【特別対談】「三菱電機」「ソフトバンク」が突きつけた「スパイ天国」日本の脆弱性(上)
中国による「三菱電機」へのサイバー攻撃と、ロシアによる「ソフトバンク」へのスパイ工作――。
2020年1月に立て続けに発覚した2つの事件は、日本の重要な防衛・社会インフラに関わる情報がいとも簡単に外国の手に渡ってしまうという事実を突きつけた。
あらゆるものがネットワークにつながっている今、サイバー攻撃は、国が組織的に行うインテリジェンスに欠かせない手段の1つとなっている。
かねて「スパイ天国」と揶揄されてきた日本だが、日本人がこの言葉を自嘲気味に使う時、そのニュアンスはどこか楽観的だ。
しかし、今年が東京五輪・パラリンピックの開催年であることを踏まえると、事件の深刻さがより現実感を伴って迫ってくるのではないだろうか。
フォーサイトでもお馴染みの国際ジャーナリスト・山田敏弘氏が上梓した『世界のスパイから喰いモノにされる日本 MI6、CIAの厳秘インテリジェンス』(講談社/2020年1月)は、アメリカのCIA(中央情報局)やイギリスのMI6(秘密情報部)、イスラエルのモサド(諜報特務庁)の実態を紹介するとともに、日本の脆弱性に警鐘を鳴らす良書である。
そこで、著者の山田氏と、同じくフォーサイト執筆陣の1人でロシア軍事専門家の小泉悠・東京大学特任助教に、ロシアの例も交えながら、日本のサイバーセキュリティやインテリジェンスの課題について語ってもらった。
三菱電機から漏れた人材情報
山田敏弘 三菱電機は当初、サイバー攻撃を受けたことを発表せず、経産省には報告して内部で処理しようとしていました。さらに今年1月、サイバー攻撃を受けていたことが公になると、“社員らの情報が漏れただけなので、エネルギーや鉄道など重要インフラの機微情報は無事”と言っていたわけですが、今になって“防衛関連の機密情報が漏れた可能性がある”という話になっている。
防衛関連の機密情報はもちろんのこと、社員の情報も「だけ」では済みません。
三菱電機へのサイバー攻撃は、「Tick」と呼ばれるハッカー集団など、中国の複数の集団によるものと見られていますが、中国は今、「中国製造2025」に向けて5G(第5世代移動通信システム)や半導体といったハイテク人材を求めていて、韓国や台湾で巨額な資金を投じ、メーカーから人材を掬い上げている。
今回、三菱電機から漏れたのは、まさにその人材に関する情報です。現職の社員だけでなく退職者やこれから入社する人たちのものもあったと言います。
小泉悠 結構、大変な情報ですよね。
山田 それでも機密情報が漏れていないから良かった、ということで済まされているところがあった。
小泉 日本では、大事な情報は会社の中にあるという感覚があり、それを扱っている人の方のセキュリティをあまり考えません。人にセキュリティ・クリアランスを与えるのではなく、部署や会社に与える。けれど、社員がその部署や会社からいなくなった後のことは分かりません、というのでは困ります。
日本はまだ会社員にも自衛官にもきちんと給料が出ているからいいですが、ウクライナでは2014年のウクライナ危機によってロシアとの取引が激減し、軍需産業が破綻してしまいました。すると中国が、あるメーカーの社員を家族ごと引き抜き、中国の中にウクライナ語で生活できる団地をつくってしまった。
中国になびいた人たちを「愛国心がない」「節操がない」と言うのは簡単ですが、生活ができなくなったら、人は簡単になびくと思います。
山田 認識が甘いですよね。インテリジェンスの「いろは」は、弱みに付け込むこと。あなたのニーズに応えてあげるから情報ください、というのが基本です。
小泉 この20年で日本は人件費を叩きに叩いた結果、平均所得で他のアジアの国に抜かれるところまできた。それでもまだ外国のスパイに寝返らないと思っているのか、と。人材にカネを付けるという発想をそろそろ取り戻しましょうよ、と思います。
山田 それがセキュリティにもつながる。
「ソフトバンク」は工作途中だった!?
