CISTEC Journal 7月号掲載[2019.8.1]
避けがたい疑心暗鬼
1. 超えてはいけない明瞭な境界
サイバーセキュリティ企業は、世界各国で製品やサービスを提供する国際企業の体裁をとっているにもかかわらず、帰属する国家に協力しているのだろうか。その帰属する国家と反目する国家に製品やサービスを提供して利益を得ているにもかかわらず、その相手国の機密情報を盗むことに手を貸しているのだろうか。どうも、前者に関してはYESであり、後者に関しては、少なくとも、見えている範囲ではNOのようである。
カスペルスキー社がロシアの情報機関FSBに協力するにあたって、FSB職員の要求に従って、調査対象のコンピュータに直接ハッキングを行ったとの報道がされたことがある42。これは、もし事実であれば、カスペルスキー氏が繰り返し否定してきた「いかなる国家のインテリジェンスにも協力していない」という言葉に反するものである。同記事に挙げられた業界のコメントを見ると、このようなことは、業界の認識としては異例であるらしい。米国のNSA関係者によるコメントによれば、国家情報機関がこれらサイバーセキュリティ企業に協力を要請することはあっても、ハッキングの実施自体は自ら行っているということであった。
どうも線引きはここにあるらしい。アンチウィルスソフトウェア・メーカーを含むサイバーセキュリティ企業は、技術の提供という側面で、その帰属する国家に協力することはあっても、直接的なハッキングは行わないという。実際のところ、国境を超えて、多くのコンピュータにインストールされ、そのコンピュータ内の多くのファイルへのアクセスを許され、頻繁にウィルス情報のアップデートのためにメーカーのサーバーと通信をするアンチウィルスソフトウェアを利用するのであれば、やろうといったん思ってしまえば、情報活動は容易であろう。それ故に、そのようなことが疑われてしまえば、メーカーのアンチウィルスソフトウェアは、他国から締め出される危険が非常に高い。これが今、カスペルスキー社に起こっていることである。
国家の協力要請にどこまで応え、何を断るかの線引きは、このように明瞭である。カスペルスキー社はこの一線を超えたと疑われ、米連邦政府から締め出しを食らっているのである。
2. 政府と距離を置くカスペルスキー
カスペルスキーは2017年に報道されたNSAスパイツール漏洩事件への関与を否定する発言の中で、自社の立場を説明し、反論している。「もし我々がそれ(政府のスパイ行為への協力)を一度でもすれば、すぐさま業界に特定され、ビジネスはそれで終わりだ12。」おそらく、本当にそうであろう。
カスペルスキー本人の経歴を見ると確かに、ロシアの情報機関との深い信頼関係が見えてくる。若き日のKGBやソ連陸軍との関わりや、創業後のFSB のサイバー犯罪捜査への協力、その信頼関係から実現した誘拐された息子のFSB による救出は事実なのだろう。しかし、それにもかかわらず、その創業時には政府とのつながりを利用することもなかったし、国に奨励してもらうこともしなかったという15 p.298。カスペルスキーのやり方を見ていると、強権的な政府と信頼関係を築きつつも、適度な距離を置こうという冷静さと努力の痕跡が伺える。
2012年のシャクトマン記者の記事への反論の中で、カスペルスキーは、自社をロシア政府の強い影響下にある会社とするイメージに反論している。公式ブログには次のようにある。
「カスペルスキー社は2006年に英国に持株会社を登記した国際的民間企業である。これは、我々の財務諸表が透明性を持ち、誰でも自由に閲覧が可能であることを意味している。女王陛下の法律は強力で、世界中で遵守されているということに、誰もが合意できるであろう。そこで我々のなす何事もクレムリンとは関係がない。このような、我々のビジネスをロシア政府と結びつけようと試みる大変な拡大解釈は初めて見るものである43。」
3. 証拠はなくても懸念はある?
