2017年10月7日土曜日

北朝鮮情勢のキャスティングボードを握る共産中国のしたたかさ!? 第三次世界〈サイバー〉大戦激化中!

米海軍・太平洋艦隊司令官の退役を笑って喜ぶ中国

北朝鮮情勢を機に中国が一人勝ち

北村淳
中国・北京の人民大会堂で会談するレックス・ティラーソン米国務長官(左)と中国の習近平国家主席。ティラーソン長官は「独自のチャンネル」を通して北朝鮮と直接対話していると述べた。しかし北朝鮮側は核兵器放棄に向けた対話への関心を示していないという。(2017930日撮影)。(c)AFP/Lintao ZhangAFPBB News

 トランプ大統領は北朝鮮に対して軍事的オプションをちらつかせての恫喝的“口撃”を繰り返している。だが、先週の本コラムでも指摘したように、現実にはアメリカからの先制攻撃はそう簡単には実行できない。トランプ政権は北朝鮮との直接交渉も模索しているものの、結局のところ、北朝鮮の核・ICBM開発を制御するには中国に影響力を行使してもらうことを期待するしか手はない状態が続いている。

アメリカにとっての不運、中国にとっての幸運
 習近平主席が訪米したときから、トランプ政権はすでに北朝鮮問題で中国の協力を当てにするようになっていた。だが、アメリカ側の期待に反して、中国の対北朝鮮圧力が目に見える形で功を奏することはなかった。そのため、トランプ政権はさらなる中国側の対北朝鮮圧力を引き出すために、中国の南シナ海侵出を軍事的に牽制するポーズをとる必要性に迫られた。
 そこで、アメリカ海軍太平洋艦隊に南シナ海でのFONOP(航行自由原則維持のための作戦)をはじめとするパトロールの強化を命じた。というよりは、太平洋艦隊の方がこうした軍事的圧力の実施の許可を強力に求めていたので、ホワイトハウスが太平洋艦隊に「命じた」というよりは、「許可した」と言うほうが正しい。
 いずれにせよ、アメリカ海軍は南シナ海でのパトロールを強化するとともに、20175月下旬にはFONOPを再開し、7月、8月と、オバマ政権下ではなかった毎月1回という早いペースでFONOPを繰り返すかに見えた。
 ところが20178月のFONOPを実施した米海軍駆逐艦ジョンS.マッケインがシンガポール沖でタンカーと衝突し大破、10人もの乗組員を失う事故を起こしてしまった。この事故の2カ月前には、米海軍駆逐艦フィッツジェラルドが伊豆沖でコンテナ船と衝突し大破、7名の乗組員を失ったばかりであった。そのため、ようやく太平洋艦隊が望んでいた中国の海洋侵出に断固たる態度で臨む機運が生じた矢先に、艦艇の行動が制約されてしまう事態に陥ってしまったのだ。太平洋艦隊所属艦艇の事故は、合わせて17名もの犠牲者を出したジョンS.マッケインとフィッツジェラルドの衝突事故以外にも、巡洋艦レーク・シャンプレインが韓国漁船と衝突した事故、巡洋艦アンティータムが母港横須賀港沖で座礁した事故と、今年に入ってから4件にものぼっている。このことが、太平洋艦隊にとってさらなる不運、そして反対に、南シナ海や東シナ海への軍事的侵出を強力に推進している中国にとっては幸運、をもたらした。
突然の退任勧告を受けたスウィフト司令官
 かねてより対中強硬派の米軍関係者たちは、ハリー・ハリス太平洋軍司令官の後任にスコット・スウィフト太平洋艦隊司令官が就任すれば、今後の太平洋艦隊そしてアメリカ海軍は鬼に金棒となるものと期待していた。
 ハリス太平洋軍司令官は、太平洋艦隊司令官そして太平洋軍司令官と歴任し、中国に対して強硬な態度をとり続けてきた。そして、スウィフト太平洋艦隊司令官も、やはり中国に対し断固たる態度をとるべきであると主張し続けてきた。
スコット・スウィフト太平洋艦隊司令官。パールハーバーにて(2017911日、U.S. Navy photo by Mass Communication Specialist 1st Class Daniel Hinton/Released
 多くの太平洋軍司令部関係者や太平洋艦隊司令部関係者たちは、スウィフト太平洋艦隊司令官が次期太平洋軍司令官に就任するものと考えていた。なぜならば、スウィフト司令官は理論家的な学者肌の側面と断固とした決断をなす軍事リーダーの側面を併せ持つ人物であり、多くの米海軍や米海兵隊幹部たちから人望を得ている理想的な太平洋艦隊司令官であったためである。
 筆者自身が2017年912日にスウィフト司令官と面会した際にも、提督が語った日本をはじめとする東アジア情勢の話の節々から、次期太平洋軍司令官としての意気込みが感じられた。

