安倍首相も参加表明「NATO組織」が恐れるサイバー脅威の実態
2018年5月8日、小野寺五典防衛相がバルト3国の1つ、エストニアを訪問した。日本の防衛大臣がエストニアを訪問するのはこれが初めてで、小野寺防相はユリ・ルイク国防大臣と会談した。
ルイク国防大臣は、日本が「ロシアへの経済制裁に参加し、ウクライナ政府を支持している」ことを評価しているとコメント。その上で、両国のサイバー防衛政策の協力関係を確認した。
これに先立つ1月には、安倍晋三首相がエストニアを訪れている。そこで安倍首相は、日本がNATO(北大西洋条約機構)のCCDCOE(サイバー防衛協力研究機関)に参加すると表明。2017年に参加要請をしていたのが、正式に承認された形だ。当時、CCDCOEのマーレ・マイグレ局長は、「似た考えを持つ国のサイバー防衛協力のコミットメントを示す強固な一歩になる」と歓迎するコメントを出している。筆者の取材にCCDCOEの関係者も、「私たちたちは日本のようなNATO外の国の参加を非常にうれしく思っている」と語る。その後も、CCDCOEには参加国が増え続けている。
そんなエストニアでは、4月23日から26日に世界最大のサイバー防衛演習「Locked Shields(ロックド・シールズ)2018」が行われた。このウォーゲーム(実戦演習)は、CCDCOEが2010年から毎年、エストニアの首都タリンで実施している演習で、2018年は世界から過去最大規模の軍関係者やサイバー専門家たちが集結した。
この世界規模の最新演習で設定されたサイバー攻撃を見れば、今、世界がどんなサイバー攻撃を想定し、警戒しているのかを知ることができる。また2019年にラグビーワールドカップ、2020年に東京オリンピック・パラリンピックと、世界から注目されるビッグイベントを控えている日本も、学べることは少なくない。世界は現在、サイバー空間で何を恐れているのか。
安倍首相もエストニア「電子国民」
まずこの演習の、そもそもの成り立ちについて簡単に触れておきたい。これほどの世界で最も大規模な実戦演習が毎年エストニアで行われているのはどういうわけか。
エストニアは現在、世界で最もデジタル化が進んだ国の1つとして知られている。その背景には、1991年にロシアから独立を果たしてから、他国に抜きん出る何かを確立しようと考え、テクノロジーに力を入れるようになったという経緯がある。政府主導で、デジタル化にひた走ってきたのだ。
人口が130万人ほどと比較的小規模な国家ということもあって、デジタル化を推し進めやすかった。1997年には、国内の学校のほぼすべてがインターネットに接続された。2000年までには人口密度の高い地域はすべて、無料でWiFiが利用できるようになり、2007年には世界で初めてインターネットでの投票である「e-voting」が可能になった。2012年までには高速ネット接続を可能にする光ファイバーケーブルが広く設置された。納税申告といった行政サービスも99%がインターネットでできる。
ちなみに、エストニアに暮らしていなくても、海外からエストニアの「e-resident(電子国民)」に登録できる。e-residentになれば、世界のどこにいてもエストニアで銀行口座を持つことができたり、会社を起業することも可能になる。実は安倍晋三首相も、すでにエストニアのe-redsidentを持っている。
しかし、サイバーセキュリティの世界でよく言われることだが、利便性には必ずリスクが伴う。デジタル化・ネットワーク化が進んで依存度が高まるにつれ、サイバー攻撃の脅威は高まり、被害も甚大になる。事実、エストニアは2007年4月、サイバーセキュリティ史に残る大規模攻撃に見舞われている。ロシアによる大規模なサイバー攻撃だ。
本サイトの拙稿でも以前、ロシアによるエストニア攻撃について言及したことはあるが、エストニア政府は当時、ロシア占領下の時代に設置されたロシア兵像を撤去したことでロシアからの大規模なサイバー攻撃を受けた(2017年12月13日「サイバー空間『ルール作り』で覇権を争う『欧米』『中露』の攻防戦」参照)。通常の200倍ともいわれるトラフィックがエストニアを襲い、国家機能が完全に麻痺する事態に陥っている。
