『サイバー停電』 電気が消えたら – 国家が危機にさらされる
Cyber Blackout: When the Lights Go Out -- Nation at Risk

強調オフ

サイバー戦争大規模停電・太陽フレア食糧安全保障・インフラ危機

サイトのご利用には利用規約への同意が必要です

Cyber Blackout: When the Lights Go Out — Nation at Risk

ジョン・A・アダムス・ジュニア

目次

  • 図リスト
  • はじめに
  • 1. サイバー空間 第5の領域
  • 2. ドラゴンと熊
  • 3. サプライチェーンのメルトダウン
  • 4. 電気が消えたら 重要インフラへのサイバー脅威
  • 5. コミュニティ連鎖するカオス
  • 6. サイバートリアージとトレンド
  • サイバー用語集、専門用語、略語選出された参考文献
  • 索引
  • 著者について
  • 著作権について
図リスト
  • 図タイトル
  • 第1章
  • 1-1 サイバーセキュリティにおける11の難問領域
  • 第2章
  • 2-1 内部脅威の分類
  • 2-2 国家のサイバー戦争能力
  • 2-3 高度破壊的(サイバー)攻撃の戦略的測定(SMADA)
  • 2-4 疑われる中国のサイバー攻撃
  • 第3章
  • 3-1 サプライヤーの多様性: 供給元とリードタイム
  • 3-2 サプライチェーンリスクマトリックス
  • 3-3 サプライチェーンリスクの軽減
  • 3-4 オフショアでの製造と組み立て
  • 3-5 サプライチェーン情報の流れリスク
  • 第4章
  • 4-1 重要インフラの階層構造
  • 4-2 SCADAに共通する10の脆弱性
  • 4-3 重要インフラのインベントリ
  • 4-4 堅牢なサイバー・セキュリティ・プログラム
  • 4-5 セクター別の省庁とCIKRセクター 4-6 CFATSリスクベースのパフォーマンス基準
  • 第5章
  • 5-1 地域社会のサイバーセキュリティ成熟度モデル
  • 5-2 スタッフォード法による国の支援
  • 5-3 地域レベルのサイバー攻撃プロファイル
  • 5-4 全米国内準備コンソーシアム
  • 第6章
  • 6-1 サイバー攻撃の被害
  • 6-2 サイバー攻撃のサンプルリスト

はじめに

2001年9月1日の涼しい爽やかな朝、私はシリアルを食べ終えてCNBCの朝のビジネス・レポートを見た。当時GEの社長で、ビジネスと経済に関する優れたバロメーターだったジャック・ウェルチのインタビューを待っていたためだ。7時40分(ニューヨークでは8時40分)頃、番組ホストのマーク・ヘインズが市場の最新情報を中断し、マンハッタン下の世界貿易センタービルのライブ映像に入った。私はサウスタワーの15階か20階から煙が上がるのを見た。マークはこのビルに飛行機が衝突したのではないかと考え、第二次世界大戦中の1945年、霧に包まれたエンパイア・ステート・ビルにB-25爆撃機が墜落した話を簡単にした。

突然、マークはサウスタワーにツインエンジン機が衝突したとの憶測を示す電報に注目した。マークは立ち止まり、これは単なる悲劇的な火事ではなく、もっと不吉なことなのではないかと考えた。私はテレビをミュートにし、アトランタにいる3つの戦争で勲章を受けた退役軍人の父に電話して、テレビをつけるように言った。私たちが見ていると、画面の右側から2機目のジェット機が現れ、ノースタワーの上層階に突っ込んだ。私のテレビはその日一日つけっぱなしだった。

マーク・ヘインズは眼鏡を外した: 「我々は攻撃を受けている」

ジョン・A・アダムス・ジュニア 9:11 EST September 11, 2001

「21世紀におけるアメリカの経済的繁栄は、サイバーセキュリティにかかっている」

ホワイトハウス

あの9月11日、世界中が衝撃に包まれる中、世界情勢の劇的な変化や、不正な攻撃やテロ行為に対するわが国の脆弱性を十分に理解している者はほとんどいなかった。このような出来事は、ここアメリカではなく、他のどこかで起こっている。我々の諜報活動は失敗したのだろうか?警告のサインはあったのか?誰に責任があったのか?諜報機関はこのような脅威を監視していなかったのか?純粋なサイバー攻撃とは認識されていないが、世界貿易センタービルとペンタゴンの攻撃の準備、訓練、通信、実行において、サイバー領域は重要な役割を果たした。われわれのサイバー技術とアナリストは、攻撃を抑制できたかもしれない警告のサインを十分に解釈することができなかった。

サイバー攻撃とサイバー侵入は、米国民一般、そして特に国、州、地方レベルの政府関係者によって、依然として大きく過小評価されている。過去10年間、政府機関、政策立案者、学者が縄張り争いを繰り広げる中で、国家レベルでのサイバー脅威に対する意識は高まってきた。効果的なサイバー政策は、ある重要な問いに常にとらわれている。それは、国家安全保障が、インターネットへの全面的なオープンアクセスを期待するようになった一般市民の認識する公益と、どのレベルで対立するのか、ということである。本書は、主に地方レベルの政府の政策立案者、大小の産業界、そして最も重要なことだが、全国に張り巡らされた広大な送電網のような、経済の重要なインフラ部門に携わり、それを守る人々に向けた、平易な語り口で、技術的でないプレゼンテーションである。これらの人々に差し迫った脅威を認識してもらうことが重要だ。国家として、私たちは安全という誤った光景に騙されている。本格的なサイバー侵入がもたらすインパクトは、Y2Kの時に唱えられた暗黙の脅威の何千倍も大きい。今こそ、無為無策や意識の低さを超える時である。アメリカ人は、サイバー攻撃の破壊的な大きさと複雑さを認識しなければならない。

広大な「有線」世界は多くのブレークスルーをもたらし、かつて夢にも思わなかった方法で、ほぼリアルタイムで世界を繋いだ。インターネットはオープンで透明性が高く、相互運用が可能であるように設計された。セキュリティとID管理は、システム設計において二次的な目的であった。しかし、われわれが今操作しているサイバースペース領域にまたがるネットワークを作り出したのと同じ努力が、新たなネットワーク・ツールと脅威を生み出し、それが悪用されれば、大規模な混乱を引き起こす可能性がある。この新しいサイバー時代において、国家安全保障への懸念は依然として重要であるが、大規模なサイバー・イベントを検知、阻止、管理するための万全の防御システムは、地域レベルではほとんど存在しないというのが実情である。したがって、今こそ自分たちの強みと弱みに対処し、それを知る必要がある。不正なハッカーから中国による積極的な国家スパイまで、サイバー脅威は非対称的である。したがって、ウェブに内在する安全性の低さから、サイバー攻撃がコミュニティ・レベルにまで連鎖する前に、プロトコル、指揮系統の明確化(すなわち正当な権限)、ファイアウォール、復旧のトリアージを強化しようと躍起になっている。

現在進行中の証拠の流れは、深刻なサイバー攻撃から生じる可能性の大きさに対して、国家としての備えが十分でないことを示唆している。これらの行為者は、情報を侵害し、盗み、変更し、保存し、送信し、あるいは完全に破壊する能力を持っている。「オープンソース」ネットと、タイムリーで中断のないセキュリティーと重要なサービスの必要性との間の、国、州、地方レベルでの結びつきは、まったく新しく、挑戦的な時代を到来させた。サイバースペースが、私たちの生活や国家の安全保障にとって最も重要な日常機能とリンクするスピードは、まさに目を見張るものがある。まさにインターネットのスピードと、ウェブ、通信、インフラの相互接続性への依存は、今や米国経済、公共の安全、巨大なインフラ、そして国家安全保障の基盤となっている。サイバースペース時代はユビキタスであり、まだ始まったばかりである。

国家を守るために必要なセキュリティに取り組む準備を怠ることは、ナイーブであり、短絡的である。情報化時代の技術革新による恩恵は、接続性の暗黒面によって脅かされている。かつては単にハッカーと呼ばれていた攻撃者たちは、不正な個人から国家に至るまで、国家安全保障と経済的福利に関する私たちの懸念を再定義している。サイバー攻撃は、まさに前例のない方法でアメリカの国家安全保障を脅かしている。多くの人々が、重要なインフラを安全に保護するよう呼びかけている。サイバーに関するこのプレゼンテーションは、この重要なトピックの架け橋となる努力として、新しいサイバー時代の成長、ダイナミクス、脆弱性を示すことを意図している。

私は、産業界、政府、学術界の資料、インタビュー、情報源を横断的に使用した。情報源に妥協したり、秘密を漏らしたりすることのないよう注意を払っている。サイバー空間で日々増加する用語の辞書とともに、詳細な参考文献が含まれている。外国国家のスパイ活動や熟練した組織犯罪グループは、日常的にサイバーデータ、金融データ、ID情報、軍事機密など、我々のシステムから流出させることができるあらゆるものを入手し、ハッキングしている。映画でさえも安全ではない!