 このように、2017年924日までは、誰もがハリス太平洋軍司令官の後任にはスウィフト太平洋艦隊司令官が就任するものと考えていた。
 しかしながら、925日、突然海軍作戦部長(米海軍最高位の軍人)リチャードソン大将がスウィフト司令官に対して、「次期太平洋軍司令官に貴官を推薦することはない」と直接言い渡したのである。これは実質的な退任勧告とみなすことができる。
 自他ともに疑っていなかった太平洋軍司令官へのステップが突然絶たれたスウィフト司令官は、太平洋艦隊司令官の職責を全うし次第、退役する旨を申し出た。スウィフト司令官の退役の時期は「6週間後になるか、6カ月後になるか」定かではない。いずれにしてもスウィフト提督が太平洋艦隊司令官の職をもって海軍から去ることになり、対中強硬の期待は潰えたのである。
中国が何らかの形で影響力を行使?
 リチャードソン海軍作戦部長がスウィフト司令官に事実上の退役を促したのは、「2017年に入ってから太平洋艦隊所属軍艦の重大事故を4件も起こしており、合わせて17名もの将兵を失ってしまっている」ことが表向きの理由と考えられている。つまり、「事故を起こした艦艇や第7艦隊司令部関係の幹部6名がすでに処分を受けているのだから、総責任者である太平洋艦隊司令官も引責せざるを得ない状況である」というわけだ。
 しかしながら、対中強硬派の海軍関係者や海兵隊関係者たちの間では、「中国が何らかの形での影響力を行使したのではないか?」あるいは「ホワイトハウスやペンタゴンにはびこっている政治的配慮が、ハリス司令官以上に対中強硬派の重鎮とみなされているスウィフト司令官の人事決定の背後に横たわる理由ではないか?」と考えているものも少なくない。
 これまで中国の南シナ海や東シナ海での軍事的冒険主義に対して“最後の牽制”を加えてきたスウィフト司令官が、太平洋艦隊司令官(海軍だけの司令官)から太平洋軍司令官(海軍・海兵隊・空軍・陸軍・特殊作戦群など全ての司令官)へと昇格したならば、中国にとっては極めて好ましくない状況となるわけである。実際に中国は、対中強硬派の頭目とみなしていたハリス太平洋軍司令官を罷免するようにワシントンDC筋に圧力をかけたこともある。そのため、スウィフト司令官の昇格の妨害もしかねないと対中強硬派の人々は危惧していた矢先であった。このような状況下で、スウィフト司令官に対する実質的退役勧告がなされたのだ。そのため、「このままスウィフト司令官が太平洋軍司令官に就任せずに退役してしまった場合、得をするのは中国だけだ」といきり立っている人々も少なくない。
中国に吹く追い風
 もちろん、リチャードソン海軍作戦部長がスウィフト司令官の昇格を却下する過程で「中国に対する政治的配慮」が少しでもなされたのかどうかは分からない。しかしながら、そのような影響力とは全く無関係に人事が決定されたものであったとしても、対中強硬派の人々の間で人望の高いスウィフト海軍大将が太平洋軍司令官のポストを得られなかったという、中国人民解放軍が望んでいた筋書きが実現したことは事実である。

 太平洋艦隊が事故を連発してしまったために、FONOPをはじめとする南シナ海での対中牽制活動は勢いを失ってしまい、“最後の切り札”と期待されていたスウィフト太平洋軍司令官の誕生も露と消えた。まさに、南シナ海を巡る米中攻防戦では、中国側に強運の女神が微笑んでいるということができる。

〈維新嵐〉北村氏は否定的ですが、米太平洋艦隊のイージス艦艇の民間船への衝突事故が、何者かからのサイバー攻撃であった、という疑惑を否定しきれてはいません。そして今回の北村氏の論稿を拝見させていただいて、その「政治的波及」効果をみるにつけ、あまり従来には例をみない「任務中の」イージス艦艇のGPS脆弱性へのハッキングの可能性について疑念をさらに強く持つに至りました。あまりに共産中国にとって都合のいい政治的な状況になりすぎてはいないでしょうか?
「戦わずして仮想敵国の装備の中枢を麻痺させる」味方の被害、政治的な国家のあり方を落とさしめ、自国の権益を拡大させていく戦い方がサイバー攻撃として集約されているようにもみえます。

