今も起きている？　サイバー戦争

サイバー空間では、今戦争とも呼べる攻防戦が繰り広げられています。
この世界では、敵味方関係なくサイバー攻撃が繰り広げられているようで、
表向きでは同盟国や友好国でも、サイバー攻撃の対象となることもあります。

現に2013年アメリカの国家安全保障局「NSA」は、友好国であるドイツのメルケル首相の携帯電話の情報を傍受していたという疑惑がありました。
同じような通信傍受は2010年時点で、パリやローマなどを含む世界の約80ヵ所で行われていたそうです。

また、サイバー戦争は国と国だけの戦いではなく、マフィアやテロ組織、さらに一般企業や普通の個人も参加していて、バトルロイヤルの世界です。

アメリカを中心に中国の通信会社ファーウェイや人気アプリTikTokの規制を進める国が増えていますが、これもまたサイバー空間での攻防が影響しています。

サイバー攻撃とは

サイバー戦争というのは基本的に国家間のサイバー攻撃に関する攻防ですが、それを解説する前に、どんな攻撃がサイバー攻撃と呼ばれているのかを見ていきたいと思います。

サイバー攻撃とは、インターネットを使って故意に相手へ損害を与える行為のことをいいます。

僕たちもよく知っている一般的なサイバー攻撃は、迷惑メールのようにメールを使ってマルウェア（悪意ある不正なプログラム）を送りつけてくる
「標的型攻撃」と呼ばれるものです。

サイバー攻撃のターゲットは実に広くて、一般的な庶民から、企業、有名人、そして軍などの国家機関や政治家まで。もう世界中の人がターゲットになり得ます。

なぜ、サイバー攻撃をするのか？
その動機は主に以下の3パターンに分けられます。

①単なるいたずら目的
②お金目的
③政治的な目的

①（いたずら目的）は、インターネットをおもちゃのように考えていて、他人のSNSのアカウントを乗っ取り信用を奪う行為をして、面白がることですね。
この中には、正義を振りかざして他人を陥れる攻撃もあります。
政治的な目的がない限りは、①の分類でしょう。
幅広く捉えれば、SNSへの誹謗中傷もサイバー攻撃の一種かもしれないですね。

2010年、子供向けのアニメ「イナズマイレブン」のキャラクター人気投票があったのですが、当時の掲示板サイト2ちゃんねる（現5ちゃんねる）のVIPPERと呼ばれる集団が不正投票をして、モブキャラである「五条勝」というキャラクターを1位にさせてしまったことがあります。
これも「子供たちを泣かせてやろう」といういたずらであり、これも広い意味でサイバー攻撃かもしれないですね。
（この手の人気投票はほぼ出来レースなので、それをひっくり返してやりたいという気持ちは分からなくもないですが…）

②（お金目的）は、ネットで盗んだ情報を売ったり、ビットコインなどの仮想通貨を盗んだりする行為です。
開発中のテクノロジーに関する情報を盗み、マネをすることなどもありますが、食べログなどの評価を不正操作するために、自作自演のコメントを投稿する行為があります。それも②に当たるでしょうね。

ちなみに、2020年8月ごろ世界中で中国から謎の「種」が送られているという珍事件がありましたが、それはネット通販サイトの評価を不正に操作するためです。
通販サイトに出店しているお店が、業者に評価の操作を依頼するんですが、通販サイトの規制が厳しくなり、何かを誰かに送らなければ評価の操作ができないので、仕方なく単価の安い野菜の種を大量に送っているそうです。

③（政治的な目的）は、政治家に関する情報を盗んだり（書き換えたり）、軍事や社会インフラに関するプログラムを不正に操作することが当たります。
政治家以外でも、芸能人やインフルエンサーなどのSNSを乗っ取ってデマを拡散して、人々をを誘導する手口もあります。
これを「サイバー心理攻撃」と呼びます。
新型コロナウイルスが蔓延した初期には様々なデマが飛び交っていましたが、差別的なデマの中には誰かが政治的な目的を持ってわざと流したものもあるかもしれません。