本書が出版された2014年12月、FBIが北朝鮮のハッカーと認定した人物によるソニーへのサイバー攻撃は、攻撃的な映画の公開をめぐって世界的な注目を集めた。オバマ政権はこの事件に対応し、産業界はより安全なセキュリティ対策を求めた。このようなサイバー攻撃や機密データの漏洩にさらされている公共部門と民間企業の両方の意識の高まりは、サイバー攻撃の深刻さとその結果生じる損害に対処するための闘いにおける転換点かもしれない。

次のサイバー攻撃は、明かりを消すような攻撃かもしれないのだ。

1. サイバー空間第5の領域

民間や政府のネットワーク、そしてここ米国の重要なインフラに重大な混乱を引き起こすような(サイバー)能力を誰かが使うようになるのは時間の問題である。

キース・B・アレクサンダー将軍米国サイバー軍 2012年3月22日

大規模なサイバー攻撃によって遠隔地からもたらされる損害と混乱は、最初の1週間だけで、20世紀に戦争によってもたらされた経済的損失の総額を上回る可能性がある。突飛な話だろうか?いや、それ以前の時代には、サプライライン(チェーン)の混乱は、鉄道輸送の停止、港湾の封鎖、通信と送電線の切断、そして最終的には製造拠点への戦争という、純粋に物理的な追求だった。米国は、大規模な長距離通常攻撃や核兵器による軍事攻撃を行う能力を有しているが、国家の経済、生存、安全保障のあらゆる側面に対する潜在的なサイバー攻撃の幅と範囲を考えると、敵に戦争を挑むというこのパラダイムは、今日のハイテク・サイバー現代において打ち砕かれた。サイバー脅威は現実であり、深刻である。

国家を防衛するための作戦の規模と範囲は、「第5の領域」の時代に突入し、デジタル・インフラとリアルタイムの接続性は、陸、海、空、宇宙でこれまで知られていた戦争を凌駕している。サイバーインテリジェンスの専門家であるジェフェリー・カーが指摘するように、サイバー空間を単純に別の領域として分類するのは間違いである。彼の主張は説得力がある。「サイバー空間を戦争遂行領域とするのは、非常に難しい概念だ。物理的な世界と並行して存在する、神秘的で目に見えない領域だが、数え切れないほどの影響を与えることができる……現実というよりは比喩に近いものだ。サイバースペースは明らかに存在するが、その広大で移り変わる性質のため、完全に定義することは難しい。とはいえ、ここでは簡略化のため、「サイバー」と「サイバースペース」を並列の用語と領域として参照し、使用することにする3。

サイバー注釈:サイバースペース:インターネット、通信ネットワーク、コンピュータシステム、組み込みプロセッサやコントローラなどの情報技術基盤の相互依存ネットワークからなる情報環境内のグローバルな領域。

今日、われわれは、長い歴史の中で最も多くの人々、広範な重要インフラ、国防資源を差し迫った危険にさらしている。米軍は、世界的に傑出した空軍、陸軍、宇宙軍、海上軍であり、今後もそうあり続けるだろう。サイバー以外のすべての戦闘領域を支配している。しかし、われわれの日常生活、経済、軍事力のあらゆる側面のスピードと相互接続性は、日々脆弱性を増す広範なサイバー・バックボーンと結びついている。サイバースペースでは、実行から効果までの時間はミリ秒にもなる。サイバー警告に耳を傾けないのは愚の骨頂である。本格的なサイバー攻撃が簡単に撃退できると考えるのは、希望的観測に過ぎない。そして、時間と技術が進歩するにつれて、我々はより脆弱になり、社会、経済、インフラ、初動対応者のあらゆる部門に混乱とパニックが広がり、無力化されるだろう。

国防総省は、教義上の問題として、サイバー空間を「作戦領域」として扱っている。つまり、サイバー脅威を、将来のすべての計画や安全保障の検討において、織り込まれ、相互に関連するセグメントとして評価しているのである。これらのセクターのいずれかに重大な混乱が生じれば、国防活動にも影響が及ぶ可能性がある。ロバート・ゲイツ元国防長官は、米国は「事実上、毎日、常にサイバー攻撃を受けている」と指摘している7。

プロジェクトの範囲

従って、本プレゼンテーションの目的は、サイバー分野の急速な台頭と影響、そして米国の経済、重要な支援サービス、安全保障のあらゆる面にサイバーが偏在していることを見直すことである。本格的なサイバー攻撃の範囲、被害、復旧について理解を深めることに重点を置いている。本書は技術書ではないし、読者を頭字語やコンピューター・ハッキングのトリック、専門用語に振り回そうとするものでもない。専門家の中には単純だと思う人もいるだろうし、懐疑的な人の多くは突飛だと思うだろう。しかし、政策立案者、第一応答者、そして州や地域のリーダーたちにとって、タイムリーな読み物であることを意図している。その影響は想像を絶するだろう: いくつかの病院はバックアップ電源を持っているが、多くの病院は暗闇の中、患者であふれかえり、信号機がオフラインになるため交差点は封鎖され、911は機能しなくなる; 水と燃料の配給を制限する電気駆動のポンプは、変圧器の故障によって機能しなくなり、ウェブはダウンし、数日以内に食糧の供給は減少し、週明けには緊急避難所のパワーパックの明かりは真っ暗になるだろう。スピード、リアルタイムサービス、通信量のために開発されたITと通信システムの接続性は、経済の大部分にわたって連鎖的に中断され、クラッシュする可能性がある。

誰が責任者なのか、どのようにコミュニケーションをとるのか、対応と復旧のトリアージはどうするのか。スパイ主導のサイバーハッキングの規模と範囲は驚異的である。国家安全保障局(NSA)長官で米サイバー軍司令部のキース・アレグザンダー将軍が、「史上最大の富の移転」と呼ぶように、現在までにサイバー事件は、知的財産の損失、メンテナンス、脱税、セキュリティの強化などで、米国に数千億ドルの損害を与えている。重要な電力網や通信網は日々侵害されている。今日、国家的な対応計画はせいぜい断片的である。さらに、重要なサービスのサイバー的混乱(メルトダウン)に対して、全米の中小、大都市を問わず、地域社会がその影響の全容を把握し、リアルタイムで対応できる態勢を整えているところはない。

米国におけるテロ事件や自然災害は、ほとんどの場合、局地的または地域的なものであった。2000年以降の国際的なテロ攻撃や、アジア大津波から2004年にフロリダ州を襲った4つのハリケーンの上陸に至るまで多発した自然災害は、破壊や被害、それに伴う心理的苦痛や復旧への挑戦について十分な証拠を提供している。このような混乱の真の尺度は、影響を受けた地域の脆弱性である。9.11同時多発テロの影響は、何十年も続くだろう。9.11同時多発テロにはほとんど何の前触れもなかったが、現代では気象障害に対する早期警報はわずかに改善され、差し迫った事態を十分に知らせることができるようになった。現在までのところ、アメリカ全土に大規模なサイバー攻撃が発生した場合、既存の対策や重要インフラの堅牢性にもかかわらず、そのインパクトは、アメリカにおける過去のいかなるテロ攻撃や自然災害をも凌ぐだろう11。

9.11の同時多発テロは、テロリストの脅威に対する国家のアプローチと、将来のテロを防ぐ手段を永遠に変えた。「祖国」が攻撃され、3,000人のアメリカ人が犠牲になった。その直後、当面の焦点は、犯人を見つけることと、空港での身体検査、銀行口座開設のための身分証明書の確認、政府による日常生活の監視など、日常生活のあらゆる分野にわたってセキュリティを強化することだった。愛国者法(2001)と国土安全保障省(2001)の設立は、アメリカ人をより安全にし、将来の攻撃を阻止、あるいは制限するための計画、訓練、対応措置を実行に移すことを意図していた。広大な国土における国土防衛は、気の遠くなるような仕事である。米国が100%常に正しい行動をとるためには、完璧に近いシステムとインテリジェンスが必要だが、テロリストやサイバーハッカーは、莫大な損害を与えるために1度か2度成功すればよいのである。「テロとの戦い」が激化するにつれ、重要なインフラや経済に対するサイバー攻撃が長期間に及ぶことを懸念する声も多く聞かれるようになった12。

インターネットへの依存度が高まっていることを考えると、米国の経済と指揮統制構造(C4ISR)に対する大規模なサイバー攻撃は、重要なインフラやサービス全体に連鎖的な影響を及ぼすことを考えると、機能不全に陥るだろう。ならず者国家や協調して活動するグループによるこのような攻撃は、十分に標的を絞ることができるだろう。インターネットの停止や制御システムの障害は急速に広がる可能性があり、第一応答者やあらゆるレベルの政府は、迅速で協調的な対応をとることができない。伝統的な「戦場」を飛び越え、あるいは迂回し、ターゲットのホームフロントに損害とパニックを与えるサイバー攻撃の能力は、まだ十分に定量化されていないが、エストニア、コンフィッカー、スタックスネットに関連するサイバー攻撃は、それを物語っている13。リチャード・クラークが指摘しているように、「サイバー戦争では、何が襲ってきたのかさえわからないかもしれない」14。

サイバーノートグローバルな接続性をサポートする情報技術標準は、それが可能にする通信が、理解とすべての人の利益の達成に向けられたものであることを保証するものではない。

背景

情報通信インフラの脆弱性に関する初期の警告は、しばしば恐怖を煽るものとして否定された。サイバー攻撃への懸念は、アメリカのエンターテインメント産業が生み出したセンセーショナリズムのせいだと非難する人もいた。確かに、サイバーの脅威は、『ウォー・オブ・ザ・ワールズ』(1898)や『ウォー・ゲームズ』(1983)、『ソードフィッシュ』(2001)、『ダイ・ハード4.0』(2007)ではないが、ハリウッド映画の宣伝が一般化したとはいえ、現実の危険は存在する。明日のテロリストは、爆弾よりもキーボードでより多くの損害を与えることができるかもしれない」17。

