サイバーテロ – 透明性と匿名性 –

Kazu Shimura

Kazu Shimura

志村 一隆

 ソニー・ピクチャーズがGOP(Guardians of Peace)と名乗るグループに、社内メールなどのデジタルファイルを盗まれ(ハッキングやクラッキングという)、それをインターネットで公開された。

 盗まれたソニーの新作映画のファイルはどこでダウンロードできるのか?アンジェリーナ・ジョリーやキャメロン・ディアスのパスポート情報はどこで見られるのか?そんな野次馬根性でいっぱいの人も多いだろう。

 米国FBIは、ソーシャルメディアのログイン履歴や、IPアドレスなどから、北朝鮮サイバー部隊の関連を認めている。いっぽうで、アメリカでは北朝鮮は無関係と言うIT専門家も多くいる。

 サイバーテロは、匿名性を悪用してるがゆえ、とにかく色んな情報が錯綜する。

 そして、さらにいま我々が認識すべきは、サイバー空間の攻撃が、リアルな社会インフラの破壊にまでつながる点だ。軍や国家同士の戦いでも、ネットオタクだけの問題でもない。普通の人も、もっと関心をもったほうがよい。

 そこで、今回はサイバーテロ・戦争についてまとめとこう。なるべく専門用語を使わずに。。

 

ソニーピクチャーズのまとめ2

 

勝手に自撮りされる危険性

 

 まずは、こんな経験から。

 ちょうど1年前、自分はシリコンバレーにあるインキュベーションオフィスの一室で、東欧からやってきた若者と話をしていた。

 彼は元ハッカー。そんなところでなにをしてるのかというと、自分のハッキング技術をもとに、金融機関向けにセキュリティ製品を開発している。仲間は欧州や南米の元ハッカー達6人。シリコンバレーの投資家からお金をもらっている。

 そんな彼らが力説していたのが、スマートフォンに使われているアンドロイドOSのセキュリティの弱さだった。

 「ホラ、見て」と見せてくれたパソコン画面には、誰かのケータイに保存されている画像、メール内容、それにアドレス帳がダダ漏れされていた。

 

ハッキング画面

ハッキング画面

 

 どうやって?

 まず、金融機関などの名前を騙りメールを多数配信する。「重要なお知らせです」という件名に、もっともらしい内容とURLが添えられている。自分の金融機関からのメールと思った何人かが、アクセスするとハッカーの用意したウェブサイトが表示される。それと同時に、偽のキーボードが起動するようなプログラムも一緒にスマートフォンに送られる。これは、サーバとパソコンが情報をやり取りするインターネットの仕組みを利用している。

 当然持ち主は、そんなプログラムが知らぬ間にインストールされているとは知らないので、普段通りメールしたり、IDを打ち込んだりする。その都度、偽キーボードがハッカーに情報を送る。

 つまり、ホンモノの如く起動する偽キーボードから、持ち主の行動がハッカーに把握されてしまう。

 ログインできれば、もっと能動的なこともできる。

 2013年の夏、アメリカのミス・ティーン・USAは、見知らぬ誰かに自分のパソコンのカメラを操作、勝手に写真を撮られ、要求に従わないと画像をバラまくと脅されてた。ほかにも、クリスティーナ・アギレラやスカーレット・ヨハンソンといったスターたちも自分の知らない間にパソコンのカメラを起動され、写真を撮られていた。(こうした犯罪をSextortionと呼ぶ。Sexとextortion=ゆすりの造語)

 スマートフォンのカメラや録音機能が遠隔操作できれば、ターゲットの生活空間に侵入して盗聴器を仕掛ける必要もない。

 ここまでは愉快犯。

 

インターネットの仕組みとそれを悪用するサイバー攻撃

インターネットの仕組みとそれを悪用するサイバー攻撃

 

リアルと直結するサイバー攻撃

 

 次に、サイバー戦争(大規模なサイバーテロともいえる)と呼ばれるものについて。

 2007年エストニアの銀行のウェブサイトなどが突然アクセス不能になった。翌2008年、今度はグルジアの政府ウェブなどがやはり見れなくなった。

 いずれもロシアとの政治的問題が勃発した時期で、このサイバー攻撃にはロシアが関与していると言われている。

 だが、なぜウェブサイトがアクセス不能になるのか?