そして、③の中でも恐ろしいのが軍事的な攻撃です。
軍事施設のプログラムに侵入して、兵器を誤作動させたり他国の発電所や通信会社の基地局に侵入し電力網やネットインフラを遮断し、混乱させる場合も考えられます。

現に、2001年5月、カリフォルニア州の電力供給を管理している「CAL-ISO（カリフォルニア・インディペンデント・システムオペレーター）」のシステムがハッキングされて、2日に渡って40万人が大停電の被害にあったという事件がありました。
犯人は不明のままですが、中国広東省のチャイナテレコムを介して行われた形跡があるので、中国が関与しているのではないかと疑われています。

このように、サイバー攻撃の手段やターゲットは大きなものから小さなものまでそれぞれですが、動機は主にこの3つに集約されていることが分かりますね。

中には、他国の経済を陥れ、自分の国の経済を活性化させるためにサイバー攻撃を行う、②と③が重なっているパターンもあります。

サイバー戦争とは？

サイバー戦争とはインターネット上で国同士の攻撃や防御のことを言うのですが、今ではテロ組織や犯罪企業、そして一般人されも参加できるようになってしまいました。
また、北朝鮮のような国は国家主導で金銭目的の大規模な犯罪を行っています。
なので、どこまでが犯罪行為でどこからが戦争行為なのか、判断が難しい場合も多いんですね。

2016年5月に開催されたG7伊勢志摩サミットで、「サイバーに関するG7の原則と行動」という宣言が行われました。
そこではG7各国が「一定の場合においてサイバー活動が国際連合憲章及び国際慣習法にいう武力の行使、または武力攻撃となり得ることを確認する」と宣言しています。
ただ、この「一定の場合」という言葉が定義さていないので、何がサイバー戦争なのかがあいまいなままなんですね。
なぜ定義できないのかと言えば、欧米諸国が決めようとする定義にロシアや中国が賛同しないからです。
サイバー空間における世界秩序を欧米の価値観で統制されたくないんですね。

ただ、現にサイバー空間では国家対国家の攻防が行われていて、各国の軍や情報機関にはサイバー部隊が存在しています。
2011年には、米国防総省がサイバー空間を陸・海・空・宇宙空間に次ぐ第5の戦場と位置づけ、他国からのサイバー攻撃を受けた場合、攻撃の度合いや被害の深刻さに応じて、武力による報復も辞さないと宣言しています。

何がサイバー戦争なのかという正式な国際的定義はありませんが、
一般的には二つの定義があるとされています。

①戦争行為を伴うサイバー攻撃
②戦闘行為を伴わないサイバー攻撃

①は分かりやすい攻撃ですね。
軍の施設への攻撃や要人暗殺のためにサイバー攻撃が利用されるケースです。
具体的には、兵器を誤作動させたり、相手の作戦内容を盗み、ニセの情報とすり替えたり。また要人暗殺のために、要人のスケジュールや警備体制の情報を盗み出すことも①に当たります。
実際の戦争中に行われる場合が多いですが、平時でも軍事機密へのハッキングの可能性はあります。

実際にあった事件として、中国によるサイバー攻撃「タイタン・レイン」という事件がありました。
これは2003年あたりから2005年にわたり、米軍の軍事技術に関する機密情報が盗まれ続けていたという事件です。
サイバー攻撃によって侵入されたのは、米陸軍航空ミサイル軍が駐屯するアラバマ州レッドストーン兵器廠（へいきしょう）や、防衛情報システム局、ミサイル防衛局、米陸軍情報システム・エンジニアリング司令部、海軍海洋システムセンターなど。
様々なネットワークシステムに侵入し、何年もかけて情報を盗み出していたのです。
また、米軍だけではなく軍事企業であるロッキード・マーチン社、ノースロップ・グラマン社などのネットワークにも侵入し、戦闘機や兵器に関する情報も盗み出していました。