1980年代半ばにパーソナルコンピュータが世界的な規模で普及するにつれ、コンピュータの改ざんに関わる事件は、10代の素人ハッカー(1983年の映画『WarGames』に触発された者もいる)から、システムを悪用する洗練されたハッカーへと発展し、1990年代初頭にはより深いデータマイニングや侵入へと発展した。このような初心者ハッカーは、1987年に信頼できるユーザーになりすましてNASAのコンピュータをハッキングした15歳のマーカス・ヘス率いるハノーバー・ハッカーズに代表される18。1990年のジョージ・H・W・ブッシュ政権下のホワイトハウスは、IPサービス、情報処理システム、セキュリティにおける遠距離通信と「マイクロエレクトロニクス技術」に関する外国諜報機関の脅威(テロリスト集団や犯罪者を含む)の高まりを認識していた19。1991年、オランダのティーンエイジャーが、砂漠の嵐作戦における米軍の作戦中や、ローマ研究所の米空軍施設において、トロイの木馬やネットワーク・スニッファーを使って機密性の高い情報システムをハッキングし、研究プログラムやシステムを侵害した。このような活動や、ドットコム-1990年代のインターネットへの無制限なアクセスは、金融機関や通信プロバイダーに対する犯罪的ハッキングを急速に助長し、数百万ドルやクレジットカード番号の流出をもたらした。軍も資本主義産業も、こうした脅威に対処する準備ができていなかった。この「無邪気」と思われた時期に起きた興味深い事件のひとつに、アメリカ空軍の初心者の大尉が、アメリカ大西洋艦隊の指揮統制システムに遠隔操作で侵入し、航行統制システムと兵器誘導システムの両方にアクセスするのに十分な深さまで侵入したものがある。

国家の「ある種の国家インフラは、その機能不全や破壊が国家の防衛や経済安全保障に衰弱的な影響を与えるほど極めて重要である」という事実に注意を喚起する次の公式行為は、クリントン・ホワイトハウスが1996年半ばに発表した「重要インフラ保護」(PCCIP)-重要インフラを制御するコンポーネント-「サイバー脅威」に関する大統領令であった。CIAが、サイバースペースの進歩がリアルタイムでのデータ収集・分析能力に挑戦しているとの認識を強め、最先端のサイバー技術の利用を拡大・強化するために、後に秘密情報技術組織(CITO)へと姿を変えた特別プロジェクトスタッフ(SPS)を創設したことで、その意識はさらに高まった。1990年代のドットコム爆発は、テキスト、音声、ビデオ、音楽などあらゆる形態の情報を「デジタル」化し、インターネットの成長を加速させた。そのため、サイバーに関する懸念から、大統領閣僚レベルの委員会が設置され、政府と民間部門が協力して戦略的な保護策を策定し、実施することが求められた21。

1990年代を通じて、米国の政策立案者、学者、NSA/国防総省は、国家レベルで、国家安全保障を保証すると同時に、インターネットへのオープンなアクセスに対するユーザーの要求を認める政策を考案するために鎬を削った。ホワイトハウスがサイバー問題に対処するための明確な計画を推し進める中、ワシントンの各省庁はサイバーセキュリティに支援を提供することに直接的な関心を示さなかった。1996年、GAOの報告書、公開文書、議会での証言により、不正なハッカーや国家によるDODシステムへの外部攻撃やデータマイニング攻撃、通常のシステム保護を回避し、ハッカーに将来の不正アクセスを許す「バックドア」システムをDODコンピュータに設置する攻撃などが最高レベルで注目されるようになった。この攻撃は、敵味方を問わず広範囲に及んでいると判断された:

国防当局者と情報システム・セキュリティの専門家は、120を超える外国が情報戦争技術を開発していると考えている。国防当局と情報システム・セキュリティの専門家は、120を超える外国が情報戦争技術を開発していると考えている。この技術により、敵は国防の機密情報システムや、国防が通信に依存している公共ネットワークを掌握したり、危害を加えたりすることができる。テロリストやその他の敵対勢力は、今や世界中のどこからでも追跡不可能な攻撃を仕掛ける能力を持っている23。

おそらく「サイバー領域」に関してブレイクスルー出来事は、1997年秋にホワイトハウスが主催したPCCIPとその結論、そしてサイバー脅威と重要インフラの重要性を関連づけた安全保障専門家や政府機関への提言が国際的に注目されたことである。ジョン・ドイッチCIA長官は議会での公聴会で、サイバー事件の危険性を核兵器、生物兵器、化学兵器に対する懸念と同等に位置づけた。その結果、ビル・クリントンによる大統領令は、サイバー犯罪に対処する法執行機関の能力を強化するための最初のプログラムを開始し、ハッカーの監視を強化し、重要インフラを強化する最初のステップを開始した。

1997年までに、国防総省に対するサイバー攻撃は年間25万件にのぼると国防情報システム局(DISA)が報告している。このように、インターネットへのオープン・ネットワーク・アクセスは、重要なインフラとデータの保護について懸念を抱かせるものであった。国防総省がインターネットを発明したのは、主に通信の強化と、将来の戦況におけるツールになりうる可能性のためだった。しかし、「戦争」以外では、国防総省のデータとシステムは保護されていなかった。これに対し、1990年代後半になると、DODは心理戦、すなわち「心理戦」の一環としてサイバー手段を提供するため、大規模なサイバー・ネットワーク・トレーニングを創設した。強化された電子スパイの時代は、最初の陸軍IOマニュアルのリリースで到来した。- 情報操作のための統合ドクトリン(3-13)コンピュータネットワーク上のIOネットワーク攻撃、軍と民間の両方のコンピュータシステムとインフラストラクチャへの攻撃をカバーしている25。

サイバーノート:サイバースペースが出てきた: 1990年代半ばまで、サイバースペースは、価格、コスト、需要、供給をめぐる議論と結びついた「自由空間」であった。世界的な商業的大爆発が持つ意味を完全に理解できるようになったのは、1999年という世紀末になってからである26。

想像力の失敗

GAOの報告書は一般に公開されているが、国防総省と全米の産業界に対する現在進行中の深刻なサイバー攻撃について知っているアメリカ人はほとんどいなかった。政府機関も民間企業も、ハッキングされたことを公に報告したり確認したりすることはほとんどない。セキュリティー関係者からの数多くの警告や、システムに対する継続的なハッカー攻撃にもかかわらず、1999年末のGAOのフォローアップ報告書では、「評価されたすべてのコンポーネントについて、一般的に国防総省の情報セキュリティーの重大な弱点が持続していることがわかった」オープンソースインテリジェンス(OSINT)とは、スパイやテロリストが外交通信やケーブル、軍事情報、企業秘密、工業デザインデータなどを収集するために用いる主要な手段であり、一般には当たり前のように見える良質のハッキング技術を用いる。十を超える基本的な手続きや慣行が定期的に反故にされていたため、国防総省のコンピューターやシステムは、不正なハッカーたちの格好の狩場となっていた27。

不適切なユーザーアクセス、オープンアクセスに放置された機密ファイル、知る必要のない手順、不適切なパスワード管理、監視されていないセキュリティアクセスログ、不適切に設定された、あるいは保守が不十分なシステムソフトウェアなど、セキュリティ手順の不十分な管理と消極的な不遵守は、容易に悪用された。Y2K(2000年問題)は、システムの障害が連鎖的に発生する可能性について、多大な宣伝効果をもたらした(そして、起こりうる混乱を緩和するために数百万ドルの費用がかかった)が、今日に至るまで、修復期間中に注入された可能性のある悪質なコードについて、全米のシステムを完全に調査する努力はなされていない。そして、この報告書の最も厄介な発見は、「サービス継続のための計画が不十分で、災害復旧計画が不完全であった」28 ため、重要なミッション関連のアプリケーションと、それらがサポートする活動が危険にさらされているということであった。国防総省のシステム、金融機関、業界のIPに対する外部からのハッキング攻撃は、ますます巧妙になっていった29。

サイバー注釈:リスク – ある事件、事象、または発生から生じる望ましくない結果の可能性で、その可能性と関連する結果によって決定される。

このように 2000年までに、民間企業、政府、軍のすべての部門が、わが国の安全保障、重要なインフラの保護、機密、設計、データへのアクセス、戦争遂行に関する状況の変化について、以前から知られていたことに取り組み始めた。情報機関、軍、行政間のコミュニケーションは広範囲に及んでいたが、断片的であり、脅威評価に関する情報を検討し共有するクリアリングハウスは存在しなかった。米国の人的情報(HUMIT)資産、監視、データ収集の削減は、1990年代後半の米国の諜報活動を阻害し、テロリストが海外にある西側諸国や米国の12の標的を悪用し攻撃することを許した: – 1993年2月の世界貿易センター、1995年6月のコバル・タワーズ、1998年8月のケニアとタンザニアの米国大使館 2000年10月のイエメンのアデンにおける駆逐艦USSコールへの攻撃である。DHSが設立されるずっと以前から、重要インフラの保護は優先事項であった。そして2001年9月11日、米国本土に対する真珠湾攻撃以来の壊滅的な攻撃により、ハイジャックされた4機の民間航空機に乗ったハイジャック犯によって2992人が死亡した。2機はニューヨークの世界貿易センタービルのツインタワーを直撃し、3機目はアーリントンのペンタゴンを直撃、そして4機目は首都かホワイトハウスを狙ったと思われるが、ペンシルベニアに墜落した。「9.11の陰謀が成功したのは、米国国防省と情報機関の 『想像力の失敗』が一因である」30。

