十年以上前からセキュリティ業界で指摘され続けてきたサイバー戦争は、いよいよ現実のものとして社会にも認識されるようになっている。米国防総省(ペンタゴン)は、サイバー攻撃は戦争行為の要件を満たす可能性があるとの結論を明らかにしている。また、2010年に発見されたマルウェア「Stuxnet」はイランの核関連施設を狙ったものであり、開発したのは、国家機関と指摘されている。
先頃来日したMcAfeeの専門家Brian Contos氏にサイバー攻撃やサイバー戦争について語ってもらった。Contos氏は、ペンタゴンの内局である米国防情報システム局(Defense Information Systems Agency:DISA)を経てから民間企業に就職。McAfeeでは東南アジアやアフリカ、南米、東欧といった新興国を担当するとともに、公共団体や政府機関、金融、通信といった市場も担当している。
サイバー攻撃はステルス戦闘機や潜水艦に相当
この3~4年、サイバー戦争に関して大きな変化があった。ようやく最近、米国でもサイバー攻撃は現実の戦争であるという位置付けになった。米国政府でははっきり宣言しているが、米国に対するサイバー攻撃があった場合、米国政府はそれに対し実質的、物理的な反撃に出るとしている。
Brian Contos氏
米国内では、今後自身を守っていくために政府や民間企業がサイバー攻撃からの保護を真剣に考え、そこに対する投資もかなりしている。特にサイバー攻撃の中でも破壊行為、スパイ行為にフォーカスを置いている。
こうした動きは新興国でも顕著だ。東南アジア、南米はサイバー戦争への投資が大きくなってきている。こういった国は、これまでの古典的な戦闘能力を持たない国々であり、たとえば核兵器やステルス戦闘機、潜水艦などを抱えていない。彼らの考え方は、特に東南アジアでは、サイバー攻撃も、これらに相当するという位置付けになっている。
1800年にレボルバー拳銃を開発したSamuel Coltの言葉を引用すると、「神様が人間を同等に作ったのではなく、Samuel Coltが(作った兵器が)人間を平等にしている」。これと同じイデオロギーがサイバー攻撃でも使われている。
知らないうちにサイバー兵士
サイバー攻撃は非対称であるといわれている。少ない入力でたくさんのアウトプットを出せる。つまり防御より攻撃する側が優位にある。すばしっこく動ける。今となってはボットネットのような共通の手法が確立されている。たとえばネットを駆使することで力が加速度的に拡大する。倍々ゲームで増えていく。そういう状況も作り出せる。
普通の兵士が1万人いるとしたら、サイバー戦争に加わるサイバー兵士は1000万人いるということもあり得る。その中には自分から喜んでサイバー兵士になる人もいれば、自分が気付かないうちに感染していて、知らずにサイバー兵士になっていることもあるだろう。今はそういう“使える兵器”“使えるソリューション”が出回っている状態だ。そのため国が攻撃を仕掛ける必要がない状況とも言える。
私たちが「Minor Actor」と呼んでいるハクティビストやテロリストといった、決してたくさんの資金を持っているわけではないグループもサイバー攻撃を仕掛けることができる。FBIの発表によると、世界の130カ国がサイバー攻撃の能力を持っているという。だが、基本的にはどの国でもサイバー攻撃の能力を持ち得ると考えている。通常の核兵器であれば、国連の査察官が調査するが、ハッカーが何をしようと査察がないのが現状だ。
定義が固まらないサイバー攻撃
サイバー攻撃については世界的に定義が固まっていない。たとえばスパイ行為という言葉、アクティブな戦闘という言葉、あるいは民間企業などにおける破壊行為、アクティブな戦闘、どういう言葉を使って表現するのかというところから議論が展開されている。このため、グローバルでの明確な定義は、まだまだ不透明と言える。
日本では、サイバー攻撃が武力とされていないと聞いている。だが、それは全然驚くことではない。日本だけでなく世界的にもサイバー攻撃をどう定義して対応していくのかということに関して、まだまだもがき苦しんでいる状態だからだ。
ただ、日本は近い将来、考えなければならない時期が来るだろう。つまり、陸・海・空・宇宙、それに加え電子空間でも戦闘というものがあって、この5つのドメインそれぞれに独立した戦闘もあれば、他のドメインに影響を及ぼすこともあるだろう。それはまもなく実感することになる。今の日本にできることとして、5つのステップで説明しよう。