なお、この事件のように特定のターゲットに対して何年もかけて継続的に攻撃、潜伏するサイバースパイ工作を、APT（持続的標的型攻撃）と言います。

このように①（戦争行為を伴うサイバー攻撃）は、僕たち一般市民が巻き込まれる可能性が低い軍事的な攻撃がメインです。

それに対して②（戦闘行為を伴わないサイバー攻撃）はかなり幅が広く、場合によっては僕たち一般人や一般企業に対して行われることがあります。

例えば、先ほども触れた北朝鮮主導による金銭を目的としたサイバー攻撃の数々ですね。
2019年、国連安全保障理事会の北朝鮮制裁委員会の専門パネルの報告書によると、2016年以降北朝鮮は外貨獲得のためにサイバー攻撃を用いていて、17ヵ国の金融機関や仮想通貨交換業者に対し、最大20億ドル（約2,200億円）を盗み、それを大量破壊兵器開発にあてた疑いがあります。
ただ、総合的に見ると規模も大きく、大量破壊兵器のために行っているので戦争行為に近い感じがしますが、17ヵ国バラバラで行われているので一つ一つの事案は犯罪事件として扱われてしまいます。

また、2016年のアメリカ大統領選挙ではロシアによる世論操作攻撃が行われていました。
これはアメリカの大統領選挙中、民主党陣営に対して行われたサイバー攻撃で、具体的には2種類の攻撃が行われていました。

まず一つは、民主党の候補者ヒラリー・クリントン陣営から5万通ものメール内容が盗み出された事件です。
そのメールの中から民主党に不利な内容のメール2万通をウィキリークスに公開したことで、大きな問題にありました。
メール内容はとてもスキャンダラスなもので、民主党への信用を著しく落とすものでした。
（メール内容など詳しい情報は、後ほど説明します）

二つ目の攻撃は、SNSのよる情報操作（デマの拡散）を行い、共和党のトランプ候補に有利な世論形成をしようというものでした。

ただ、トランプ候補がこの大統領選に勝利したことは、この事件に関係があったかどうかは不明です。
（どんな情報が流れたにしろ決めたのはアメリカ国民の意志なので）

これらの事件を戦争行為の一部と捉えるかどうかはあなた次第ですが、こういった攻撃に対する影響力は決して小さいものではありません。
特に大統領選挙への介入などは国家の信頼を大きく揺るがすほどの影響力があります。

アメリカによる攻撃「スタックスネット」

サイバー空間において、各国がどんな思惑を持っているのか、また攻撃の手法を学ぶために、各国が起こした事件や被害にあった事件を解説していきます。

まずは、アメリカから。

アメリカは世界一の経済国家で世界一の軍事力を持った国なので、狙われる可能性も高く、その反面攻撃能力も高いです。

アメリカの行った攻撃で有名なものが、イランの核施設へのサイバー攻撃です。
（正確にはイスラエルとの共謀ですが）
この攻撃はサイバー上で情報を盗むなどという攻撃ではなく、物理攻撃へと発展させるほどのものでした。

事件の概要は、2009年「スタックスネット」と呼ばれるウイルスによって、
核燃料施設にあるウラン濃縮用遠心分離機が破壊されたというものです。
目的はイランの核兵器開発の妨害だとされています。

スタックスネットの侵入

ターゲットとなった施設はイラン中部のナタンツにある核燃料施設で、外部からのサイバー攻撃に備えて外部のインターネットには繋がっていない隔離させた施設でした。
核施設や世界中の政府機関など、攻撃対象になりうる重要施設は外部のネットワークから隔離させるのが常識で、こうした対策を「エア・ギャップ」と呼ばれます。これは「空間を開ける」という意味ですね。

では「エア・ギャップ」を行っていたはずの施設になぜ攻撃が行われたのでしょうか？
答えはこの施設に勤めるイラン人技術者が外部から持ち込んだUSBメモリを施設内のパソコンに挿し込んでしまったためでした。
このUSB内に不正なプログラムであるマルウェアが仕込まれてあったので、
施設内のネットワークが感染してしまったんですね。
この攻撃で使われたマルウェアは「スタックスネット」と呼ばれました。

