慶應義塾大学
大学院
政策・メディア研究科 教授
土屋 大洋 氏
――ランサムウェアなどによるサイバー犯罪が目立っている…。
土屋 5月にランサムウェア「WannaCry」が世界150カ国で20万台以上のコンピューターに感染したことが話題になったが、実は「WannaCry」自体は専門家にとって大きな驚きではない。というのも、対策手段をマイクロソフトが早々に打ち出しており、今回被害に遭ったのはOSをアップデートしていなかったコンピューターばかりだったからだ。ある意味、基本的な対策を行わないユーザーが世界中にこれだけいたことの方が驚きだ。また、「WannaCry」はコンピューターを凍結し、解除と引き換えにビットコインでの身代金支払いを要求するものだが、結局まだ犯人は1円も得ることができていない。身代金を支払ったのはわずか230組ほどと、全体の感染者の0.1%程度にとどまったうえ、支払先に指定された口座を世界中のアナリストや警察が見張っているため、犯人は身代金を引き出せずにいる。
――サイバー攻撃としては大失敗だ…。
土屋 そういうことになる。恐らく犯人はビットコインの仕組みをよく分っていなかったのだろう。「WannaCry」自体も、中身は昔からあるランサムウェアで、それに運び屋となる別のプログラムと結びつけただけで、特段技術的に目立ったところはない。ただ、その運び屋プログラムが米国の国家安全保障局(NSA)由来のもので、波及力が強かったことが世界中での被害につながった。恐らく犯人は小金を稼ぎたかっただけで、今回の被害規模は犯人にとっても予想外だったと思われる。実際、犯人は支払われた身代金を受け取れていないし、支払い者のコンピューターを復旧することもできておらず、「WannaCry」はナンセンスな攻撃と評価せざるをえない。一部では北朝鮮が攻撃元という見方もあるが、あまりにレベルが低いため、国家ぐるみの事件とは考えにくい。もし実際に犯人が北朝鮮関係者だとしても、個人的犯行である可能性が高い。6月末に再びウクライナを中心としてランサムウェアによる攻撃が行われたが、こちらは身代金を要求するふりをした悪意あるウクライナへの妨害工作であるとみられる。ただ、低レベルな攻撃であることに違いはなく、ロシア政府が関与している可能性は低いとみている。あるいは、はじめから金銭目的ではなく、業務妨害が目的だったのかもしれない。
――日本政府のサイバーセキュリティ対策をどうみるか…。
土屋 現行法制下で出来ることはやりつくしている印象だ。2014年にサイバーセキュリティ基本法が成立し、日本年金機構の情報流出問題を受けて同法は2016年に改正されたが、更なるセキュリティ向上には通信の監視を認める法改正が必要だ。ただ、今の日本では政治的に難しく、立法も進んでいない。つまり日本の現状ではサイバー攻撃の予防は不可能であり、やられてから対応するという心もとない枠組みになっている。
――テロ等準備罪の新設などでは不十分なのか…。
土屋 いくら準備段階で処罰できるようになっても、準備の情報を当局が掴むことができなければ意味がない。インターネットの情報量が莫大であるのは誰もが知っているところだが、実は自由にアクセスできる部分はインターネットの一部に過ぎず、いわば氷山の一角だ。誰もがみることができる部分を「サーフェイスウェブ」と呼ぶが、この下にグーグルなどでは検索できない「ディープウェブ」、更にその下に「ダークウェブ」と呼ばれる領域が存在している。一部の有識者は、「サーフェイスウェブ」はインターネット全体の40%以下しか占めていないと指摘するほど、地下部分の領域は大きい。「ダークウェブ」では、「WannaCry」のようなツールの取引が行われているとみられる。こうした領域での取引を防ぐには、政府による通信の監視が必要だ。
――政府が情報を悪用するのではないか…。
土屋 誤解があるところだが、例えば特定秘密保護法は、外国からもらった情報を日本政府が確実に守れるようにするためのものであり、政府の都合の悪い情報を隠そうという趣旨ではない。実際、外国政府は特定秘密保護法を高く評価しているのだが、そのことが一般に理解されていないように思われる。サイバー攻撃防止のために通信を監視する場合でも、必要なのはまずは外国との通信を監視することであるため、すぐに国内監視の必要はなく、過度に警戒することはない。外国との通信を分析した結果、国内の通信の監視が必要になれば特定のものだけ対象にすれば良いだろう。メディアは通信監視によって取材源が政府に把握されてしまうことを恐れているようだが、政府はそうしたことに興味はなく、杞憂といっていいだろう。本当に監視対象となるのは、あらかじめ危険性が高いとわかっているIPアドレスで、本当にサイバー攻撃が行われそうになれば、対象の通信を遮断することで被害を防ぐことができる。
