2021年7月19日、アメリカやイギリス、日本、NATO加盟国などが一斉に対中非難声明を出した。その内容は、中国が関係するサイバー活動により各国の知的財産や機密情報が窃取されていることや、ランサムウェア(暗号化などにより標的システムの使用を妨害することで金銭を要求する恐喝行為を行うためのソフトウエア)によって、重要インフラ運営会社及び企業などが大きな損害を被っているというものである。それに対して中国は、単なる言いがかりであり、証拠もなく、悪意ある捏造にしか過ぎないと反論した。
そこで、今回のコラムでは中国のサイバー攻撃に焦点を当てて考えてみたい。
以前から中国発のサイバー攻撃が多いことは有名であった。数年前は世界におけるサイバー攻撃の3分の1は中国発であるとまで言われていた。これは、当時から中国ではインターネットを利用する人の数が極めて多く、その中には多くの犯罪者が紛れ込むこととなり、相対的に他国と比較するとサイバー攻撃の数が際立っていたためであり、ある意味当然であった。またその頃、中国からのサイバー攻撃は、8月や9月の特定の日、つまり中国人の反日感情が高まる日に劇的に増えていた。これらの中国からのサイバー攻撃は感情に走り、技術的にも低レベルの有象無象によるものがほとんどであった。
では、最近、何が変わったのか?
サイバー空間が、技術情報、外交情報、軍事情報、経済情報など、国家レベルの情報収集の場として活用されるようになり、中国の政府機関が背景に存在すると見られる高度な攻撃が注意を引いているのだ。さらにライバル国に対する情報操作、いわゆる情報戦争の道具としてのサイバーの利用も目に付く。2018年10月、ハドソン・インスティテュートにおいて演説を行ったペンス米副大統領(当時)は、「中国が2018年の中間選挙及び2020年の大統領選挙に干渉しようと、対米世論工作を始めている」と中国に対する警戒感をあらわにしている。サイバー空間は犯罪者による金銭目的の場所だけではなく、国益がぶつかり合う仮想の戦場となっているのだ。
今回の中国非難の元となった事件は、以下のように伝えられている。
世界中で大きなシェアを持つ電子メールサーバーソフト「マイクロソフトエクスチェンジサーバー(Microsoft Exchange Server)」が、今年(2021年)3月に高度かつ大規模なサイバー攻撃を受けた。この攻撃により、サーバーが遠隔操作され、利用者のメールアカウントが知られ、データが盗まれた。さらに、被害者のコンピューター環境を監視するためのマルウエアのインストールも可能な状態となっていたという。マイクロソフトはこの攻撃に関して、被害状況や手口から、犯人は中国国家安全省の息の掛かったハッカー集団「ハフニウム」によるものだとした。
マイクロソフトは、どうやって犯人をハフニウムだと特定したのだろうか?
被害状況や手口からというが、それは具体的にはどんなのものだったのだろうか。攻撃が、一般にゼロデイと呼ばれる修正前のプログラム脆弱性を利用した、極めて高度なものだったということ以外、ことの詳細はほとんど明らかにされてはいない。また、当面、その詳細が詳らかになることもないだろう。それは、どこまでわかっているかを攻撃者に教えてはならないからだ。それを教えてしまうと犯人は次の攻撃にその知識を利用するため、次回からの探知がより困難になる。
ただ、一般的には次のようなやり方で犯人を特定していったと推定できる。
まず、技術的に攻撃元を辿ることはとても難しい。というのは、インターネットは善良な人が作ったために、その中に悪者がいるという想定がなされないまま大きくなっている。もしネット間で情報が伝達される際に、その記録を正確にさかのぼるような仕組みでもあれば、それから攻撃元へ辿ることもできるだろうが、そのような仕組みは現状ない(全くないというわけではないのだが、それは善意の上で行った間違いを見つけて正すためのものであり、悪意があれば簡単に偽装、迂回できる)。
それでもシステムは各所でログと呼ばれる記録を取っているので、異常なことがいつどこで起こったか、どこから来たかなどは、ある程度、収集し解析できる。特に攻撃者にミスがあった場合(攻撃者も人間なので、実は、そういうこともままある)、それをきっかけとして犯行を追跡できる場合もある。しかし、仮にこのような技術的手法により攻撃者のアドレスがわかったとしても、そのアドレスを使用しているのが誰なのかを見極めることは、普通できない。これを行うには、そのパソコンにウイルスを送り込んで遠隔操作して持ち主を特定するなど、通常では法的にも問題のある手法を取らねばならず、これが犯人を見つけた方法を公開できない理由の一つでもある。
そこで、取られる手段の一つは、過去のサイバー攻撃事案から似たような手法のものの利用状況や攻撃傾向等を分析・分類しておき、それらを参照する方法だ。一例を挙げると、ある特定の攻撃グループは外国人になりすましていることが多い。たとえば、ロシア語のコードを使っているが何か違和感がある。あるいは、メールでは日本人からだと言いながら、「プロジェクト」を「プロゼクト」と表記するなど、日本語を母国語とはしないものの、かなり使える人であることを伺わせる手口等がみられる。また、HTML(ウェブを表記する際に利用される約束の言語)の中に0(ゼロ)ビットの大きさの絵を使ってビーコン(相手を追跡するための仕掛け)を埋め込むのが好きだ。などと、このような手口やその特徴を吟味しながら犯人像に迫っていくのだ。
結局、本件では、マイクロソフトや米国政府の捜査陣は、技術的手法だけではなく、合法、非合法から得た一般的情報も併せ、総合的に分析・評価して、中国ハフニウムを犯人と名指しするに至ったのだと考えられる。そこにはグレーなところもあったろうが、そこは政治である。現在の米中関係も踏まえた上で、中国に厳しい警告を出すことが米国の国益に沿っているとの判断がなされたのだろう。
この意味で、我が国にサイバー攻撃の情報を収集し、これを分析、使えるデータとして関係先に配布する強力な情報機関がないことは、サイバーの世界でも致命的な弱点であると言わざるを得ない。繰り返すが、技術だけで攻撃者を特定することは極めて難しい。まして、そのような高度な技術力も情報能力もない国家にとっては、サイバー攻撃に対して極めて無力であり、いわば無法地帯に暮らしているようなものだと言っても過言ではない。
最近、尖閣や台湾海峡問題がクローズアップされているが、情報機関の欠落も含め、統一されたサイバー・セキュリティ組織が存在しないことも、日本の安全保障上、極めて危うい状況にあるという認識を持つべきである。