小泉 ソフトバンクの事件はどう見ていますか。
山田 ロシアは、アメリカが「華為技術(ファーウェイ)」の5G機器を排除した際、自国への導入に名乗りをあげてファーウェイと手を組むことになりました。
けれど、ファーウェイを導入すれば独占されかねないという恐れがある。それで自分たちでも5Gを開発しようとしている、というのが僕の理解なのですが、やはり技術力が足りない。そこでKGB時代からいる、テクノロジーを専門に狙うロシアのスパイ集団などが動く中、日本のソフトバンクもターゲットになったのではないかと考えています。
小泉 今のところ流出したデータは基地局の取扱説明書のようなものと言われていますが、これがもっと重要な情報につながっている可能性もあるのですか。
山田 その可能性もありますが、このような工作では最初は易しいところから情報を抜かせて、徐々に重要度の高いものへとハードルをあげていくので、工作の途中だった可能性の方が高いのかなと思います。
小泉 報道によれば、ソフトバンクの元社員がスパイからもらっていた報酬は、1回につき数万円程度。もっと大きな情報なら何百万円という話だったのかもしれませんね。
2000年に海上自衛隊の三佐がロシアの海軍大佐に情報を渡していたとして逮捕される事件が起きました。「ボカチョンコフ事件」と呼ばれますが、このケースでは、教範レベルの資料で毎月数十万円をもらっていた。もっと工作が進んでいけば、実際の海自の運用に関する資料が何百万円単位で買われていたかもしれない。
今回は数万円ですから、まだ工作が進んでいなかったのでしょう。
「通商代表部」とは名乗らない
山田 ロシアの在日通商代表部には“前科”がたくさんあるにもかかわらず、同じことが繰り返されます。もう少し日本側が警戒したり防いだりする方法はないのでしょうか。
小泉 当然、日本の当局はロシアの在日通商代表部をチェックしていると思いますが、情報機関員たちは隠れ蓑として通商代表部を名乗っているだけで、実際に通商代表部に出勤しているわけではないでしょう。在日ロシア大使館の武官も同様で、本当に自衛隊との連絡業務を担っている人たちは大使館に出勤するでしょうが、そうではない武官がたくさんいるはずです。
山田 普段は他の肩書きで動いているのですよね。
小泉 ソフトバンクの元社員に接近したスパイも「通商代表部」とは名乗っていなかったのですよね。ソ連のスパイだったリヒャルト・ゾルゲも「ドイツの新聞記者」と言っていました。一般的なロシア人の風貌だと、どこのヨーロッパ人を自称されても日本人には分からないでしょう。
山田 スパイの仕事をしている人たちは、担当する国のことを徹底的に学び、その国で工作するための訓練を行う。かなり周到に準備をしてからターゲットを決めて接近するので、日本のことも日本人のこともよく分かっているはずです。
ソフトバンクの元社員は「ロシア人のスパイではないかと思った」と供述しているそうですが、それならもっと相手を疑ってもいいのに、日本人には“あまり深く聞くのも悪いしなあ”という遠慮が働く。そういう特性を分かったうえで工作するのでしょう。
小泉 機密情報を扱う人に対しては、そもそも気軽に外国人と接してはいけない立場にあるということを公の制度として区分けしないと、このようなケースは防ぎきれないと思います。
山田 アメリカでは、トップシークレットのセキュリティ・クリアランスを持っている人は、外国人に会う前に許可を取ったりしている。
技術が悪用されるという意識がない
山田 日本の大学もスパイ活動の舞台になったりしますが、セキュリティ対策はいかがですか。
小泉 日本の大学は軍事研究反対という立場で、それは崇高な理念なのですが、他方で自分たちの開発している技術が何に使われ得るか、という意識があまりない。
山田 その通り! 流出した人材情報と同じで、そこまで思い至っていないのですよね。
小泉 先生たちの大部分は、“これはこういう基礎研究に役立つ”というつもりで開発しているのだけども、それを悪意ある人が見ると、全く違う使い方ができるかもしれない。
つくっている人の意思はさておき、それが軍用や諜報用に使われ得るのであれば、管理しないといけませんよね。大学の中のことだから、という理由で管理がなされないのは、非常に問題だと思います。
山田 僕はマサチューセッツ工科大学(MIT)に留学していましたが、セキュリティ対策は徹底していました。中で得た情報は外部の人に出さないなど、細かい条項にたくさんサインさせられたのを覚えています。
日本の大学は、イランが2013年から5年にわたって世界22カ国・300超の大学に一斉サイバー攻撃を仕掛けた際、かなり攻撃されました。今は世界中にポートの開いているコンピューターがどれだけあるか調べられるので、彼らは入れるところにはすべて入ろうとします。
小泉 軍隊の考え方で言うと、まず戦線があり、そこで敵味方が対峙しているわけですが、戦線は必ず破られます。だからこそ、後方に予備隊を配している。
山田 なるほど、セキュリティー・ホールですね。
小泉 そうです。セキュリティー・ホールはできるに決まっているのです。日本でも国や企業はそういうつもりで対策を取っているのだと思いますが、いざ破られると「不祥事」と言われる。
重要なのは破られたこと自体ではなく、破られたからどんな風に手当てをしたか、しきれなかったか、ということではないかと思います。
山田 まさにインターポール(国際刑事警察機構、ICPO)でサイバーセキュリティ部門のトップを務めた人物が言っていました。「なぜ日本では、情報が『漏れた』という言い方をして、『盗まれた』と言わないのか」と。「漏れた」という言葉には、会社の問題、会社の責任というニュアンスがありますが、悪いのは「盗んだ」方ではないかと言うのです。
三菱電機も、きっちり多層でサイバーセキュリティ対策を取っていたはずですが、それでも防ぎきれなかった。それは彼らの「ミス」ではなく、攻撃側が優れていたからだという意識になれば、「盗まれた」方の企業も公表しやすい。
サイバーセキュリティに対する意識改革が必要です。(つづく)