国家が関与するサイバー攻撃がますます高度化し、強力になっている中、一部の専門家は、意図的か偶然かはともかく、遅かれ早かれそうしたインシデントで死者が発生するのではないかと恐れている。
ありそうもないことに思えるかもしれないが、英国の諜報機関の元長官は、すでにサイバー攻撃による物理的な脅威と潜在的な損害について警告を発している。
2014年から2017年にかけて、英国の諜報機関、政府通信本部(GCHQ)の長官を務めたRobert Hannigan氏は、「国家による活動は高度化しており、より過激になっている。国家は捕らえられることや名指しされることを心配しなくなってきているが、もちろんこれは、地政学の特性の1つだ」と述べている。
6月にロンドンで開催されたセキュリティカンファレンスで、同氏は「問題は、計算に誤りが生じることのリスクが極めて大きいということだ」と述べている。「産業用の制御システムに手を加えたり、医療システムや医療ネットワークに手を加えるようなことが始まれば、誰かに害が及び、最終的に死に至るのは時間の問題のように思われる」
同氏が医療システムに言及したのは、2017年に発生したランサムウェア「WannaCry」の流行が念頭にあったのかもしれない。WannaCryは英国の国民保険サービスの大部分を機能停止に追い込んだ。その結果、数千件の診察予約がキャンセルされ、英国中の患者に混乱や不都合をもたらした。
重要なシステムは影響を受けなかったものの、WannaCryの仕組みを考えれば、その結果は意図したものではなく運によるものだったと言えるだろう。米国や英国などの国々は、WannaCryは北朝鮮による攻撃だと主張している。
病院や交通機関、発電所などの国家的な重要インフラに対する攻撃を仕掛けている攻撃者は、危ない橋を渡っている。だがそれでも、インフラに対して秘密裏に仕掛けられている標的型攻撃は止んでいない。
おそらくもっとも有名な例は、2010年に発見された、イランのウラン濃縮用遠心分離機にダメージを与えるように設計されたマルウェア「Stuxnet」だろう。この産業システムに対する破壊的攻撃は、イランの核開発プログラムを数年遅らせる結果になった。この攻撃は、米国とイスラエルの共同サイバー作戦だったと考えられている。
ただしStuxnetは、影響が限定されるように設計されていた。それから何年も経った今では、産業用の制御システムに対する攻撃はより無謀なものになりつつある。このことは、2017年12月にハッカーが中東の重要インフラ企業のシステムに攻撃を仕掛けたマルウェアによって、緊急停止システムが作動した例を見ても分かる。
セキュリティ企業FireEyeの研究者がこのマルウェア「Triton」を分析したところ、緊急停止は意図せずして、物理的なダメージを与えるための攻撃を準備する過程で誤って引き起こされたものだったという。
緊急停止が起こったのはフェイルセーフの仕組みが働いたためで、物理的なダメージは発生しなかった。しかし、マルウェアが持つ予測不能な性質が、もっと悪い結果を引き起こしていた可能性もあった。
Venafiの上級脅威インテリジェンスアナリストJing Xie氏は、米ZDNetの取材に対して、「攻撃グループの目的が発電所を爆発させることであれば、サイバー攻撃による死人が出ていた可能性もある」と述べている。
同氏はさらに「わたしは、サイバー攻撃によって人間に対する直接的な被害が生じるのは時間の問題だと考えている」と付け加えた。
では、国家によるサイバー攻撃によって別の国の国内で人命が失われた場合、何が起こるのだろうか。