米国政府によるカスペルスキー社製品の排斥と、ファーウェイ社製品の排斥はともに、明確な証拠がない中で行われているというところが共通している。例えば、カスペルスキー社によるロシア情報機関のスパイ行為への直接的な加担が確認されたという報道はない。しかも、イスラエルによる同社へのハッキングが成功していたにもかかわらず、そのような証拠が見つかっていないのである。第7 章第1 節で触れた、FSBの捜査へのカスペルスキー職員の直接的な関与は、不安を掻き立てる程度には、政府との親密さを示すものである。しかし、それはカスペルスキー社が収集した顧客情報をFSBに提供していることを疑わせるものでは、必ずしもない。
ファーウェイ社は、その産業スパイ行為や輸出規制違反が確認され、実際に米国政府や米企業に訴追されている。しかし、同社の製品に、懸念されてきたようなスパイツールが発見されたというケースは、未だにない。
にもかかわらず、米国がこれら法的、経済的な対応を実行に移している背景には、国家サイバーセキュリティの非常に重要な部分を、外国企業の企業努力に任せるわけにはいかないという認識があるだろう。確かに、カスペルスキー社もファーウェイ社もともに、国家情報機関のスパイ活動に直接加担していると認識されてしまえば、それこそ、会社の命運にかかわると認識してはいるだろう。社命を賭して、これを回避しようとすると考えることはできる。しかし、それは企業努力で達成されるものに過ぎない。ここでなされる企業努力とは、他国の政府を含む顧客の情報を自国の政府を含む誰かに「漏らさないこと」である。
しかし、誰にも「盗まれないこと」もまた、その努力によって達成されなければならない。2017年に報道されたNSAのスパイツール漏洩事件のときには、カスペルスキー社の説明を前提に考えても、NSAのスパイツールが一時的にカスペルスキー社のサーバーに(正常な機能によって)収集されている。これが、もしロシアの諜報機関にハッキングされ窃取された場合、それが企業側で意図しなかったことだとしても、懸念はされることになる。
現に同社は一時的に、イスラエルの情報機関によるハッキングを受け、その監視下に入っていた。米国の情報機関と協力関係にあるイスラエルの機関はこれを盗む必要はなかったが、技術的には他国に「盗まれないこと」が守りきれない状況に一度なっているとはいえる。
4. 運命づけられた別離
中国やロシアの法律が、これらサイバースパイ行為を許しているとの指摘が、カスペルスキー社やファーウェイ社などを懸念する議論の根拠として、たびたび示されてきた。しかし、法律そのものは、本当は、懸念の中心にはないのかもしれない。少なくとも、それら懸念される法律の一つである中国の「国家情報法」は、2017年6月に施行されたもので、一連の動きの中で見ると後から出てきたものだからである。
いざ有事となったとき、つまり、例えば武力衝突という事態となったときなどに、相手にとってサイバー攻撃(ここでは、専らサプライチェーン攻撃)が有効であるという米国の認識が、証拠の有無や、法律に関係なく、強い動機となっているのだろう。これは、米国が攻撃者側の視点から見て、自国が専ら製品やサービスを供給しているサイバー空間におけるサプライチェーン攻撃の有効性を認識していることの裏返しなのかもしれない。
もし、前節で触れたような外国企業の努力を当てにして、米国政府が安全保障上の引き締めを行わないようなこととなれば、何かあったときには、政府は何もしなかったことの責(せめ)を負うことになるだろう。そう考えると、各社がいかに企業努力をすると約束し、主張したとしても、米国政府に、安心感を持ってこれらの企業に任せようという動きは生まれてこないのではないかと思えてくる。政府とこれら外国企業との間には、このような合理的な思考に基づいた別離が運命づけられているのではないだろうか。(了)
※すべての関連年表とそれに付随する参考文献に関しましては、CISTEC Journal 8月号をご覧ください。
参考文献
12. Hern, Alex. Kaspersky Lab denies involvement in Russian hack of NSA contractor. The Guardian.(オンライン)2017年10月6日.(引用日:2019年6月18日.) https://www.theguardian.com/technology/2017/oct/06/kaspersky-lab-denies-involvement-russian-hack-nsa-contractor-moscow.
15. Soldatov, Andrei, Irina, Borogan. The Red Web : The Kremlin’s War on the Internet. New York : Public Affairs, 2015.
42. Nakashima, Ellen. Court document points to Kaspersky Lab’s cooperation with Russian security service. The Washington Post.(オンライン)2017年12月13日.(引用日:2019年5月15日.) https://www.washingtonpost.com/world/national-security/court-document-points-to-kaspersky-labs-cooperation-with-russian-security-service/2017/12/13/14ba9450-df42-11e7-bbd0-9dfb2e37492a_story.html.
43. Kaspersky, Eugene. What Wired Is Not Telling You – a Response to Noah Shachtman’s Article in Wired Magazine. Eugene Kaspersky – Official Blog.(オンライン)2012年7月25日.(引用日:2019年6月19日.) https://eugene.kaspersky.com/2012/07/25/what-wired-is-not-telling-you-a-response-to-noah-shachtmans-article-in-wired-magazine/.