この攻撃を機に、エストニアも加盟する軍事同盟のNATOが、エストニアのタリンにCCDCOEを設置。さらにNATOは、サイバー空間の紛争における国際法による行動規範を示した「タリン・マニュアル」という文書を2013年に作成している(2017年2月には改訂版「タリン・マニュアル2.0」が公開)。要するに、エストニアはNATOにとって、サイバー攻撃被害またはサイバー攻撃対策の象徴的な国となっており、欧州諸国のサイバーセキュリティ政策の中心地という地位を確立しているのである。
日本から安倍首相や小野寺防衛相が、欧州とのサイバーセキュリティ協力のためにエストニアに向かうのはそういう理由からだ。
さらにNATOは、ロシアを牽制する意味合いを込めて、2010年からCCDCOEでウォーゲームの「Locked Shields」を開始させた。参加者は年々どんどん増え、2018年は過去最高の30カ国から1000人を超えるサイバー関係者が参加する規模にまでなった。
ウクライナはロシアの「サイバー攻撃実験場」
では2018年は、どんな実戦演習が行われたのか。
舞台は、架空の国「バリリア」だ。「バリリア」は北大西洋に浮かぶ島国という設定で、「クリムゾニア」という国とライバル関係にある。NATO加盟国という「バリリア」に対して、「クリムゾニア」はどの国がモデルで、どこに存在する国なのかは明確にされていない。だが参加者たちの多くは、おそらく東欧またはロシアあたりの国であるという"感覚"でいるという。
「クリムゾニア」は地域での影響力拡大を目論んで、「バリリア」の重要インフラにサイバー攻撃を仕掛ける。苦慮した「バリリア」はNATOに応援を要請する――。そんなシナリオだ。
演習の会場となったホテルの宴会場では、実際に使われているシステムやソフトウェアを再現した国家(バリリア)の「仮想インフラ」システムが4000個ほど並べられ、そこを次々と襲う「クリムゾニア」からのサイバー攻撃状況や対処・被害状況によって色が光る仕組みになっている。つまり、攻撃にさらされていることや、サイバー攻撃で完全に攻略されてしまったシステムは一目瞭然というわけだ。
演習で、「クリムゾニア」として「バリリア」にサイバー攻撃を仕掛けるのは、「レッド・チーム」だ。レッド・チームとは、軍事訓練などで攻撃者または侵略者の役割をする人たちのことを指す。そしてその攻撃に立ち向かうのは、NATOとEU(欧州連合)の国から成る22の「ブルー・チーム」。ブルー・チームは、それぞれが150以上のインフラなどのITシステムを守る役割を与えられ、「クリムゾニア」からの攻撃をなんとか食い止めるべく、丸2日、休むことなく対処に当たった。しかもブルー・チームの参加者は会場のホテルだけでなく、それぞれの国からも遠隔でサイバー攻撃防衛に加わった。
「クリムゾニア」の攻撃は大規模なものだった。「バリリア」の大手インターネット・サービスプロバイダー(ISP)や空軍基地を様々なサイバー攻撃手法で襲う。また同時に、重要インフラへの攻撃をも行った。狙われたのは、電力網などインフラ系や緊急連絡網のネットワーク、無人機(ドローン)のシステムなどだ。
例えば、電力網への攻撃で「クリムゾニア」は全体の半数以上のシステムへの侵入を成功させた。つまり「バリリア」はあちこちで大規模な停電を許してしまったことになる。実はこの攻撃、2015年と2016年に実際にウクライナで起きた、ロシアの仕業とみられるサイバー攻撃を参考にして採用されたという。当時ウクライナでは、数多くの変電所が機能不全に陥って大規模停電が発生している。ちなみに実際のウクライナは、ロシアからはサイバー攻撃を試す実験場所と見られているという話もある。
東京五輪「標的」の可能性
「Locked Shields」ではまた、こんな攻撃も行われた。水道施設へのサイバー攻撃だ。サイバー攻撃で制御システムが乗っ取られ、水道水の消毒に使われる塩素の量が不正に操作される。演習では「クリムゾニア」の攻撃に、ブルー・チームが次々と浄水場のコントロールを失ってしまっていた。
普通に考えれば、水道施設をサイバー攻撃したりハッキングしてもあまり敵国にダメージを与えられないのではないかと思ってしまう。しかしそんなことはない。水道水が使えなくなり、購入できる水がなくなれば、人命にかかわる被害になる可能性があるし、国民がパニックに陥って混乱が起きる可能性もある。