米空軍、部隊縮小に予算削減…「即応態勢に深刻な影響」
 
空軍長官が講演で訴える
【ワシントン=黒瀬悦成】ウィルソン米空軍長官は201710月5日、ワシントンの政策研究機関で講演し、空軍の現状について、保有機数や部隊が縮小され、予算も削減される一方、中東などでの作戦行動が飛躍的に増大したことで、有事の際の即応態勢に深刻な影響が出ており、「即応能力を早急に回復しなければならない」と訴えた。
 ウィルソン氏によると、空軍は冷戦直後の1991年当時、134の戦闘飛行隊を擁していたのに対し、現在は55飛行隊に減少。その上、「戦闘機のパイロットは必要数を1500人も下回っている」とした。
 一方で、空軍はシリアやイラク、アフガニスタンでのイスラム教スンニ派過激組織「イスラム国」(IS)などの空爆作戦などにより、冷戦期に比べてはるかに活発に戦闘行動を展開しており、「いついかなる戦いに勝とうにも、能力は精いっぱいになるつつある」と警告した。
 同氏はまた米連邦予算に関し、9年連続で年度内に議会の歳出法案が成立せず、継続予算決議を可決して前年度水準の支出を当面確保することを繰り返していると指摘。このため、仮に歳出法案が成立せず予算の強制削減が発動された場合、空軍は150億ドル規模が削減され、作戦機をまともに飛ばすこともできず、「米国の安全保障上の重大なリスクとなる」と危機感を表明した。


 米空軍は今月、60歳未満で過去5年以内に退役した大尉~中佐のパイロットについて、再び現役として迎え入れる期間限定の制度を始めたと発表するなど、パイロットの充足率向上に向けた取り組みを本格化させつつある。
 しかしウィルソン氏は「空軍の現状は、徐々に水が熱くなっているのに気付いていない『ゆでガエル』と同じだ。(危機的)状況が常態と化しつつあるが、このままでは空軍は崩壊する」と強調した。

〈維新嵐〉最強の称号をほしいままにしているようにみえるアメリカ空軍も、戦闘が長く続いた余波、予算削減の弊害などにより、台所事情はかなり厳しい様子が理解できます。そのことと関連があるのでしょうか?
近頃、以下のような興味深いイベントが実施されました。戦争は確実にゆっくりとではありますが、「人が死なない戦争」に移行しているような気がします。

米空軍、17歳の少年に敗北する

自衛隊はサイバー戦時代に即した「働き方改革」を!

米国テキサス州のラックランド空軍基地で情報システムを点検している様子(出所:米空軍、 U.S. Air Force photo by 1st Lt. Robert J. Krause、資料写真)

