見出し画像
Photo by hamahouse

坂井修一『サイバー社会の悪を考える 現代社会の罠とセキュリティ』東京大学出版会

YAMAYA

2010年秋のイラン核施設のサイバー攻撃は、コンピュータウイルスが大国の運命を左右するというパンドラの箱が開けてしまったと著者は言う。本書は、東京大学で情報工学の教鞭を執る傍ら、科学技術振興機構の戦略的創造研究推進事業で「Society5.0を支える革新的コンピューテイング技術」の総括をしている。

2007年のロシアによるエストニア政府・金融機関への攻撃、2009年の北朝鮮から韓国への攻撃、中国から米軍および米国企業への攻撃は、いずれも国の中心となるインフラをねらった大規模なもので、国家の中枢を麻痺させるのに成功している。

しかし、イラン核施設へ攻撃は、サイバー空間を通じて、現実の物理インフラを直接破壊するもので、ウイルスを送りつけるだけで核施設を麻痺させた。もし原子力発電所であったら、サイバー攻撃で原発を数機暴走させるだけで、仮想敵国を滅ぼすことができるであろう。防衛施設、発電所、航空管制、鉄道などの制御システムが攻撃されたら大事故を起こすことを示した事件である。

スタックネットは、未知のウイルスが4つと、台湾企業の証明書が2つ入っているという、大がかりで念入りのマルウェアであった。未知のウイルスは、ゼロデーウイルスとも呼ばれ、未だ発見されていないソフトウェアの脆弱性を狙って侵入するマルウエアで、今のセキュリティソフトウェアでは検知されない。

スタックネットのもう一つの特徴は、①基本ソフトウェアがWindowsであること、②ドイツのシーメンス社の制御システムであること、③制御用コンピュータが周波数変換装置を制御するものであることの3条件が完全に合致しなければ発動せず、眠ったままである。

特定組織を狙って仕掛けられるサイバー攻撃を「標的型攻撃」と呼ばれ、特に持続性・潜伏性が高いものを「APT攻撃」と呼ばれる。目標にアタックするまでは存在を知られずに眠っていることが大切で、インターネットを経由しなくても、USBメモリーなどで運ばれてターゲットとなるコンピュータに侵入する。

黎明期のコンピュータを語るとき、アラン・テューリングと、フォン・ノイマンの名前を欠かすことはできない。テューリングはコンピュータの理論的基礎を築き、ドイツのエニグマ暗号を解読した。ノイマンはENIAC計算機の後継機となるEDVAC計算機の設計に参加したことからフォン・ノイマン型コンピュータの名称があるが、マンハッタン計画に積極的に参加し、長崎に投下されたプルトニウム型原子爆弾の爆縮装置を設計し、後には水素爆弾の開発にも携わった。

テューリングは暗号解読の偉大な業績は国家秘密とされ、大英国帝国勲章を受けても一般社会の名声を得ることはなく国家の監視下に置かれ、同性愛者であったため有罪となり、青酸中毒で死亡した。他方、ノイマンは戦後も栄光に満ちた学究生活を送り、政府や大企業の顧問などを務めた。しかし、核実験の観測時の被爆などが原因でガンを患い53歳で病死した。

コンピュータには「ベストエフォート」という考え方がとられている。これは、サービス提供側が最善を尽くすとするものであるが、逆に言えば、「最善の努力をするけれども欠陥が残る可能性がある。そうした状態で利用者に渡す」ということである。誤りや欠陥があり、「悪」が侵入する余地が必ずあるものと考えて使用しなければならないのである。

スノーデン事件は、米国政府による違法な情報収集の事実を明らかにした。また、中国政府によるサイバー攻撃は枚挙にいとまがないが、2014年6月の中国企業によるスパイウェア注入事件は中国製携帯電話に出荷時にすでにファームウェアに仕込まれていたもので、レノボ社、ファーウェイ社、シャオミ社のスマートフォンからも発見されている。

10年以上前から、サイバー空間はいつも戦争状態であり、洋の東西、国の体制を問わず、国家の関与が強く疑われる事件が頻発している。サイバー空間は匿名性が高く、証拠が残りにくい。また、これまでに戦いと違って、個人が行うものと国家が行うものとで質的な差がないし、使う道具も違いがない。問題解決のためには、サイバー空間を監視する機構を国際連合に儲けるほうがよいと著者は言う。

本書には、現時点の最新情報はないものの、サーバー社会における問題点がわかる内容となっている。日本の立場から言えば、ビットコインを詐取する北朝鮮のハッカー集団、ロシアと中国による国家および企業情報の盗取するサイバー攻撃、ロシアほか、その他国のハッカー集団による金銭目的、政治目的のサーバー攻撃に対し、セキュリティを確保することの重要性が増大しているが、技術的限界、社会的限界がある。

大企業や国、地方自治体のみならず、中小企業などあらゆる組織と個人において、ランサムウエア、エモテットなどによる攻撃に対応できるセキュリティ知識が必要である。そのうえ、絶対安全なセキュリティ技術がないことを前提に、いざとなった場合に対処できる対応力も必要と感じた。






この記事が気に入ったらサポートをしてみませんか?