世界と日本』掲載）