 前述のように、インターネットは情報が欲しい人がサーバにリクエストするというインタラクティブ性で成り立っている。ただ、一度にたくさんのリクエストがあると、機械が処理できなくなり、返事ができない状態になる。サーバの処理能力には、機械的(物理的)限界とそれを処理するソフトウェア的(論理的)な限界の2つがある。

 そこで、何百万台ものコンピュータからある企業や国家機関のサーバに集中的にリクエストを発生させる。すると、サーバがその処理に忙殺され、企業内からメールのやり取りができなくなったり、企業サイトが表示されなくなる。

 こうした攻撃をeコマースサイトが受ければ、その間売上が立たなくなる。

 さらに、それを戦争中に相手国からされたらどうなるか。

 司令基地のサーバやネットワークが攻撃されれば、前線部隊とのコミュニケーションが麻痺する。

 さらに、平時であっても日常のインフラを攻撃されるとどうなるか?たとえば、信号機がネットワーク化されインターネット接続で管理されている場合、全てダウンするだろう。電車の運行システムがクラッキングされてダウンすれば、電車も止まる。

 2007年に公開された映画「ダイ・ハード4.0」には、テロリストが、路上の信号を全部青に変え大事故を引き起こしたり、街頭の監視カメラで標的を追跡する様子が描かれている。荒唐無稽ではあるが。。

 輸送機関、電力グリッド、原発、兵器庫などなど。インターネットというサイバー空間の攻撃で、リアルな機械をコントロール不能な状態にし、現実空間にカオス状態を作りだせる。

 あらゆるモノがネットワーク化されるコネクテッド社会では、サイバー攻撃がリアルと直結する。サイバー攻撃はネット上だけでも、軍事的、国家的な問題だけでも捉えきれないのが現実である。

 

サイバー戦争のまとめ

サイバー戦争のまとめ

 

知らぬ間にサイバー攻撃に参加している可能性

 

 では、そもそも何百万台ものパソコンを持っている集団がいるのだろうか?

 アノニマスといったハッカー集団は、一般の人のコンピュータに知らぬ間にソフトウェアをインストールさせ、攻撃時に一斉に指令を出す。

 いや、売られる前のコンピュータにあらかじめ紛れ込んでいる可能性もある。

 2014年1月のニューヨーク・タイムズには、アメリカのインテリジェンス機関NSA(National Security Agency)が、サイバー攻撃用ソフトウェアをインストールさせた10万個のパソコンがそのまま出荷され市場に出回っているという記事が載っている。

 ちなみに、中国のファーウエイ社(巨大な通信機器メーカー)も、こうしたサイバーテロへの関連を疑われ、アメリカ市場から撤退した。

 一般の消費者は自分のパソコンが知らない間にサイバー攻撃(特定URLへのリクエスト)に加わっていたとしても、気づかないだろう。

 機械はその人が誰であれ、指令されたことをそのままこなす。そして、ネットワークに繋がった機械は、目の前にいる人でなくても遠隔操作できてしまう。そんな性質が、こうした悪意の行動を可能にしているのである。

 

米国のサイバー部隊

 

 こうした現実に気づいたアメリカ軍は、2010年サイバー軍(U.S. Cyber Command)を創設した。2016年までに6,000名を配属する。2014年版国防計画レビュー(Quadrennial Defence Review 2014)の重点項目にもサイバーが挙げられている。また、オバマ大統領が議会に提出した2015年度予算案(Budget of the U.S. Government)でも、サイバーは国防の第一課題に挙げられている。

 また北朝鮮にはサイバー攻撃部隊6,000人いると韓国国防白書で指摘されている。北朝鮮のサイバー部隊121局については、ヒューレッド・パッカード社の資料(Profiling enigma: The mystery of north Korea’s cyber threat landscape)が詳しい。

 こうしたサイバー部隊同士が、自国内から敵国のネットワークを破壊し合うことは想像がつく。だがダイ・ハード4.0のように我々の生活にも被害が及ぶ可能性がある。それも、敵機来襲なんていう実感も伴わず生活インフラが破壊される。いや、2014年8月号で紹介したドローンの指揮ネットワークに侵入されたら、敵国に向かって発進したドローンが自国に向かってしまうかもしれない。つまり、軍隊同士の戦いが知らぬ間に生活空間にまで被害が広がる可能性がある。

