書評:『ゼロデイ』

『ゼロデイ』
山田敏弘(著) 2017年

 個人や小規模なクラッカー集団がセキュリティを破り、他人のコンピュータに侵入して行うサイバー犯罪については、まったく聞いたことがないという人のほうが少ないだろう。自宅でも仕事先のPCでもアンチウィルスソフトは入れているし、というわけである。しかし国家レベルのサイバー戦争で何が行われているかについて、気にかける人は少ない。

 かくいう私もスノーデン事件のような大ニュースの後でさえ安閑として傍視していたのだが、2017年1月に実業家のドナルド・トランプがアメリカ大統領に就任する経緯で、大統領選にロシアがサイバー空間で介入していたという疑惑が表面化するにいたって、今までとは何か質的に違うことが世界に起こっているのだという実感が遅まきながらわいた。そのような動機で本書を手に取ったのだが、これは2017年2月に出版された、まさに最新のサイバー戦争の実態について取材したレポートである。ちなみにサイバー戦争とは、コンピュータシステムやコンピュータに接続された物理的システムを対象に、システムの改変や破壊を通じて攻撃し合う国家レベルの闘争を指す。

 2001年9月11日の同時多発テロは、自国領土内を直接攻撃されたアメリカ政府に非常な衝撃を与えた。結果として、16もあるアメリカ連邦政府の情報機関のひとつでしかなかったNSA、すなわちアメリカ国家安全保障局は、犯人の動きを見逃した戦犯であるにもかかわらず、大増強されることになった。NSAはもともと通信電波・信号、あるいはコンピュータ通信を傍受・分析する諜報活動である「シギント」を担う情報機関であった。この謎めいた組織こそが、サイバー戦争において現在、世界最強のパワーを持つと目されるアメリカの実行部隊である。アメリカ本土でも国民がテロの脅威にさらされるという危機意識のもと、国家はNSAに広大な情報収集権限を与えてしまった。このことがアメリカの諜報活動をかろうじて規制していたタガを外し、世界中でサイバー戦争をエスカレートさせる一大転機になったように思われる。

 サイバー攻撃の概念を一変させる事件として各国を震撼させたのは、2010年にイランのナタンズ核燃料施設において、何者かが制御装置を不正操作し、ウラン濃縮用の遠心分離機を物理的に破壊した一件である。これは後にスタックスネットと呼ばれることになったマルウェア(コンピュータウィルス、ワームなどから成る、悪意ある動作をするソフトウェア)によって引き起こされたサイバー攻撃で、両国とも公式には認めていないが、NSAとイスラエルの情報機関である8200部隊が共同開発したというのが専門家の了解であるという。スタックスネットが特異だったのは、マルウェアを使った世界初の物理インフラの破壊だったからである。敵のコンピュータをダウンさせるにとどまらず、製造装置、ダム、発電・送電施設、通信施設といった設備の物理破壊が可能になった衝撃は大きい。電力インフラ、水インフラ、通信インフラ、交通インフラ、金融インフラなどを狙えば、サイバー攻撃という手段が数万人を超える規模の生命を危険にさらし、場合によっては殺すことも可能な兵器になったことを意味するからである。

 国家によるサイバー部隊は、桁違いの人的資源と、個人ではあり得ない資金力を持つ。その結果生まれる特徴的な力の一つが、本書の題名にもなっているゼロデイ攻撃である。ゼロデイ脆弱性とは、コンピュータのOSやウェブブラウザなどのアプリケーションなどにあるセキュリティホールのうち、製造元にも知られていないために最新の修正パッチをあてても防御できないもののことを指す。ソフトウェアの製造元もゼロデイ脆弱性をひとつ数千ドルから数十万ドルで一般人から買い取っているが、それ以上の相場で各国サイバー部隊がゼロデイ脆弱性を業者(サイバー武器密売人)から買い集めており、アメリカ国防総省が世界最大のゼロデイ脆弱性の買い手であると言われる。高価なゼロデイ脆弱性を複数使用したマルウェアは、一度きりで使い捨てになるぜいたく品だが、強力なファイヤーウォールもたやすくすり抜けてしまう。スノーデンの暴露によれば、2013年にNSAがゼロデイ脆弱性購入にあてた予算だけで2510万ドルに上る。

 サイバー空間でインテリジェンス活動をするとき、防御、諜報、破壊は同じテクノロジーの上に成り立っており、それらの行為の間に違いがなくなっている。専守防衛の概念は消え去り、攻撃的か防御的かは連続的な程度問題なのである。さらにサイバー攻撃はそもそも「アトリビューション問題」、すなわち巧みに擬装されると誰が犯人なのかを明確に特定するのが難しいという問題がある。実際に起きた国家機関によると思われるサイバー攻撃事件でもほとんどの場合、犯人と疑われた国はしらを切り通している。

 かつては他国に対し諜報活動をするにも、破壊工作をするのにも、工作員や外交官が命をかけて主権国家である当該国に潜入して活動する必要があった。さらに国際法や外交上の慣習からくるルールがある程度機能し、互いの行動を制約していた。しかしサイバー戦争においては工作員の生命リスクは限りなく低くなり、また発覚時にも国際法上の明確な責任を問われにくい。それなのに敵国の社会、人命に対するサイバー攻撃は通常兵器以上のダメージを与えうるのである。この状況は当然、ある政府が敵国に対して冒険的な破壊行為をしかける決定の敷居を大きく下げる。

 現在サイバー戦争において世界で最も高い能力を持つとされるのはアメリカだが、これにロシアと中国、イスラエルが猛然と続き、「ならず者国家」のイラン、北朝鮮もその能力を戦略的に育てている。攻撃者が自らの行為を認めないような場合に、力の均衡状態が構築できるのか、あるいは大きな悲劇が起きる前に、攻撃の応酬が起こらないような相互監視の枠組みが国際的に合意できるのか。世界最強国家であるが故に最も力を抑制的に使わなければならないはずのアメリカが、NSAを尖兵として率先して一線を越えようとしているなかで、人類の英知が問われている。

 本書を読むと、国家が主体のクラッキング行為に対して、個人レベルでできる対策はほとんどないと思わされてしまう。それよりも今、世界中で増大しているサイバー戦争の現実的な危機を知り、正しく権力を批判・監視する意志をもつことが大切だろう。これは泥棒的なクラッカーから個人的なカード情報を守るというような通常の情報セキュリティ意識とは異なるレベルの話であり、はっきりと分けて考えないといけない。最近ではマイナンバー導入でビッグ・ブラザー(ジョージ・オーウェル)が来たかのように大騒ぎしていた頓珍漢な人もいたようだが、的外れである。NSAをはじめとした国家によるサイバー部隊が敷いているような監視体制は、市民をときに守るが、これこそが正真正銘のビッグ・ブラザーの危機である。