スタックスネットは、USBを持ち込んだ技術者のパソコンを介して、ウラン濃縮を管理する中央制御装置につながる中央制御システムに感染。
そして、施設のネットワークの中からドイツ・シーメンス社のソフトウェアを探しました。
ナタンツにある制御装置の中で、遠心分離機の動作管理をしているのがシーメンス社のソフトウェアだったからです。
シーメンス社のソフトウェアを見つけ出したスタックスネットは、制御装置の捜査権限を奪うため、システムのユーザー名とパスワードを獲得しました。
そして、制御装置の内部システム構成や、遠心分離機そのものの情報を抜き出して記録していました。

この記録は、再び外部のネットワークにつながれないと犯人に送信されません。
そこで利用されたのが、シーメンス社の社員でした。
当時、シーメンス社の社員は定期的にナタンツを訪れ、システムのチェックや調整のため、自前のパソコンを持ち込んでいました。
スタックスネットは、そのパソコンがナタンツの中央制御システムに接続された瞬間、そのパソコンに盗んでいたデータをコピー。
そして、持ち帰ったパソコンが、外部のインターネットに接続された瞬間、
デンマークとマレーシアに設置されていたサーバーにそのデータをが送信されたのです。

このような経緯でナタンツの機密情報は実行犯であるアメリカの情報機関であるNSA（米国家安全保障局）の元へ送られてしまいました。

NSAはデンマークとマレーシアを介して回収されたナタンズのデータを解析。そのデータを基に遠心分離機破壊用のスタックスネットを再び作り上げました。
このスタックスネットの仕上げにはイスラエルの諜報組織「八二〇〇部隊」が協力したと言われています。
そして、改良されたスタックスネットは、再びシーメンス社員のパソコンを介し、ナタンツへ送り込まれました。

スタックスネットによる攻撃

アップデートされたスタックスネットは、遠心分離機の正常な回転データを13日に渡り記録しました。
これは遠心分離機の回転数をいじったとき、オペレーターが監視するモニターに正常値を映し続けるためです。

そして、いよいよ遠心分離機破壊のための工作が行われました。
最初は15分だけ遠心分離機の回転数を上げたり下げたり変化させ、また正常値に戻されました。
しかし、オペレーターのモニターには、工作が行われていたので正常値が表示され続けていました。
その後、5時間にわたり正常回転が行われ、5時間後また15分間だけ回転数が変化されました。
しかし、それからは26日間正常回転が行われ、26日後に今度は50分間回転数がいじられました。

この複雑な工作は、ナタンツでの勤務時間や監視、点検などのスケジュールに合わせたものだと考えられています。
そして、最終的には超高速回転で遠心分離機を物理的に破壊しました。
この回転数があまりにも速かったため、遠心分離機の中には爆発を引き起こしたものもあったそうです。

この攻撃によっては、ナタンツの施設にあるウラン濃縮用遠心分離機、およそ千基が破壊されました。
これはナタンツの遠心分離機の１割に当たり、イランのウラン濃縮効率が3割も下がりました。
そのせいでイランの核開発に生じた遅れは、1年半から2年に及ぶと言われています。

ゼロデイ攻撃

もちろん、ナタンツの施設内でもサイバーセキュリティは行われていました。
しかし、マルウェアの侵入に気づかれなかったのは、NSAが気づかれないような工作を徹底させていたからです。
例えば、USBメモリがパソコンに挿し込まれ、勝手にマルウェアのように不正なプログラムがインストールされた場合、通常ならコンピューターによって検知されてしまいます。
通常のプログラムには「コード署名証明書」というものが付けられていて、それがなければ不正なプログラムだと認識されてしまいます。
しかし、NSAが作ったスタックスネットには、実在する台湾のソフトウェア会社が発行した2つのコード署名証明書が付けられていました。
なので、スタックスネットを正式なプログラムだと認識してしまい、インストールが許可されてしまったんですね。
この台湾のソフトウェアの証明書は、知らぬ間に盗まれたものだったそうです。

さて、この攻撃には証明書の偽造より手の込んだ工作がされていました。
スタックスネットはマイクロソフトのウインドウズで働く制御プログラムに感染していました。
ウインドウズでは、頻繁に更新が行われ、しっかりとしたセキュリティ対策が行われています。
しかしプログラムには、開発者にも知られていない欠陥＝脆弱性が隠れているのです。
その、誰にも知られていない脆弱性のことを「ゼロデイ」と呼びます。