 2017年夏、米空軍は自らの情報システムにサイバーアタックさせる賞金大会を開催した。この大会には世界中の名うてのトップクラスのハッカーが参加したが、勝利したのはなんと17歳の少年、ジャック・ケーブル氏だった。これは現代において戦争の形態が大きく変質していることを意味する。また、我が国の安全保障政策を検討するうえでも、真剣に目を向けるべき出来事である。今回はそれらのことを指摘したい。
空軍が自らをハッキングさせた懸賞金大会
 2016年、米国では国防総省主催の「Hack the Pentagon」、陸軍主催の「Hack the Army」という2つの賞金付きのハッキング大会が開催され、大成功を収めた。それを受けて2017年、空軍が主催した大会が「Hack the Air Force」である。
 大会は2017年530日から623日にかけて実施され、「Hack the Pentagon」の合計7.5万ドル(約847万円)を超える合計13万ドル(1470万円)もの懸賞金がかけられた。米国民のみならず、英国、カナダ、豪州、ニュージーランドなどの米国同盟国市民にも参加資格が与えられた。この大会で優勝した若干17歳のジャック・ケーブル氏は、40もの脆弱性を発見し、空軍のウェブサイトから侵入に成功し、ウェブサイトの支配権とすべてのユーザーデータを手に入れたという。http://jbpress.ismedia.jp/articles/-/51255?page=2
 彼の経歴はすこぶる面白い。本人曰く、15歳の時に金融機関のサイトの脆弱性を偶然発見し、勝手に送金できることを見つけたのがハッカーとしての始まりだったという。その後、その金融機関が実施した賞金付きハッキング大会に参加し、それを機にホワイトハッカー(犯罪ではなく社会貢献をするハッカー)として活動するようになった。ホワイトハッカーになった動機は、「ハッカーとして悪事を行うと、刑務所に入ったり、企業からの訴訟を抱えることになるから」だという。その後は、こうした各社の賞金大会で活躍し、国防総省、米陸軍、UberWePay、ヤフー、グーグル、セールスフォース等から賞金を受け取り、企業とハッカーを繋ぎ、この種の大会を支援するコミュニティサイト「HackerOne」の世界ランキング72位(空軍大会優勝直後は一時的に8位)に輝いている。
 米国ではこの種のハッキング大会が盛んに実施され、ケーブル氏のような新たな人材が次々と発掘されているのである。
ハッカーは一騎当千の存在
 こうしたハッカーの活躍は戦争の形態にどのような変化をもたらすのだろうか。
 結論から言えば、これまでの工業化時代の戦争から、かつての中世のような戦争形態へと回帰しつつある流れの1つと考えるべきだろう。国際政治学研究では、現在の国際秩序は「新しい中世」に入りつつあるとの議論があるが、軍事面でもそれが起きていると考えるべきなのだ。
 例えば、かつての中世、それも鉄砲や長弓が普及する以前は、騎士とは絶対的な戦力であり、鎌倉時代の武士もそうであった。彼らは頑丈な甲冑を身にまとい、戦技に優れ、優秀な刀剣や槍を保有し、熟練した騎乗技術を誇っていた。農兵や雑兵ではとても叶わない存在であった。
 今回のように、たった17歳の1人の少年がサイバー空間上で巨大な米空軍を手玉に取るということは、ハッカーがかつての武士や騎士に匹敵する存在となっていることを意味する。まさに、中世の騎士や鎌倉武士のような一騎当千の存在になっているのである。要するに飛び抜けた「個」の存在が戦局を変えられるのである。実際、シマンテック社は、201796日の報告書で、「Dragonfly 2.0」と呼ばれるハッカーグループが欧米の送電システムに侵入を繰り返し、既に機密性の高いネットワークにバックドアをしかけており、いつでも支配権を奪われ、停電を起こされる可能性があると指摘している。これは、サイバー戦においては、今までのような物量による戦いが通用しにくくなることを意味している。優秀なハッカー個々人の存在をいち早く認知し、取り込んでいくことが、安全保障上、重要なのである。たった1人で巨大軍事組織を沈黙させられるのだから、これでも控えめな表現というべきであろう。

自衛隊に優秀なサイバー人材が近寄らなくなってしまう!
 残念ながら、自衛隊はとてもそのことを理解しているとはいえない。
 そもそも自衛隊の人事制度自体が、専門性を軽視した硬直的な制度となっている。例えば、サイバー系高度人材を中途採用するとなれば「技術幹部」として雇用されるであろう。だが、技術幹部の募集がサイバー系で出ても、応じる人間は少ないと思われる。なぜならば、「大卒何年目」という観点でしか評価されないからである。例えば、30歳の博士号取得者で、海外留学経験もあり、内外に広い人脈を持つ専門家を雇用した場合、彼はどういう待遇を受けるのだろうか? なんと二尉でしかない。理由は大卒8年目だからである。これは防衛研究所研究員の待遇より低い。
 また、他の組織同様、自衛隊においても新しい職種であるサイバーセキュリティ人材のキャリアパスはまだ確立されていない。また、組織の規模が大きく、異動について隊員の希望と組織の要求とでミスマッチは多い。そのため、経歴管理上仕方なく“どこか”へ異動しなければならない人材と問題意識を持ってサイバー部門へ異動を希望する人材とが同列に扱われてしまう。例えば、自衛隊の未来を担う若手幹部自衛官が、将来を見越してサイバー部門を希望していても、今はまだ、従来の王道とされるキャリアを歩まざるを得ないのである。
 繰り返しになるが、今やサイバー系人材は、まさしく一騎当千であり、各国とも喉から手が出るほど欲しい人材である。民間企業でも同様だ。しかし、このように給与も階級も扱いも低く、しかも活躍もできない状況で、どこの物好きが自衛隊に集まるだろうか。集まるわけがないし、むしろ人材が流出しかねない状況である。
役所も企業も考え方を改めよ
 近年、日本では「働き方改革」がブームである。筆者も安倍政権の方向性をより強化すべきであるとの考えだが、自衛隊にこそ柔軟な待遇や雇用形態が必要である。すなわち、どのような人材であっても、サイバー戦等に長けた人材であれば、その能力に応じた待遇なり柔軟な勤務形態を提供すべきなのだ。
 加えて、こうした懸賞金付きハッキング大会を、防衛省のみならず、米国のように民間企業も含めて積極的に実施するべきだろう(日本ではごく一部でしか実施されていない)。自らのサイトをハッキングさせて賞金を授ける大会は、主催者組織である役所や企業の問題意識を高め、効率的かつ効果的にサイバー攻撃に対する脆弱性を発見することができるからだ。
 さもなければ、昨年末に防衛省のシステムがハッキングされていると報道されたように、今後も北朝鮮や中国などのハッカーに防衛省・自衛隊が翻弄され続けるだろうし、有事もしくはグレーゾーン事態時に、送電システムの操作による大規模停電や金融システムの停止による甚大な経済打撃を被りかねない。
 もし、米朝開戦時に、関東を中心に大規模停電が発生し、送金システムが破壊されて預金も降ろせず、省庁のHPにはデマが記載され、Jアラートが乗っ取られれれば、我が国は米軍を支援する以前に国内が大混乱になりかねないことを思えば、簡単に分かる話ではなかろうか。