このような事件や、それに続く他のテロ攻撃の背景には、不正なテロ攻撃の構成要素として、あるいは外国国家が組織化されたサイバー戦争プログラムを実施する可能性として、サイバー領域の利用が増加したことがある。9.11の後に起こったのは、実際の物理的な紛争と同時多発的なサイバー事件であった。コソボ紛争ではハッカーとNATOが 2002年のパレスチナ・イスラエル紛争では再びハッカーとNATOが、そしてチェチェン共和国とロシアのハッカーが攻撃し合った。多くの人がこれらのサイバー攻撃は良性のものだと考えていたが、その範囲と巧妙さは急速に拡大した。

主人公が巧妙なトロイの木馬ウイルスを追跡したデイル・ティビルス著のフィクション『サイバー・インベージョン』(2002)や、米国の安全保障・政策当局者がサイバー攻撃の国家的脆弱性に対処する努力を詳細に記録したダン・ヴァートン著のノンフィクション『ブラック・アイス』(2003)などがそうである。フィクションではない初期の破壊的サイバー侵入の例としては 2003年1月のスランマー・ワーム・ウイルスがある。このウイルスはマイクロソフトの脆弱なデータベースを悪用し、主要な国際航空会社の予約システムや銀行のATMマシンの電子インフラに連鎖的な影響を及ぼしたほか、オハイオ州の原子力発電所のコンピュータ制御ネットワークが劣化したという報告もある31。

1990年代半ばまでに、中国はソフトパワーを世界的に行使する上で極めて重要な役割を担うようになり、軍事と産業の両面で大規模なサイバーネットワーク、通信、IT手続きを構築する体制を整えた。米国議会の関心は、サイバーに関する懸念に対処するために徐々に高まっていった。2004年7月、スパイウェア、マルウェア、通信妨害に対する意識を高めるため、「Security Protect Yourself Against Cyber Trespass Act」または「Spy Act」が成立した。過去10年間のサイバー脅威の大部分は中国に起因している。

落ち着きのないドラゴン

ほとんどのアメリカ人が理解していないのは、中華人民共和国(PRC)が地政学的・経済的に権力と重要な天然資源(主に石油とガス)を長期的に狙っているということだ。3000年以上の歴史と文化、そして精神を持つ中国の21世紀の夢と戦略は、世界の舞台で再び主導権を握ることだ。旧ソビエト連邦の崩壊とともに、中国は劇的な世界経済の台頭を遂げた。北京はこれを「外遊」と呼び、世界の舞台に出る権利を獲得するための戦略を定義している。中国指導部は、中原をライバルであると同時に、アメリカと対等であると見なしている。北朝鮮やイランによる核兵器開発の脅威、中東における未解決の緊張とともに、世界は冷戦時代よりもはるかに複雑なグローバルな安全保障環境となっている33。

中国は、スパイ活動、ソフトパワーの外交的働きかけ、信頼できる武力示威の展開など、世界における自国の正当な地位を獲得するためにあらゆる手段を用いている。中国のスパイ活動は、最も強固な国家プログラムのひとつであり、そのサイバー攻撃は、情報機関によって強固なAPT(Advanced Persistent Threat:高度持続的脅威)とレッテルを貼られている。情報収集の特徴は、積極的な電子的キャンペーンであり、米国に何十億ドルもの損害を与え、軍事機密の多くを漏洩させ、技術的優位性を脅かしてきた。国防科学委員会による2013年1月付けの特別報告書と、5月下旬に公開された機密解除版では、20以上の米国の主要兵器システムが、攻撃的な中国のハッカーによって侵害されたことが確認されている。

私たちは、より複雑な世界的陰謀に対処するためには、セキュリティの強化と、情報コミュニティのあらゆるレベルからの並々ならぬ努力が必要であるとの警告を何度も受けた。サイバースペース領域の力学は、作戦レベルでは本質的に現代戦争であるにもかかわらず、我々は境界を明確にし、戦略的なパワーバランスを見出すのに苦労している。ジェームズ・ウールジー元 CIA 長官は、次のように結論づけている。「……それはまるで、45年間も大きなドラゴン(ソ連の場合は 「クマ」)と格闘し、それを退治した後、毒蛇だらけのジャングルに身を置いているようなものだ。

政府内外の専門家は、米国は中国とロシア、そしてそのハッカーの代理人たちから激しいハッキングを受け続けていると考えている。90年代後半から2000年代前半にかけての攻撃は、わが国の経済が活況を呈し、サイバーセキュリティが甘かったり無視されていたりした時期であったが、その被害は甚大であった。「情報化」を国家的に重視する中国は、サイバーと人的スパイの両方を駆使して、わが国の原子力研究所、産業施設、大学に侵入し、また、コンピュータ・システムのガードが甘かった軍のコンピュータ・ネットワークや大規模な民間請負業者から、かけがえのないデータを大量に入手した37。

サイバー・ノーツ:情報化 – xinxihua – 指揮、諜報、訓練、スパイ活動、兵器システムにおいて最新のサイバー技術を駆使し、中国PLAの合同部隊の指揮統制を効率的に行う能力である。

洗練されたダークグレーの双発エンジン搭載の成都J-20 Jian er shi「Annihilator Twenty」ステルス戦闘機を開発し、正式に配備したことほど目に余る例はない!プライドからか、それとも腹いせからか、中国は2011年1月11日、ロバート・ゲーツ国防長官が中国に到着した際に、「建国20」の初試験飛行を行った。

サイズ、デザイン、構成において、中国の戦闘機は1980年代から1990年代にかけて開発された米国のステルス・デザインのほぼコピーである。J-20は、F-22ラプターのトレードマークである同じ角度の尾翼を持っている。F-22は、B-2やF-35とともに、中国が自国防衛の「外輪」を太平洋と南シナ海に押し出す計画を立てていたため、台湾海峡におけるアメリカの戦力を維持するためのゲームチェンジャーとなることが意図されていた。将来のアメリカの戦略的防衛ニーズに対応するためにF-22の開発は続けられたが、ゲーツによる予算削減の中で、中国が同様のステルス戦闘機を生産できるのは2020年まで先だろうという助言のもと、生産は中止された。J-20のロールアウトの光景は、これが中国の欺瞞の特徴である1回限りの試作機に過ぎないのかどうか疑問を投げかける。いずれにせよ、諜報機関の報告によれば、現時点の中国には、J-20のような7~8万ポンドの航空機に十分なパワーを持つ、信頼性の高い次世代ジェットエンジンを製造する能力も技術もないという。中国は、米国史上最も極秘のプロジェクトの1つである我々のやり方から1ページを盗み、ゲーツ長官の前でそれを公然と誇示したのだ39。

航空・宇宙分野における技術の飛躍だけでも、守るのは大変なことだ。米国の次世代ジェット戦闘機F-35は、2037年まで納入される。かつての「フライ・バイ・ワイヤ」の時代は、航行補助装置と天気予報くらいしか存在しなかったが、航空優勢と領域防衛の戦略的アプローチを再定義する高度さと複雑さによって、永遠に取って代わられることになる。2007年から2009年にかけての中国のコンピューターネットワーク搾取(CNE)は、ロッキード・マーチンとその下請け企業のシステムから広範な最高機密データを流出させた。F-35だけでも、2,400万行のソフトウェア・コードを複雑なコンピューター・システムに統合することが課題となっている40。

民間企業も政府も、過去数年間のサイバー攻撃のレベルや激しさを明らかにすることにストイックである。2012年半ばまでに、FBIは2,000件以上のサイバー犯罪/スパイ事件を捜査しており、攻撃の量とコンピュータ・ネットワーク・システムの高度化の両方について懸念が高まっている。2011年度には、約107,655件のサイバー・セキュリティ・インシデントが行政管理予算局から報告されたが、ほとんど公表されていない。リンクトイン、フェイスブック、ツイッターなどのソーシャル・ネットワークのハッキングや継続的な侵害は、サイバー事件をさらに複雑にしている。サイバー問題には、機密性の高いサプライヤーや軍事システムに対する偽造コンピューター部品の広範な流通も含まれる。検出を複雑にしているのは、ハードウェアの脆弱性を検出するのが非常に難しいという事実であり、感染したデバイスにはスパイウェアやマルウェアがあらかじめインストールされていることがあり、一度インストールされるとそれ自体を検出するのは難しい。この脅威に対処するため、国防総省はすべての部局に対し、15,000に及ぶ個別のネットワークを縮小し、防衛に関わるサプライヤーの情報源を監視するよう指示を出した。企業がセキュリティ予算を削減するにつれて、すでに侵害されている可能性のある既製品のシステムを選ぶという事実を考えると、これはより問題になってくる41。