――サイバー攻撃は戦争にも用いられている…。
土屋 ロシアなどは、通常の軍事力とサイバー・情報戦を組み合わせた「ハイブリッド戦争」を実践しているとみられる。例えば日本が「ハイブリッド戦争」を仕掛けられた場合、尖閣諸島に敵軍が上陸する一方で、あらかじめフェイスブックなどを活用して収集した情報を使い、迎撃のために出動しようとする自衛隊員に対して、妻子を誘拐したと仄めかすようなメールが相手国から送られることなどが考えられる。有事に合わせて、放送局やツイッターのアカウントを乗っ取り、デマ情報を流し、社会的混乱を巻き起こすこともありえるだろう。こうしたサイバー攻撃に対処するため、あらかじめ怪しいIPアドレスを監視し、必要に応じて遮断することが認められてもいいのではないだろうか。もちろん違う見方もあるだろうし、考えを押し付けるつもりはないが、議論を行い、政府が監視を行うことのメリット・デメリットを浮き彫りにしておくことは必要だと考える。
――サイバー攻撃は一番ハードルが低い攻撃だ…。
土屋 陸海空の戦力が出動すれば、深刻な国家間対立が発生するが、サイバー攻撃は攻撃元が判明しにくく、被害もみえにくいため、けん制のように行われている傾向がある。しかし、これまで死者が出てないとはいえ、原発や航空機が狙われれば大量の死傷者が発生しかねず、サイバー攻撃をないものとして防衛体制を立案するのはおかしい。今後は、政府がどう被害を掴むかも重要となるだろう。例えば金融機関は有力なターゲットだが、たとえ被害が発生しても表面化しにくい。しかし、オンラインバンキングであれだけフィッシングなどに対する警告が行われているところをみると、被害が発生していないということはないだろう。金融庁は被害の実態を把握しているだろうが、おそらく政府内で十分に共有されているわけではない。ただ、業界内での情報共有については、2014年に共有・分析を行うための「金融ISAC」という組織が設立されたことにより、金融業界は他業界に比べて進んでいる。
――政府のサイバー対策組織の現状は…。
土屋 2014年に自衛隊の中にサイバー防衛隊が創設されたが、人員はその他の陸海空の要員とあわせても精々200~300名で、他国の数千名体制とは文字通り桁が違う。日本はサイバー攻撃を行わず、防衛に専念するために少人数で十分ということになっているようだが、攻撃を防ぐためには攻撃を熟知する必要があり、本当に少人数で対応できるのかは疑問だ。日本でも、自民党内で発射の兆しがある弾道ミサイルの発射元に自衛隊が攻撃をすることの是非を巡って議論されているのに関連して、サイバー攻撃の発信源を探知して不能にすることは認めるべきではないかといった議論が浮上している。ただ、探知するには攻撃元を探知する「アトリビューション能力」が必要で、そのためにはやはり通信を分析・監視する能力を政府がもつことが欠かせない。
――今後の日本のサイバーセキュリティはどうあるべきか…。
土屋 国全体への通信監視を実現するのは難しいのが現実だ。そこで、とりあえずは特定秘密保護法のように、「特定重要インフラ保護法」のようなものを整備してはどうだろうか。これは一般国民やメディアは対象外として、金融機関、鉄道、水道、発電所など、社会にとって重要なインフラの通信に限って、政府による通信監視を認めるものだ。企業側から、経営判断として政府との通信共有を認めてくれれば、ハードルはなお低くなる。これでもまだ社会的合意が難しいのならば、例えばオリンピック終了後までの時限立法という形にしてもいいだろう。それで全く成果がなく、テロも防げなければ廃止すればいいし、逆に役に立ち、サイバーテロや物理的なテロを食い止めることができたのなら、改めて恒久化すればいい。オリンピックにこだわる必要はないが、メルクマールではあるので、それをきっかけとして体制を見直してもいいのではないだろうか。