 そのため、軍と民間セクターとの連携も重要だ。すでに2011年度国防省サイバー戦略(Department Strategy for Operating in cyberspace)には民間部門との連携が記されている。さらに、2015年1月13日オバマ大統領は、「デジタル・インフラを守るのは、安全保障の最優先課題であり」「民間部門との協力が重要である」と述べている。

 ただ、そこはプライバシーの問題なども絡んでくる。NSAが電話やインターネットの会話を盗聴していたことを覚えている人も多いだろう。それより前に、私は通信ログを解析し広告配信するというアメリカのベンチャー企業とミーティングしていた時期がある。その試みは違法と判断された。(どこかの時期でアメリカはサイバー空間での情報収集について一線を越えてしまったのだろう)

 ネットワーク化が進んだときの国家と個人の境界線は、これから引き直す必要があるだろう。

 

米国IT・サイバー予算

米国IT・サイバー予算

 

パスワードの変更で大抵は防げる

 

 とにかくあらゆるモノがインターネットにつながり、それを動かすOSもWindowsやアンドロイドOSに集中するコネクテッド社会。

 繋がっているので、侵入される。だったら、物理的に分断すれば、誰も侵入できない、ということなのか、アメリカの政府関係者は、特定のソフトしか使えないパソコンを使っているという。こうすれば、外部から侵入したマルウェアが作動しないので安全なのである。

 インターネット網もアメリカが主流である。ソニー・ピクチャーズがハッキングされたあと、北朝鮮のインターネット網がダウンした。これも、グローバルに接続されている北朝鮮のインターネット網を物理的に切断したからである。

 もうひとつ簡単且つ有効な手段が、IDやパスワードを変更することである。たとえば、いまやネットワーク機器のコピー機。そのログイン設定が、初期設定のままのケースが多いという。コピーした紙をそのまま忘れてしまうのはアナログ時代のミス。いまや、コピーや印刷した情報がネットワークを通じて外部に漏れてしまう危険性もある。(この辺りは『情報立国・日本の戦争』(山崎文明、角川新書)に詳しい)

 世の中に無数にあるネットワーク機器のうち、ログインパスワードが初期設定のままのものを検索できるSHODANというサイトもある。2013年4月のCNNニュースによると、SHODANを使って発見したなかには、ホッケー場(リンクの氷を溶かすことができる)や洗車場(勝手に水を出したり、止めたり)といったものがあったそうな。

 先日のソニー・ピクチャーズのハッキング事件でも、従業員のパスワード保管ファイルの名前が「password」だったという。ハッキングといっても、侵入したネットワークに散在する膨大なフォルダ、ファイルから意味のある情報を取り出すのは難しい。解りやすい単語の存在はハッカーたちを手助けしてるようなものだ。

 IDやパスワードを変えたとして、そもそもアンドロイドOSの抜け穴はどうしたらいいのか。冒頭紹介したケータイの中身を見る技術も、ケータイの持ち主が、自分宛に送られてきたメールに付いている怪しいリンクや添付ファイルにアクセスしなければ、侵入はできない。

 要はリアル生活と同じで、君子危うきに近づかずにしてれば、たいていの危険は防げる。

 

サイバーテロ・戦争の種類

サイバーテロ・戦争の種類

 

透明性と匿名性 – ネット領域が拡大することによる新たな秩序

 

監視カメラ(ロンドン)

監視カメラ(ロンドン)

 

 ウェブやインターネットのオープンコンセプトは、いまや政治や行政、それにインテリジェンスの世界にまで取り込まれ、それらの透明性を増していく。

 いっぽうで、匿名性はインターネットの利用モチベショーンのひとつである。パスワードを盗む、遠隔操作といった行動は匿名性の闇であろう。

 ウェブの世界がリアルに拡大するにつれ、こうした匿名性と透明性の狭間で悪意が跋扈する。

 それは、国家、民間、公共、プライバシー、ビジネスといった社会の枠組みを変えていくだろう。

 プライバシーを暴く愉快犯的なサイバーテロは、デジタルやネットの仕組みを常識として理解する層が増えれば、少なくなる。しかし、DOS攻撃的な手法はこれからも残る。大規模なサイバー攻撃が金融機関、電力、交通などのインフラを破壊される可能性もある。

 いずれにせよ、大切なのはサイバー空間の出来事がリアルな空間と直結しているという認識を持つことである。