〈維新嵐〉従来型の軍隊のシステムが不要とまではいいませんが、軍事体制も大きな組織的なイノベーションが不可欠なように感じます。サイバー「奇襲攻撃」はもはや平時に、しかも平然とやってきます。

【国家レベルでもプライベートレベルでも警戒と防止が不可欠なサイバー攻撃】

仮想通貨を守るセキュリティ対策で安全に通貨を保管する方法

激化するサイバー攻撃に国や企業は耐えられるのか?
仮想通貨の盗難にDDoS攻撃、セキュリティ側の苦悩

リオオリンピック直前、関連組織に大規模なDDoS攻撃

2017322日、警視庁が運営する「@police」は「不正プログラムに感染したIoT機器が発信元と考えられるアクセスの増加等について」という文書を発表。宛先ポート5358TCPに対するアクセス件数が1月下旬に急増したことを報告した。警視庁が発信元となるIPアドレスにつなげたところ、いずれもマルウェアに感染したIoT機器が踏み台となり、DDoS攻撃に利用されたと見られている。
「年々、インターネット空間での攻撃が頻繁になっています。昨年のリオオリンピックの直前には、オリンピック関連の複数の組織が大規模なDDoS攻撃の標的となり、話題になりました」
そう語るのは、ラックのサイバー・グリッド・ジャパン、チーフリサーチャーの渥美清隆氏。オリンピック以外にも、イルカの追い込み漁を行っている和歌山県・太地町のウェブサイトや関連企業から中央官庁に至る幅広い対象に対して、反捕鯨を掲げる攻撃者たちが一斉にDDoS攻撃を仕掛けた「キリング・ベイ作戦」が実行されるなど、サイバー攻撃に関するニュースが後を絶たない。
「今年の6月には、マクドナルドの店舗でポイントサービスや電子マネーが一時期使用できなくなったのですが、同社のネットワークシステムがウイルスに感染したニュースがありました。公式に発表はされていませんが、当時騒がれていたマルウェア『ワナクライ』に感染したのでは、という噂が流れました」
ワナクライは、データを暗号化して身代金を要求するランサムウェア。世界中の企業や組織が標的となり、被害が拡大した。
「ポイントカードサービスは、一見するとIoT的ではないように見えますが、IoTのオリジナルの意味はRFIDを貼り付けた商品タグからきています。その点でいえば、個人の情報を紐付けているICカードもまた、IoTに含まれます。IoTがサイバー攻撃を受けた場合はデバイス側に被害が出ると思われがちですが、マクドナルドのようにサーバーサイドが狙われた場合も影響があるのです」
渥美氏いわく、IoTビジネスを継続するならば、デバイスだけでなく、その中間にあるネットワークと、サービスのデータを蓄えているサーバー側も守らなければならないとのこと。包括的なセキュリティ管理が必須となるのだ。

国家も潰れるレベルの 仮想通貨盗難事件

影響力のある組織や企業がサイバー攻撃の標的となれば、その分だけ大きな混乱を招く。近年、普及が進みつつある仮想通貨も、サイバー攻撃によって盗難されるという事例が増えているという。渥美氏が例にあげたのが、仮想通貨「Ethereum(イーサリアム)」での盗難事件。
「サイバー攻撃によって、流通している通貨(ETH)の1/4相当の額が盗まれました。通貨の1/4といえば、国家も潰れるレベルの金額です。犯人が通貨をばらまいたりしたら、秩序を維持できなくなる可能性があるため、事件そのものをなかったことにしてしまったんです」