実際に「バリリア」では、インフラの混乱や水質汚染などで、病気になる人たちが続出。住民の不満も高まって国内で暴動が発生したり、「バリリア」に暮らしている「クリムゾニア」系住民の反政府活動が起き、演習ではこうした混乱の対応なども確認された。
この演習から見えるのは、欧米諸国がインフラを狙ったサイバー攻撃がいつ起きてもおかしくないと警戒していることだ。
こうしたインフラへの攻撃は、日本にとっても対岸の火事ではない。特に今後数年でラグビーワールドカップと東京オリンピック・パラリンピックを控えている日本は、ハッカーやサイバー攻撃者たちの格好の標的になる可能性が高いからだ。電力や水道だけでなく、当局も警戒する交通網への攻撃は警戒が必要だ。さらに日本政府関係者によれば、「サイバー攻撃などで競技の進行や放映を中断させるようなことになると、IOC(国際オリンピック委員会)などとの契約上も大変な失態になる」と警戒しており、サイバー攻撃には相当神経を尖らせている。
サイバー攻撃が「戦争」の引き金に
今回の「Locked Shields」で、一連のイベントとリポート、さらにメディア報道を見て、筆者が最も印象に残ったのは、この演習に際してCCDCOEのマイグレ事務局長がメディアのインタビューで語った内容だった。
彼女はまずこう警告した。「重要な情報インフラや銀行システム、交通制御システム、港、空港は、最も危険なサイバー攻撃の標的と言えます。これらすべては今も、70年代、80年代に設置されたシステムで運営されています。それらが設置された当時、サイバーセキュリティ対策の優先順位は低かったのですが、現在、どんどんシステムがインターネットとつながっていくことで、そうしたシステムは脆弱になってしまっているのです」
さらにマイグレ局長は、サイバー攻撃が「戦争」の引き金になる可能性にも言及している。インタビュアーの「サイバー攻撃者が国の航空管制システムを標的にして飛行機を墜落させることもできますか?」との問いに、「もちろんですとも」ときっぱり答え、こう続けた。
「理論的に言うと、今は、軍をターゲットに攻撃しなくとも相手と戦争を始めることができます。コンピューターのプログラムコードで、あなたの国の戦闘機のパイロットが離陸できない状態にすることも可能なのです」
もはや他国への軍事的な攻撃においても、これまでの概念は一変してしまっているということだろう。戦闘機などもデジタル化が進むことで正確さや性能が飛躍的に向上する反面、ハッキングなどのリスクも高まるのだ。
到底及ばない日本の準備
サイバー攻撃への危機感からこうした実戦演習を行っているのは、何もNATOだけではない。米軍も、かなり前から、軍へのサイバー攻撃に対処すべく独自でウォーゲームを実施している。さもないと、いざという時に何もできないからだ。
例えば1997年には、米国防総省に事前通知をすることなく、NSA(国家安全保障局)に属するハッカーたち(レッド・チーム)に、太平洋上の船舶から同省にサイバー攻撃を実施させる抜き打ち訓練を行なっている。「エリジブル・レシーバー」と呼ばれるその訓練は、北朝鮮に雇われたハッカーがサイバー攻撃するという設定だったが、国防総省はボロボロにハッキングされ、米軍は面目を潰された代わりに貴重な教訓を得た。
また筆者は以前、2010年に米ネバダ州のネリス空軍基地で行われた米軍のサイバー・ウォーゲームについて詳しく取材したことがある。30以上の軍や民間、政府機関から600人の専門家が参加し、「ファイブ・アイズ(米英加豪新の諜報同盟)」の国々からも参加者がいた。名指しこそされてはいないが、敵国の設定は中国だった。また設定された攻撃の手段には、当時すでに、衛星やGPSシステムへのサイバー攻撃なども含まれていた。
こうした実戦演習を通して、世界は何年も前から、戦争の引き金になりかねないサイバー攻撃に対する対策や研究を続けているのである。
日本も最近では、中央省庁や防衛省などでサイバー攻撃対処訓練や、東京五輪に向けた訓練も行っているが、NATOや米国が行っている大規模な実戦演習などには到底及ばない。懸念を感じざるを得ない。
ラグビーワールドカップや五輪への準備が、そうした対策や研究に日本が本気で乗り出す機会となればいいのだが。