サイバーノートサイバー注:サイバー・パワーとその国家安全保障との関係は、依然として米国の国家安全保障上の問題である。

コネクティビティのダークサイド

サイバー時代の勃興と規模を理解するには、ネットワーク化された世界の展開を振り返る必要がある。1989年にティム・バーナーズ=リーがワールド・ワイド・ウェブを提唱して以来、技術革新とシステム普及の波が押し寄せ、現在では20億人以上のインターネット・ユーザーをグローバルに繋いでいる。あるオブザーバーが指摘しているように、「インターネットの商業化は、情報技術(IT)セキュリティに対する市場主導の重大な障害により、ネットワークを本質的に安全でないものにすることに大きな影響を与えた。

このように、政府のあらゆるレベルの脅威に対して、国の指導者や対応者が直面している変化は、物理的な国境を越え、私たちの日常生活の中にも及んでいる。国民国家と不正なハッカーの両方が、政治的、経済的、犯罪的、個人的な意図と戦略を推進するために、インターネットのオープンソースを利用している。この章では、中国とロシア、そして接続性の暗黒面を利用して我々の生活様式に挑戦する他の積極的な参加者の役割を取り上げる。米国に対する脅威は、内部と外部の両方に存在する。

サイバー脅威のリアルタイム性こそが、私たちが世界中でビジネスを行う方法や、グローバルなサプライチェーンと電力、石油、ガス、輸送、通信、水といった国内の重要インフラのネットワークの両方に依存する方法について、十分な懸念を引き起こすのである。これらの主要な「グリッド」システムは、大規模な海上、陸上、航空輸送(航空交通管制)、農業投入物から病院まで幅広いサービスと結合している45。問題は、我々が強く依存しているこれらのシステムやサービスそのものが、テロやサイバー攻撃に対して脆弱であるという事実である。IBM X-Force 2012が最近発表した傾向とリスクに関するレポートでは、「2012年上半期のパッチを適用していない脆弱性の割合(上位10ベンダーを除く)は、IBMが2008年以降に見た中で最も高く、今年(2012)開示された全脆弱性の47%が依然として対策が講じられていない」と指摘し、悲痛な調査結果を発表している。「開示された」という修飾語に注目してほしい。どれだけの脆弱性が報告されなかったか、あるいはもっと悪いことに発見されなかったのだろうか46。

サイバースペースは、まさにオープンでワイルドな領域である。20世紀後半における、核兵器の使用と安全性に関する長年の脅威、ストレス、交渉(主に米ソ間で仲介された)とは異なり、成長するオープンソースインターネットの国際的なサイバー規制や取り締まりに関する共通の基盤やグローバルな枠組みは存在しない: 「核兵器は依然として独自のクラスである」48にもかかわらず、サイバー・スパイという非常にセンシティブな問題の告発が増加したことに対する中国の反応は、サイバー攻撃は 「核爆弾と同じくらい深刻」である可能性があるというものだ。人民解放軍の参謀総長である方峰輝大将が2013年4月に行ったこれらの発言は、西太平洋でより大きな軍事的プレゼンスを持つという米国の意図の転換によって、さらに拍車がかかった。このように、サイバーは今後数十年にわたり、米中の地政学的政策と「戦略的不信」の核心となるであろう49。

冷戦期における核の対立と抑止の2つの特徴は、核兵器の拡散を制限することと、誤った先制攻撃や戦争を煽動するならず者国家を制限するための、検証可能な帰属に関する強力な体制であった。グレイが指摘するように、陸、空、海、宇宙という他の領域とは異なり、サイバーは独特:

サイバー空間とサイバーパワーに意味のある物理性がないことは、不快な無形性に等しい……まぎれもなく明白なことを言えば、サイバーはあらゆる戦略的目的のための情報と情報の伝達である……サイバーは技術的に並外れたものだが、1840年代の電気電信も同様であった51。

サイバーノート: テクノロジーによって促進される取引は、目に見えないように設計することもできるし、目に見えるが匿名であるように設計することもできる。

冷戦の時代には指標しかなかったが、サイバー時代には複雑さが増し、システムが安全で保護されていることを保証する緊急性が増している。2003年初頭以来、国内外の複数の機関が、接続性の暗黒面を制限し、それに対抗するために、数え切れないほどの時間とリソースを費やしてきた。全体的なシステム・セキュリティにより積極的に取り組むという行為は、「追いつけ追い越せ」の反応であり、リアルタイムで取り組むようになったのはここ数年のことである。脅威を軽減するために「先手を打つ」という飛躍は、日々複雑化するサイバースペースの問題に取り組む上で、極めて重要であると同時に、決して終わることのないものである53。

ポスト冷戦時代の最も厄介な側面のひとつは、安全保障に対する統一的なアプローチを複雑化し、再定義したさまざまな形態の非対称戦争の台頭である。今日の非対称戦術は、かつての「反乱戦術」やゲリラ戦闘員とは似て非なるものである。その意図は、相手の長所を避け、短所を突くことで相手の長所を回避し、敵の認識する長所を脆弱性に変えることにある。反政府勢力や無差別サイバーハッカーによるこのヒット・アンド・ランのアプローチは、単に軍事的な影響というよりも、社会政治的な影響を意図していることが多い。サイバー戦争と非対称攻撃の領域において、唯一残された超大国である米国は、このような不正な攻撃の主要な標的になる運命にあった54。

過去10年間にわたり、英国やカナダのパートナー組織に加え、省庁間の代表者が集まり、INFSEC研究評議会(IRC)が設立された。サイバーセキュリティに対する脅威に対処するため、IRC はオリジナルの「ハード・プロブレム・リスト」(HPL)を作成した。最初のリストには、米国の重要インフラに対するサイバー攻撃の防止、サイバー攻撃に対する国家の脆弱性の低減、サイバー攻撃による被害と復旧時間の最小化という3つの大まかな戦略目標が含まれていた56。これは 2005年には8つの重要な課題と脅威に拡大し、最新のリストには、現在進行中の脅威の脆弱性に対するリアルタイムと長期的な解決策の両方を必要とする11のトピックが含まれている。あるオブザーバーが指摘したように、「進化したグローバル・ネットワーキング・コミュニティは、技術革新、 戦争の風、ビジネスと消費者の行動、経済的・政治的変革の合流点から生まれた」58図 1-1を参照。

政府機関、外国の同盟国(および敵対国)、オープンマーケット、学者、民間企業の間で、誰がサイバー領域を管理し、将来の方針を決定するのかという国策論争が行われていることを考えると、州、地域、地域レベルの国家がどのように自らを守り、サイバー攻撃に対応し、タイムリーに回復するのかについて、明確な解決策や前例はない。国家的な備え、市民の意識、地域の指導者の訓練、そして危機感があれば、「経済的・社会的パニックを引き起こし、国家の結束と政治的意思を弱める」60 可能性のある、破壊的なサイバーイベントを未然に防ぐことができる。

「より迅速な情報は、新しいデータを解釈し行動する、より鋭敏な方法とマッチしたときにのみ、アウトプットを押し上げる」

エコノミスト2012年6月2日号92ページ。

管理

6. サイバートリアージとトレンド

信頼されるアクターと信頼されるネットワークは、戦争の犬が鎖にしがみつく恐ろしい瞬間であるクランチタイムの前に確立されなければならない。

ジェームズ・J・カラファノ ウィキ・アット・ウォー – 2012

サイバースペースのダイナミックな性質を認識し、同様にダイナミックな政策によって対処しなければならない。一般的に受け入れられているサイバーセキュリティの基準は存在せず、その基準を満たせなかった場合に責任を負うための一般的に適用可能な責任制度も存在しない。

スティーブン・P・ブッチ ヘリテージ財団

サイバー空間が完全に安全になることはない。

エコノミスト誌 2014年7月12日号

サイバーセキュリティの脅威は疑う余地のない国家安全保障上の関心事であるが、米国にはそれに対処する準備も装備もない。- そのため、緊急性、複雑性、侵入時のセキュリティ、サイバー関連の内部脅威を伝えなければならない。インターネットのアーキテクチャは、セキュリティではなく、接続性を促進するように設計されているため、サイバー空間の安全をリアルタイムで確保することは非常に難しい。ある親しいオブザーバーはこう指摘する: 「私たちが認識している(サイバー)脅威のレベルと、私たちの準備のレベルとの間にミスマッチがあると思う。言い換えれば、私たちはサイバー攻撃に対して高い懸念を持っているが、私たちの備えは、率直に言って、あるべき姿ではない。

サイバー・ノーツサン・マイクロシステムズの創業者であるスコット・マクニーリーは、1999年の時点で、有名な警告を発している。どうせプライバシーはゼロだ。乗り越えろ。

民間部門と公的部門が同様に直面している課題は、何が許容できるリスクであるかをどのように定義し、積極的に管理するかである。米国の重要なサイバーインフラの90%以上が民間部門によって所有されているという事実を考慮すると、官民の高度な協力が最も重要である。統一された「信頼された協力」アプローチへの明確な道筋は、潜在的なサイバー脅威の拡大のスピードに遅れをとり続けている。これは、市民的自由を求める団体による反対や、ネットのオープンアクセスに対する要求によって証明されている。軍のサイバー対策は拡大し続けているが、重要なのは、インターネットへのアクセスを強化するために、高度な暗号化技術の分野で専門家の才能を活用することを目指す戦略である288。

地域社会、州機関、大学、ほとんどの産業、時代遅れのSCADAネットワークでは、サイバー攻撃者が明らかに有利である。古いシステムやソフトウェア、不十分な内部手続き、顧客やベンダーによる容易なアクセス、さらに内部の脅威は、完全に安全であるようには設計されていないシステムに侵入しやすい。2013年には、8億件以上(2012年の3倍)のデジタル記録がハッキングされ、盗まれ、サイバー犯罪と産業オンライン・スパイのコストは約5000億ドルに上った。悪意のある脅威は、ハッカーや、自由自在に攻撃するためのツールやテクニックにアクセスできる、資金力のある国営/支援組織によってさらに複雑化している。小さなプレーヤーの間でサイバー能力が急速に進化していることの戦略的意味は、サイバー脅威の拡大を強めている。重要なことは、これらの脅威がもたらす範囲と規模を認識することである289。

図6-1 サイバー攻撃は単独でどれだけの損害をもたらすか?