イーサリアムでは、換金取引を始め、さまざまな記録をおよそ15秒ごとに記録している。その時系列を盗まれる前にまで戻して、数日分の取引を帳消しにしたという。
「通貨を盗まれた人も、そうでない人も全てなし。事件の報道はされましたが、仮想通貨は匿名性が高いので、所有者に連絡がいくこともありません。現金の入った財布をすられるのと同じ感覚ですね。その失われた数日間のうちに、何か買い物をした人の場合は、商品は手元にあっても購入していないという混沌とした状況に陥ったのです」
このような、仮想通貨盗難事件の原因のほとんどがウォレットの脆弱性にあるという。通貨そのものではなく、そのお金を預ける場所が狙われてしまうのだ。
「仮想通貨を保管するのは『ウォレット』というシステム。PCのソフトもあれば、オンライン上のウォレットもあるのですが、このシステムが脆弱なものだと、攻撃者の標的となってしまいます。仮想通貨のプログラムを組むときに問題が発生して、通貨が盗まれてしまった場合は、ウォレットを作っている団体が対処することになりますね」
現在でもさまざまな仮想通貨が登場しているが、いずれにしてもお財布選びは慎重に……
http://jbpress.ismedia.jp/articles/-/50881?page=3

IoTビジネスの要はレンタル・リース

ネットワーク空間につながっている以上、サイバー攻撃の脅威にさらされている現代。はたして、IoTサービスを提供する企業はどのような対策をとるべきなのだろうか?
「とくに注意が必要なのはこれまでITを扱っていなかったメーカーが、IoTビジネスに乗り出すとき。ビジネスの運用者はビジネスマターで考えるため、セキュリティに意識が向けられない可能性があります。新たなIoTビジネスを立ち上げるときは、必ず必要な管理対策を検討してください。また、デバイスそのものに、セキュリティ機能を搭載するためのリソースが不足している場合は、メーカーが改善しなければならない問題でしょうね」
そのほか、開発環境を最新にして脆弱性のあるパッケージを吸い込まないようにする、デバックのために使っていた不要なツールは削除して出荷するなど、テクニカルな対策が要求される。
そして、今後IoTビジネスを継続するために、各メーカーが導入する可能性が高いのがデバイスのレンタルサービスだという。
「現在のような買い切りのサービスではなく、レンタル・リースならば定期的に機器のメンテナンスも行えるので、セキュリティ管理も可能になります。もしくは、製品寿命を設定して、その期間が過ぎた時点で使えなくなってしまうような仕掛けをするなどの方法が考えられますね」
たしかに、今後利用者の年齢層が広がれば、すべてのユーザーが自宅でファームウェアのアップデートを行えるとは限らない。メーカー側は多様なトラブルに迅速に対応するためにも、根本的なサービスの見直しが必要になるのだ。
「メーカーは、ひとつの製品を何十年も保証することはできません。しかも、IoTデバイスがサイバー攻撃の脅威に晒されていることを考えると、レンタル・リースサービスのほうが、安心して使えるはずです」
とくに自動車メーカーは、サービス内容が一変する可能性がある、と渥美氏は語る。
「もっとも可及的速やかに法整備が必要なのが『コネクテッド・カー』です。コネクテッド・カーが事故を起こしたときの責任の所在については議論の真っ最中です。アメリカでは、一応メーカーが責任を負うことで決まっていますが、体制としては固まっておらず、日本では何も決まっていません」
現在は、自動運転機能の使用中も、前を見てハンドルを握ることが義務付けられている。しかし、完全自動運転が実現した場合、事故発生時はユーザーに責任が問えるかどうかが争点になっているという。
「今後、コネクテッド・カーの法律が整えば、安全性の観点から自動車はすべてリースかレンタルになってしまうかもしれません。もしくは、数年経ったら有無を言わさず車両を交換される可能性もあります」
車愛好家にとっては切ない話だが、インターネットにつながっている以上、さまざまなリスクを想定しなければならないのだ。最後に、渥美氏はセキュリティ側の苦悩を語った。
「攻撃者は、セキュリティの穴をひとつ見つければ、そこを狙うだけですが、セキュリティを守る側は穴がないように常に壁をキレイにしておかなければならない。守る側は圧倒的に不利ですよね」
年々、熾烈を極めるサイバー攻撃。もちろん悪いのは攻撃者だが、メーカーと運用者、ユーザーそれぞれがセキュリティ意識を持つだけで、防壁を厚くすることができるのかもしれない。株式会社ラックhttps://www.lac.co.jp/