もし、この開発者も知らない脆弱性が悪意のある人間に見つかってしまったら、開発者に知らせずにその「穴」から攻撃を仕掛けてくるかもしれません。
また、実際に攻撃を仕掛けるのではなく、そのゼロデイを闇サイトで売買する人もいます。
ゼロデイは、一度使えば、ターゲットに脆弱性を教えることにもなるので、二度は使えません。一度攻撃されれば対策を講じられてしまうので。
それゆえゼロデイは希少性が高く、高値で売買されています。

NSAはウインドウズのゼロデイを4つも持っていて、それをナタンツの攻撃に仕掛けていました。
4つも仕掛けたのは、この攻撃を完遂しようとする慎重さからです。
ただ、高価なゼロデイを使いすぎてしまったために、最終的にこの攻撃がNSAによるものだとされました。
利益にならない上にコストがかかり過ぎているので、単なる犯罪行為ではなく国家による攻撃だとバレてしまったんですね。
さらに、ここまでお金をイランの核兵器開発を妨害したいと思う国は、アメリカとイスラエルの他にないでしょう。
そしてこの作戦を実行する能力を持つ国も限られています。

残らない証拠

ただ、NSAとイスラエルが行ったとされていますが、それは状況証拠によるもので、決定的な証拠は見つかっていません。
そもそもサイバー攻撃というものは、攻撃者の特定（アトリビューション）が非常に難しいものです。
厄介なのが、攻撃者が使用したパソコンのIPアドレスを突き止めたとしても
、本当にそこが攻撃源なのかが分からない場合があります。
全く関係のない国のコンピューターを乗っ取って、そこから攻撃をしかける場合があるからです。
中には、わざと証拠を残し、無関係の人間に濡れ衣を着せる場合もあります。

さらに、ナタンツへの攻撃は、報復されない程度に手加減されていたと言われています。
スタックスネットは、ナタンツのすべてを破壊することが可能だったのですが、
被害は施設にある遠心分離機の1割に抑えられていました。
主要国家の核施設を完全に破壊すれば、完全に戦争行為だと受け止められ、本物の戦争に発展しかねません。
なので破壊の程度を調整しながらウラン濃縮作業を妨害するだけにとどまったんですね。
いくら決定的な証拠がないとしても、相手の被害によっては状況証拠だけで攻撃を仕掛けてくる可能性は否めません。
アメリカだって、状況証拠だけでイラク戦争を始めたわけですし。

このスタックスネットの登場は、兵器の概念を変えるほどのものでした。
自国にいながら、誰にも気づかれずに、物理的な攻撃が行える兵器は他にありません。
さらに、決定的な証拠も残らず、賢く使えば犯人をでっち上げることもできます。
それに何より、その破壊能力は計り知れません。
なぜなら、こういったサイバー兵器を使えば発電所や電力網、水道設備、鉄道網といった国の重要なインフラ施設へ直接的な破壊攻撃が可能です。
場合によっては、多くの死者を出してしまう可能性だってあります。
例えば、鉄道網に物理的な破壊をもたらすサイバー攻撃があった場合、脱線や衝突事故につながる可能性があります。
さらに恐ろしいことを言えば、世界中の国が原子力発電所をターゲットとした攻撃を行うことができてしまうということですね。
原子力発電所に、こっそりサイバー攻撃をを行えば、原発事故に見せかけた攻撃が行われてしまいます。
放射能漏れなんてことになれば、とんでもないことになるでしょう。

都市への攻撃

ナタンツへの攻撃によって攻撃能力の高さを見せたアメリカでしたが、アメリカはその軍事力や経済力の高さから逆に狙われる可能性も高い国です。
実際に、タイタン・レイン事件では、中国から多くの軍事機密が盗み出されてしまいました。
そして、サイバー攻撃のターゲットは軍事基地や金融機関だけじゃなく、一つの都市機能にまで及びます。