重要インフラ/ 直接的 %/ 効果的 %/依存的

産業 GDP GDP
電力 1.5 3.4 72
石油・ガス燃料 1.0 3.0 71
通信・インターネット 2.6 4.9 62
銀行・金融 5.7 8.6 59
水と衛生 < 1 < 1 40
化学工業 1.7 4.1 33
航空輸送 0.5 2.0 24
陸上輸送 2.1 4.0 (62)
病院・ヘルスケア 6.7 15.4 16

出典出典:スコット・ボルグ/US Cyber Consequences Unit、2010年

効果的なサイバーセキュリティポリシーを実行する上で、実際には阻害要因があることを知る。プライバシー対匿名性対プライバシーの権利対責任 – これらはサイバー中心の問題である。サイバー攻撃に対する真の防御を決定するのは、サイバー脅威を検知し、防御し、先制するための枠組みを明確に定義することである。そうすることで、包括的な戦略的ドクトリンと交戦規定の範囲が、強固なサイバー防衛と同様に、攻撃的対応を規定するために開発されなければならない。オバマ政権は、2013年初めに行政命令によって、増大するサイバー脅威とセキュリティ基準に対する長年の舞台裏での議論と反応に対処するためのプロセスを開始し、16の重要産業に対処するとともに、必要であれば米国が攻撃的行動をとる意思を明確に表明した。

重要インフラは、国家安全保障に対する我々のアプローチの全領域を包含している。公的部門は、高レベルの監視と保護を確保する任務を負っているが、軍事、サプライ・チェーン・ネットワーク、電力・水・燃料グリッドの効果的なサイバー・セキュリティを完全に保証するには、完全かつ透明性の高い官民の相互作用が必要であることに変わりはない。従来の戦争と平和の境界線は、サイバースペースによって曖昧にされつつある。外部からの脅威と内部からの脅威の両方から守るための、通常の物理的施設のセキュリティ、通信ネットワーク、情報セキュリティと保証は、もはや適用されない。情報の共有やサイバー犯罪の調査に関する民間部門の責任、例えば、ITベンダーは欠陥や危殆化した製品に対する責任を負うのか。「包括的なサイバーセキュリティは、この重要なインフラが十分に強化され、回復力を持つことを保証する必要がある」と、NSAのキース・アレグザンダー長官は指摘する。

サイバーの傾向と課題

サイバー脅威が今後も継続し、激化していくことに疑いの余地はない。人間によって作られたものは、人間によって壊されたり、侵入されたりする可能性がある。これらのシステムは人工的なものであるため、その善悪を問わず利用されることは、千年以上にわたるあらゆる新しい発明と同じ課題に直面することになる。新しいマルウェアや独創的なエクスプロイトの創造はとどまるところを知らず、インターネットや通信への侵入のベクトルは、モバイル機器やソーシャルネットワークの利用が増加するにつれて、さらに複雑になるばかりである。遠隔攻撃を仕掛けてくるサイバー敵対者にとって、物理的な場所や鉄条網は何の意味もなさない。新たなファイアウォールや暗号化の要件、強固なセキュリティ/アクセス・ポリシーやプロトコル、安全なモバイル・アクセス、パッチ管理、マルウェア保護など、コンピュータ・セキュリティが向上し続ける中、サイバー・ハッカーや犯罪者は、あらゆるサイバー防御を迂回するための新たな手段や、焦点を絞った特定の設定を開発し、強化しようとする。あるサイバーフォレンジックと侵入検知の会社は、彼らの年間ケースロードの中で、「内部プロセス」によって検知された高度な侵入はわずか6%に過ぎないと推定している292。

したがって、サイバー世界での成功には、機敏で適応力のある国家安全保障政策と、ますます精通し、技術主導で動く敵を打ち負かすための市場インセンティブを組み合わせた戦略が必要となる。例えば、電力網やサプライ・チェーン上の複数のアクセス・ポイントを制限し、あらゆるアクセスに認証を義務付けることである。従来、サイバーセキュリティは「境界防御」を基本としていた。データは警備員やフェンスで守られた「物理的な箱」の中にあった。もはやそうではない。データ、そして「ビッグデータ」の台頭は、仮想化システムによってサイバー空間とクラウドに移動した。接続性と技術が進歩するにつれ、サイバーに対する法的アプローチにも空白が生じ、政府機関が機密データを米国企業と共有するための明確な手段はなく、帰属や動機を積極的に判断するフォレンジック能力も遅れ続け、ソーシャルメディアの影響もあって個人のプライバシーは崩壊の一途をたどっている。国防総省の懸念は強く、DARPAは「サイバー・グランド・チャレンジ」を発表し、オンライン・ネットワークを保護し、軍事システムに対するサイバー攻撃の波を食い止めるためのセキュリティ・システムを設計した大学や企業のチームに、競争賞金200万ドルを授与することを決定した293。

とはいえ、サイバーセキュリティの将来を形作ることになる多くの傾向と課題がある。

備え:

米国全土の地域社会には、世界最高の訓練を受けた献身的な初動対応要員がいる。彼らはどのような状況にも対応できるよう訓練されている。対応要員と全国に張り巡らされた強固なネットワークを育む指揮統制の特徴は、活動を調整し、情報を共有し、常に計画を立て、通報に先立ち適切なレベルの即応態勢を維持し、緊急事態を緩和するための統一された努力である。人員、設備、資源は、事件の地理的規模や影響に基づいて、緊急事態に対応するために投入される。このような対応には、都市の小さなコミュニティでの局地的な火災から、ハリケーンによる地域的な影響まで、さまざまなものがある。このような事態は、数時間から1週間という短い期間であることが多い。もちろん、巨大なハリケーンからの長引く復旧には、何週間にもわたる混乱と、住民やインフラの移転が伴うこともある。後者のシナリオは、多層的なサイバー攻撃が連鎖的に発生する最初の数日間における初期的な影響と境界を接する。さらに、サイバー攻撃は、軍事的防御を完全に回避する方法で、重要な民間インフラに対して行われる可能性がある!地域社会や州は、サイバー攻撃に対する準備も備えもできていない295。

国土安全保障省(DHS)が最近発表した「国家準備報告書」は、「各州は、自国の情報システムに対するリスクに対する全体的な認識が依然として低く、サイバー脅威から自国の情報システムを守る能力に対する信頼も低い」と指摘している。第一に、積極的な訓練や認識が欠如していること、第二に、サイバー問題が発生しても誰かが対処してくれるだろうという地元の感覚、第三に、送電網への大規模な攻撃に続いて、サイバー攻撃がコミュニティや地域にもたらす急速な連鎖的影響に対する認識が全く無視されていることである。このような攻撃は、通信、給水、燃料ポンプを急速に停止させるだろう。パニックや病院の混雑によって緊急サービスが妨げられ、インターネット、テレビ、ラジオ通信から人々が孤立する。基本的な食糧供給は1週間という短期間で枯渇するだろう。医療施設、避難所、携帯電話基地局、救急隊などの活動を維持するための補助電源も枯渇する。短期間のうちに、地域の指揮統制が疑問視され、その結果、事態が連邦化される可能性がある。例えば、知事は市民と財産の保護のために州兵を召集し、その間に職員は予備部品がほとんどない設備やシステムの修理にあたる。システムが回復するまでの数週間、携帯電話の通信やインターネットが使えなくなる可能性もある296。

インフラ:送電網

サイバー攻撃における最大の脅威は、全米の電力網にもたらされる被害であろう。図表 6-1を参照されたい。この重要なインフラシステムは非常に脆弱であり、毎時、複数の攻撃や混乱にさらされている。わが国の産業基盤、国家安全保障、日常生活が電力と結びついていることを考えれば、電力はわが国の安全保障とサービス性を支える重要な要素であり、生命線である。電力網はさらに、飲料水、燃料配給、輸送システム、通信、医療施設、食品流通など、川下のインフラとつながっている297。

ウォール・ストリート・ジャーナル紙の最近の見出しは、「メルトダウンがNSAデータセンターを襲う」となっている。サイバー攻撃ではないが、特にサイバーイベントを監視・追跡する機関にとって、信頼できる電力が極めて重要であることを明確に示している:

国家安全保障局(NSA)のスパイ活動の中心となる巨大な新しいデータ保管施設では、慢性的な電気サージが数十万ドル相当のマシンを破壊し、センターの開設を遅らせている。

わずか9カ所の変電所が機能不全に陥れば、全国的な連鎖停電が起こる可能性がある。送電線の電圧と配電の両方を調整する巨大な変圧器の損傷は、新しい変圧器の建設と設置に1年以上かかることがあるため、さらに支障をきたす可能性がある。現在のところ、送電網がどれほど脆弱で、どれほど多くの破壊的事件が報告されず、もっと問題なのは……発見されないことだ。外国のスパイ工作員や不正なハッカーが送電網に侵入し、将来の混乱を引き起こすためにどのようなマルウェアを埋め込んでいるかは誰にもわからない299。