講演:IOT時代におけるサイバーセキュリティ確保にむけて

私生活が覗かれる! サイバー攻撃の脅威


身近な家電がハッキングされる恐怖

自宅にとりつけたネットワークカメラが歌い出す

テレビやスピーカーなど、身の回りのIoTデバイスとネットワークがつながり、私たちの生活がより便利になっている昨今。これまで、国家や大企業などがサイバー攻撃の脅威にさらされているイメージが強かったが、IoTの普及と比例するように、その脅威もより身近になりつつある。
直近では、20178月にスマートスピーカー「Amazon Echo」を盗聴器に変換する方法が発見され大きな話題となった。これに対しAmazonは、問題が発覚したのは2016年モデルであり、2017年モデルのEchoはこの脆弱性に対応していることを明らかにしている。とはいえ、今後ますます生活に浸透していくことが予想されるスマートスピーカーが、盗聴器になり得る今回の発表は、一般家庭ですらサイバー攻撃の標的になり得ることを実感させられるものだ。
IoTに限りませんが、インターネット空間における攻撃が激しくなってきています。攻撃者はより弱いターゲットを探しているので、そういった意味でIoTデバイスが狙われやすいという面はありますね」
そう語るのは、セキュリティソリューションサービスを扱うラックのサイバーグリッド・ジャパン、チーフリサーチャーの渥美清隆氏。同社が20161228日に発行したレポート『JSOC INSIGHT vol.14』でもデバイスの増加に伴い「IoT機器の乗っ取りを試みる攻撃の検知」をトピックスに挙げるなど、セキュリティ業界の中でも注目度が上がっているとのこと。
ひとつの例として渥美氏が挙げたのが、ある中国製のネットワークカメラ購入者のケースだ。
「ある日、リビングに設置したネットワークカメラが勝手に動いて、歌を歌いはじめたそうです。言語は中国語で、明らかに人の声。とても気味が悪いですよね。この件について、ほかのセキュリティの技術者に聞いてみると、おそらく実装ミスだろうとのことでした。カメラのメーカー側には別のサービスを展開する予定があり、購入者以外の開発業者にアプリケーションのAPIを公開していたとすれば、そこに脆弱性があったため乗っ取られたのでは、という見解でした」
この歌うカメラは、今年の1月に話題になり、販売元のAmazonがユーザーに返金手続きをおこなったが、カメラそのものの脆弱性に関しては解決していないという。
「こうした事例が時々あるものの、幸か不幸か、IoTのコンシューマー向けのイノベーションが進んでいない日本では、身近な乗っ取り被害はあまり出ていません。しかし、世界的にはネットワークカメラやルーター周りの乗っ取り事件が多く報告されています」
一時期話題になった、セキュリティが脆弱な監視カメラがハッキングされ、その映像をネット上に公開しているサイト「インセカム」の存在など、IoTデバイスが悪用されたケースは今後も増えることが予想されているという。渥美氏は「ユーザー側は被害に遭っていることにまったく気づいていない点も、問題になっている」と語る。