サイバーノートサイバーノート:市販のデスクトップ・コンピューターは、1秒間に100万から1,500万のパスワードをテストすることができ、辞書から1分以内にパスワードを解読することができる。

インサイダーの脅威:闇市場

マニング陸軍上等兵がウィキリークスに大量の軍と米国務省の最高機密文書を投棄し、エドワード・スノーデン分析官がNSAの機密を漏らすずっと以前から、内部スパイや不正行為の脅威は一般的だった。軍や政府機関だけでなく、重要産業、非営利団体、研究開発施設、米国の大学でもよくあることだ。2013年までは、中国、ロシア、イランによるITシステムへの侵入と同様に、外部の不正ハッカーやテロリスト・グループに対する懸念が大きかった。これは現実的かつ継続的な脅威であるが、より不可解なのは、重要なデータにアクセスできる特権ユーザーである内部関係者である。データの膨大な広がりとアクセスポイントの多さを考えると、インサイダーは、外国のエージェント、ベンダー、あるいは不満を持つ従業員として、長期的に甚大な損害を与える可能性がある。例えば、米国シークレットサービスと国土安全保障省(DHS)が資金提供した調査によると、金融業界の内部関係者は、発見されるまでの約32カ月間、詐欺や窃盗を捏造することができるという。多くの項目が、内部関係者を追跡・特定することをより困難にしている。このような悪党には、ディスクやサム・ドライブにデータを記録する多くの選択肢がある。第二に、民間請負業者の増加や仕事のアウトソーシングにより、複数のレベルの脆弱性が生じている301。

一旦「電線」の内側に入れば、パスワード、権限レベル、二重の人間による確認に注意を払わない限り、問題は続く。インサイダーの行動の動機は様々である。民間企業であれば、昇進を見送られたとか、同僚と口論になったといった単純なものである。政府機関の場合も、こうした理由が当てはまることがある。マニング一等兵やNSA職員のスノーデンの場合、彼らが極秘データを破ったのは「政府の行き過ぎた行為への抗議」であり、公にする必要があると感じた不正行為を暴露する義務だったと主張している。民間経済や政府の重要な部門に、不満を抱えた従業員やスパイがアメリカ全土にどの程度潜り込んでいるのか、誰も知らない。そして、秘密データがハッキングされて消えてしまったときには、もう手遅れなのだ302。

インサイダーの脅威はスパイである必要はなく、信頼できる従業員が意図せず巧妙な文言の電子メールを開いてしまうことである。ウェブサイトや企業のセキュリティにうっかり侵入してしまうこのような手段には、ソーシャルメディア・ネットワークやソーシャル・エンジニアリング・プロファイルの大規模な拡散により、無防備なサイトにハッキングすることも含まれる。多くの企業では、従業員の受信メールに警告を自動的に追加している:

これは外部からの電子メールだ。止めよう。リンクをクリックしたり、添付ファイルを開いたりする前によく考えよう。

人間の脆弱性を利用したソーシャル・エンジニアリングのプロセスは、受信者を欺くためにフィッシングで最もよく使われるが、APTもこれに続く可能性がある。セキュリティの最も脆弱なリンクへのアクセスは、通常、攻撃者による多大な計画、度重なる標的設定、偵察の結果であり、時間がかかるプロセスであるため、このような侵入を検知することは困難である303。

サイバーノート世界全体では、毎日1,500億通以上の電子メール、4億件のツイート、100万件のブログ投稿が送信されている。電子メールやソーシャルメディアを通じて作成される単語数は約52兆語で、これは5億2,000万冊の書籍に相当する。

暗号化:納戸を閉める

データへのアクセスが増えれば、システムへの侵入、IPの流出、詐欺の可能性も高まる。現在、暗号化を必須とするプロトコルはほとんどなく、一般ユーザーには複雑で高価すぎると多くの人が考えている。

暗号化は、インターネット上のすべての操作の標準プロトコルとなるべきであり、また近い将来そうなるだろう。米軍や政府のセキュリティ機関は、暗号化をセキュリティ対策のバックボーンに据える方向で進んでいる。どこのシステムでも侵入される可能性があるため、暗号化はハッカーの動きを鈍らせ、機密データを保護するほぼ確実な手段なのだ。「ビッグデータ」と「クラウド」の出現は、暗号化されたデータの迅速な利用を要求している。

従業員は、未承認のハードウェアをインストールしない、リモート・アクセス・ツールを使用する、安全でないモバイル・デバイスをテザリングする、などの方法でアクセスをさらに複雑にすることができる。連邦政府による懸念は、ジェイコブ・ルー財務長官によって表明された。「悪意のあるサイバー行為者は、銀行を直接攻撃することなく、金融システムに壊滅的な損害を与えることができる。悪意のある行為者が大規模な損害を与えるのに必要なのは、バックドア1つだけなのだ」305。

2013年12月に発生した小売業者ターゲットに対する大規模攻撃ほど、公に検証されたサイバー攻撃はほとんどない。世界中の諜報機関で使用されているFireEyeのマルウェア検知ソフトウェアが導入されていたにもかかわらず、ターゲットのセキュリティスタッフはリアルタイムで侵害を検知することができなかった。そして、12月12日に連邦捜査局がターゲット社に通知した後も、同社が攻撃を確認し、ハッキングの規模を完全に把握するまでに数日を要した。ホリデーシーズンの売上損失は数億ドルにのぼり、ターゲットの評判に対する長期的なダメージは数値化しがたいものだった306。

クラウド 「煙と鏡」

サイバー世界とインターネットの技術革新による移行と進歩のスピードは、クラウドの急速な普及に勝るものはない。クラウドの台頭は、ビッグデータ解析によって蓄積された情報やデータが、大量の記録を保存・管理するようになったことを考えれば、何ら不思議なことではない。クラウドの主な問題と懸念は、私たちが総体的に1つか2つの巨大なカゴにすべての卵を入れていることだ!2014年、企業はクラウド・コンピューター・サービスに約1,000億ドルを費やしたが、これは世界全体のIT投資額2兆ドルのほんの一部に過ぎない。クラウドのセキュリティと、銀行や医療記録のような機密データの取り扱いや保管に関する政府の規制である。ビッグブラザーが見ている。

表面的には、クラウドはユーザーがリアルタイムでより多くのデータに広くアクセスできるようにすることを意図しているが、リモート接続、アプリケーション、オペレーティング・システム、共有リソース上のデータの混在により、クラウドはスパイ、詐欺、ハッカーの標的になりやすい環境であることは明らかだ。このようなクラウドデータの大規模な侵害を表す言葉として、すでに「ハイパージャッキング」という言葉が作られている。産業界、大学、そして政府でさえ、クラウドはセキュリティではなく、コスト削減を売りにしている。認証、強化されたクレデンシャル、「知る必要がある」プロトコルは、クラウドサービスとセキュリティの重要な弱点である308。

犯罪者は、クラウドへのアクセスを求める一方で、ボットネットによる攻撃を進化させ、完璧なものにしていくだろう。これらの手法は、発見され次第すぐに取り締まろうとする業界や政府の大規模な努力にもかかわらず、テストされ、有利であることが判明している。つまり、ボットネットの機能は今後も強化され続けるということだ。もっともらしい否認可能性は、国際的なサイバー監視と協定の発展にとって、とてつもなく大きな制限となる。したがって、クラウドを使ってもリスクは軽減されない。

シマンテックの「インターネット・セキュリティ脅威レポート2013」は、サイバーセキュリティの課題に対する主要な懸念を捉えている:

マルウェアの作者が私たちのことをすべて知っているという最も不吉な例は、標的型攻撃である。標的型攻撃を成功させるには、攻撃者が私たちのことを知る必要がある。攻撃者は、私たちの電子メールアドレス、仕事、専門的な関心事、さらには私たちが出席する会議や頻繁に利用するウェブサイトまで調査する。これらの情報はすべて、標的型攻撃を成功させるためにまとめられる。私たちのデバイスに侵入すると、攻撃者のツールは可能な限り多くのデータを引き出すように設計されている。未発見の標的型攻撃は、私たちの電子メール、ファイル、連絡先情報を何年にもわたって収集することができる。これらのツールはまた、私たちのキー入力を記録し、私たちのコンピュータ画面を閲覧し、私たちのコンピュータのマイクやカメラをオンにする機能を含んでいる。標的型攻撃者は、まさにビッグ・ブラザーのオーウェルの化身のように振る舞う。

モバイル・デバイス:ミニ・スーパー・プロセッサー

データの可動性である通信がより小型化、モバイル化し、どこからでもアクセスできるようになるにつれ、システムとクラウドの両方に対する脅威はさらに増大し、攻撃の新たな入り口となる可能性がある。例えば、アップルは2013年9月最後の週末に900万台以上のiPhoneを販売した。BYOD(Bring-your-on-device:デバイスの持ち込み)を受け入れる傾向は、セキュリティに対する複雑なニーズをさらに高めている。ユーザーが携帯デバイスをPCのように使用するため、Webベースの攻撃を受ける可能性がある。ほとんどのモバイル・デバイスは、ネイティブ・セキュリティがほとんどない。