感染しても気づかないマルウェア「Mirai

近年、家庭用IoT機器のパスワードが攻撃者に突破され、ボットネットを構築するマルウェア「Mirai」に感染してしまったデバイスが悪用される事例も多くなってきている。さらに、2016年末にMiraiのソースコードが公開されて以降、攻撃者たちがさまざまな亜種を作成し、ウイルスの感染台数は50万台を上回っている。
そして、Miraiに感染したデバイスの多くは攻撃者に悪用され、知らぬ間にネットワークを通じて標的のマシンでのサービスを機能停止に陥れるDDoS攻撃に加担させられていているのだ。しかし、ユーザーはDDoS攻撃の踏み台になっていることにまったく気がついていないという。なぜ、感染されたことに気づけないのだろうか?
IoTデバイスは、パソコンのように大きなディスプレイと操作可能なキーボードがついているわけではない、という点が大きく影響しています。本体に異常が起きたときに、使用者に異常を伝える方法がランプの色や点滅などしかないので、何が起きているのかを、具体的に知らせることができないんです。デバイスによっては動作が遅くなるという特徴が表れる場合もありますが、セキュリティ意識の低い人は『なんだか遅くなったなあ』と感じても、そのまま使いつづけている可能性は大いにあります」
異常を知らせる術を持たないIoTデバイスは、脆弱なまま長期にわたって放置されてしまうケースがあるという。
「ただし、IoTだから狙われやすいということではありません。パソコン、IoTに関係なく、すでに攻撃方法が明らかになっているデバイスは必ず攻撃されます。ただし、パソコンの場合は異常に気づいて早めに対策を打てる、という違いがありますね」
どんなデバイスでも攻撃されるリスクがある一方で、IoT機器がDDoS攻撃の踏み台になるケースが増えていることはたしか。IoTが狙われるようになった背景には、おもに4つの要因がある、と渥美氏は語る。
「ひとつは、IoT製品の数が圧倒的に増えたことで、攻撃を受ける機会が増えたこと。ふたつめは、IoTの実装者側がITのセキュリティにあまり詳しくないケースが少なくありません。もともとITとは関係のない事業を展開していたビジネスレイヤーの人は、IoTデバイスを開発する際に運用を優先させるため、セキュリティやセーフティに思いが至っていないことも原因として考えられます」
3つめは、アンチウイルスソフトを実装するための、メモリやストレージといったリソースが足りず、対策がとれていないことなどが挙げられる。そして、最後はユーザーのセキュリティ意識の問題だ。
「ユーザーのセキュリティ意識の低さが、サイバー攻撃を受けやすくしている可能性もあります。パスワードを工場出荷時のまま放置したり、ウイルスに感染して動作が遅くなったりしても気にせず使いつづけると、長期間攻撃されつづけることになってしまうのです」
「自分のパソコンは感染されない」という根拠のない自信を持ち、何の対策もとっていないユーザーのパソコンを調べると、ウイルスだらけだった例も多い、と渥美氏は語る。
実際に個人のデバイスが乗っ取られた場合、企業とユーザー、どちらに責任が課せられるのだろうか?
「日本では、法的な責任分解の整理ができていないのが現状です。たとえば、デバイスを作ったメーカーと、それを販売する運用者が別の場合、販売した製品のメンテナンスをする責任は、メーカーと運用者のどちらにあるのか。メーカーと運用者、利用者と被害者の利害関係が複雑に絡み合っているので、クリアするには時間がかかりそうです」
まだ明確になっていないが、場合によってはユーザーが責任を負うこともあるという。
「マニュアルで指示されたにも関わらず、パスワードを設定しなかったり、個人が行うべきメンテナンスを怠った場合は、ユーザーに責任があります。イタズラされる程度なら問題ありませんが、デバイスの脆弱性を知りながら利用を続けていれば、ユーザーに責任が課せられる可能性も考えられます」
たとえば、マルウェアに感染している脆弱なデバイスを使用し、第三者にケガをさせた場合には、ユーザーの過失として賠償金が請求される、というケースもありうるのだ。
「今のところ、IoTデバイスの中で事故が起きる可能性が高いのがドローンです。海外では、ドローンが事故を起こした事例報告も出てきています。ケガ人が出そうな場所でドローンを飛ばした場合はユーザーにも非があるので、責任は免れません。ドローンの場合は、状況に合わせて、その都度審議することになるでしょうね」

古いスマホは処分。セキュリティ意識を高めて自衛を

IoTが生活に溶け込むほどに、無視できなくなってきたサイバー攻撃の問題。攻撃者から自分の生活を守るために、個人でできる対策はあるのだろうか?
「第一に、デバイスを購入する際はパスワードが再設定できる製品を選び、必ずパスワードを再設定してください。なかには、プログラムの中にパスワードが埋め込まれていて、誰も変更ができないという製品もあります。その場合、ユーザーはどうすることもできないので、選択肢から外すのがベターでしょう」
セキュリティ対策は、製品を選ぶところからはじまっているのだ。そして、使わなくなった古いデバイスを適宜処分することも、セキュリティ対策につながるという。
「古いルーターや過去のスマホを、使用している人は意外と多いと思います。しかし、OSをアップデートしていないデバイスはセキュリティ的にも脆弱なため、自宅のWi-Fiにつなげる場合でもとても危険。使わないデバイスは処分しましょう」
また、現在使用しているデバイスでもファームウェアのバージョンを定期的に確認し、最新版に更新するように心がけるのも、セキュリティ対策につながるとのこと。
渥美氏は「技術は諸刃の剣」と語る。生活を便利にしてくれる反面、いつでも攻撃者の餌食にされる可能性を含んでいるのだ。IoTのセキュリティ対策は、日常の防犯と同じ意識を持つことが、本当の意味での快適な生活を手に入れることができるだろう。
株式会社ラックhttps://www.lac.co.jp/



0 件のコメント:

コメントを投稿