さらに、ユーザーをほとんど管理できないIT部門がスマート・デバイス上の機密データを保護することは問題であり、継続的な課題である。近距離無線通信(NFC)が可能な携帯電話が主流になりつつあることを考えると、これらの新しい「デジタル財布」は、データを盗むためにモバイルワームを仕掛けるハッカーや窃盗犯にとって好都合であり、システムを自由に侵害できるようになるだろう。人口密集地(大都市中心部、空港、サッカーの観衆)が広ければ広いほど、ハッカーの被害は大きくなる。

2012年には、前年の6倍にあたる35,000以上の悪意のあるアンドロイド・プログラムが存在した。多くの場合、私的利用とビジネス利用の境界は曖昧であり、誰がデバイスを所有し使用しているかによってさらに混乱する。たった1台のデバイスが検知を逃れるだけで、ネットワーク全体が危険にさらされる。このように、ITとシステムのセキュリティは、デバイス中心の機能から、歩き回るユーザー中心のモードへと急速に移行しつつある。ワイヤレス・アプリケーションとエントリー・ポイントは暗号化され、ハード化される必要があり、それに対応して脅威を監視するためのリモート診断機能が必要である。

サイバーノート 2014年度米国司法省のサイバーに関する見解:

サイバー犯罪はより一般的に、より巧妙に、より危険になっている。サイバー犯罪はより一般的に、より巧妙に、より危険になってきている。テロリストは重要インフラを破壊しようとし、組織犯罪シンジケートは銀行や企業を欺こうとし、スパイは防衛や諜報の秘密や知的財産を盗もうとする。それぞれが国の経済と安全を脅かしている。

緊急事態が発生した場合、地域社会や地元の視点から見ると、重要な要素は通信の安全な相互運用性である。これは多面的な課題である。緊急対応要員と地域のリーダーは、安全に操作可能な通信手段を持たなければならない。サイバー攻撃と電磁パルス(EMP)事象が組み合わさると、衛星電話やすべての携帯機器を含むすべてのネットワークが長期間沈黙する可能性がある。あらゆる階層における対応で最も懸念されるのは、検証可能な指揮統制のレベルである。

非国家的脅威の台頭

非国家および国民国家の脅威、特に中国、ロシア、イランは、継続的な脅威であり、サイバー侵入の頻繁な原因である。非国家・国民国家の攻撃者の特徴は「否認性」である。アトリビューションがなければ、ハッカーにとってリスクはほとんどない。この傾向は、低スキルの攻撃者がサービスやアクセスに対価を支払うことを可能にするオンライン・ブラックマーケットの台頭によって、さらに拍車がかかっている。オンライン・リソースはさらに、ハッカーが非常に低コストでスキルを向上させることを可能にしている。このような非国家勢力の増加は、深刻な脅威のベクトルとなっている。

「アラブの春」と中東全域に連鎖した混乱と革命は、インターネットと「サイバー革命」の力と遍在性を明確に示すものである。ここ数カ月で見られたような、これほどまでに組織化された不安はかつてなかった。大規模な暴力にアクセスし、実行する能力を持つ政府は、より過激な反米勢力に取って代わられようとしている。少数民族と宗教的狂信者の寄せ集めが、危機と暴力を煽るために、彼らのグループの草の根をかき立てることに発言力と力を見出している。

プライバシーの喪失:

接続性が高まれば高まるほど、通信、旅行習慣、購買プロファイル、健康記録など、日常的なプライバシーが危険にさらされる。ほとんどの人は、プライバシーの喪失の大きさや、それを広める害悪の意図を知らない。サイトやサービス、特にデータを共有し、マーケティング担当者にデータ・プロファイルを販売するソーシャルメディアは、日々プライバシーの概念を減らしている。そのため、あなたの個人データは本当の意味でプライベートなものではなく、今後もプライベートなものになることはないだろう。

コネクティビティは年々、安全性を低下させている。グローバル市場や出張の増加により、備えのある者もない者もリスク要因を大きく高めている。データの盗難に備えることは必須である。中国、ロシア、エジプト、インドなど多くの国に到着してから数時間以内に、あなたの携帯電話にマルウェアが仕込まれているだろう。米国とフランスのホットスポットでも、脅威は同様に深刻だ。安全な場所はないのだ。積極的な外部からのサイバー脅威の大きさを裏付けるように、FBIのジェームズ・コミー長官は「中国にハッキングされた人と、中国にハッキングされたことを知らない人がいる」と率直に結論づけた313。

持ち運ぶデバイスが多ければ多いほど、ハッキングに対してより脆弱になる。さらに、公共のアクセス・コンピューターや客室内のiPadは絶対に使わないこと。詐欺師が「キーロギング」マルウェアをインストールしている可能性が高く、プライバシーが守られないからだ。代表的な例としては、2014年秋にFBIが有名人のiCloudアカウントを侵害したと思われる捜査を行い、ハリウッド女優のヌード画像が何百枚も流出した事件がある。ノートパソコンは常にパスワードで保護し、可能であればすべてのデータを暗号化する。しかし、多くの国ではデータの暗号化は違法であり、特にロシアや中国では違法である314。

サイバーノート:最もよく誤用されるパスワード:

123456パスワード abc123 111111 iloveyou adobe123

海外旅行のコンピュータ保護のヒント

  • 「自分の電子機器を誰にも使わせない。一般的な」名称のホットスポットを強く疑うこと。最小限のデータしか持たないコンピュータを携帯する。
  • ブルーツースプロトコルを無効にする
  • 電話やコンピュータの使用は必要なものに限定する。公共のアクセスコンピューターを使用しない。
  • 商談中は電話の電源を切り、安全のためにバッテリーを外す。接続速度が低いと、ハッキングされている可能性がある。
  • 可能な限り、ユーザー名/パスワードが必要なウェブサイトにはアクセスしない。パスワードは頻繁に変更すること。
  • 思い込みは禁物だ。ソーシャルメディアは避ける。

これらはとても小さなことのように思えるが、ハッカーがどんなに優れたコンピューター・システムにも侵入する手段であることに注意すること。簡単に侵入できるからこそ、膨大な量のサイバー脅威が生まれるのだ。これらの脅威は今後も増え続けるだろう。

結論

私たちが暮らすワイヤード・ワールドは、日々接続が深まり、サイバー攻撃に対してより脆弱になっている。モバイル機器、ソーシャルメディア、アプリケーションの爆発的な普及だけでも、セキュリティの脆弱性は指数関数的に増加している。重大なサイバーディスラプションが発生する可能性があることは、公共と民間の双方にとって懸念すべきことである。最も小さな地方公共団体(自治体が所有する電力会社のSCADA制御の安全確保)から、国家組織や政府機関(ミッションクリティカルなデータとシステムの保護)に至るまでである。サイバーの脅威は、国家的行為者とハクティビストの両方が存在するという事実によって、さらに複雑になっている。ローエンドの脅威は、世界中の社会政治活動家と組織犯罪シンジケートの2つの脅威によって引き起こされている。そして、このようなサイバー侵害は、ほとんど、あるいはまったく無差別に実行される可能性がある。

インターネットがどのように発展してきたか、サイバー世界のシステムやアクセスの様々な要素を誰が所有しているかという構造的・政治的側面は、とてつもない課題を突きつけている。米国だけでも、重要なサイバーインフラの90%以上が民間部門によって所有されている(通信、SCADAシステム、サプライチェーンインフラなど)。わが国の政府は、あらゆるレベルで監督とセキュリティに関する関心を持っているが、インターネットとサイバー空間を必ずしも支配しているわけではない。セキュリティに対する政府のニーズと、自律性とインターネットへの自由なアクセスに対する民間セクターの要求は対立しており、解決しない限り正面衝突する。

したがって、サイバー空間の主要な鍵のひとつは、プロトコルを吟味し、サイバーのための「プロアクティブでレイヤー化された防衛」の枠組みを作るための、完全に機能する官民パートナーシップである。急速に進化する技術とサイバー脅威は、潜在的に破壊的なサイバー攻撃の戦略的意味合いに挑戦している。脅威を制限し、重要なインフラを保護するための最善の手段(および侵害に対処するためにタイムリーに調整された方法で対応する能力)を保証するためのエンドツーエンドのアプローチは、インターネットとサイバー空間の将来の完全性にとって不可欠である。

著者について

エンタープライズ・フロリダ社の元社長兼CEOで、スペース・フロリダ社の執行委員を務めた。1986年、ホワイトハウスのローズガーデンでロナルド・レーガン大統領から年間最優秀輸出業者賞を受賞した。産業部門諮問委員会の元委員長として、GATT、NAFTA、CAFTA、米国とメキシコの国境を越えたインフラと貿易問題について議会証言を行った。

テキサスA&M大学で博士号を取得し、米空軍大尉を務めたアダムスは、経済・産業開発、競争力、リスク管理、サイバーセキュリティの動向について全米で講演を行っている。

アダムズ博士はテキサス州の奥深くに住んでおり、12冊の本を執筆している。

この記事が役に立ったら「いいね」をお願いします。
いいね記事一覧はこちら
備考:機械翻訳に伴う誤訳・文章省略があります。
下線、太字強調、改行、注釈や画像の挿入、代替リンク共有などの編集を行っています。
使用翻訳ソフト:DeepL,ChatGPT /文字起こしソフト:Otter 
alzhacker.com をフォロー
Alzhacker
error: コンテンツは保護されています !