1. 二つのサイバー攻撃と中国
盛夏の炎天の下、サイバー関連の悪いニュースに列島が立て続けに揺れた。2023年8月4日、内閣サイバーセキュリティセンター(NISC)が何者かによるハッキングを受け、電子メール関連システムに侵入されたと公表した。盗まれた可能性のあるデータは昨年2022年10月上旬から対策が取られた今年6月中旬までの凡そ8か月強の期間にやりとりされたものとされている [1]。つまり、これが侵入されていた期間ということだろう。同センターは日本の国家サイバーセキュリティーの取りまとめ的役割を担う内閣官房の組織である。米FT誌の報道によれば、攻撃は国家によるものであると事情に詳しい人物らには見られており、特に中国政府系組織によるものである可能性が強く疑われているという [2]。
この件の公表からわずか3日後となる同月7日、米ワシントンポスト紙によって、もう一つ別のサイバー・インシデント(事件)が報道されている。日本の「機微な情報を扱う防衛ネットワーク」に対し、大規模なハッキングが行われていたという内容であった。その侵入を最初に察知したのは米NSA(国家安全保障局:国防総省の情報機関)であったという。このとき、米政府は日本の防衛省にNSA長官など高官二名を派遣して警告している。NSAによる把握が2020年秋とのことであるから、3年近く前のことである [3]。こちらもまた攻撃者は中国とされており、人民解放軍のサイバー部隊によるものと報道されている。ただし現時点では、どちらのケースに関しても中国政府の関与を断定するような声明は日米何れの政府機関からも発されていない。日本は2021年に、中国によるマイクロソフト社へのハッキングに対して米国やNATOと同時に非難声明を発するなど、中国政府によるハッキングを指摘し、非難し対抗する姿勢を示している [4] [5]。今夏の二つのインシデントの報道は、中国からのサイバー攻撃への警戒の必要性にあらためて気付かされるとともに、日本側の対策が十分かという懸念に思い至らされる機会となった。
2. なにが狙われたか
先述の米紙の報道は、匿名の米元高官らの証言として、防衛ネットワークへ侵入したハッカーたちは「(日本の防衛)計画、能力、軍事的欠点の評価など、得られるものは何でも得ようとしているようだった」としている [3]。これが報道の通り中国によるものだったとして、その欲した情報とは何だったのだろうか。日本が英国やイタリアと共同開発を進める次期戦闘機の情報あたりだろうか。今回のハッキングでは、米国側から日本に対して強い懸念が示されたというから、台湾有事を想定した日米共同作戦計画の漏洩が懸念されたのだろうか。そして、実際に本当に機密情報は窃取されたのだろうか。いずれにせよ、報道の翌日、浜田防衛大臣と松野官房長官はそれぞれの会見の場で、機密情報の漏洩の事実は「確認されていない」としている [6] [7]。
なおNISCのケースに関しては、侵入されたのはメールサーバーのみだったとされている。この時期にメールのやり取りのあった関係者の個人情報が漏洩した可能性があるものの、他システムや、同庁舎内の別組織への被害はなかったとの報道であった [2]。
3. 他国から指摘されるということ
今回、ワシントンポスト紙で報道されたインシデントがそうであったように、サイバー攻撃を他国の指摘で気付かされるというケースは、実は日本に限ったことではない。例えば過去には、イスラエルの指摘で米NSAがその機密漏洩に気付かされたケースもあった。このときは、ロシアのサイバーセキュリティー会社カスペルスキー社の複数のPCにイスラエルの情報機関が侵入していたことが発見につながっている。同機関は、ロシア政府のハッカーがカスペルスキー社のシステムを悪用して広範に検索を掛け、NSAの機密文書を盗み出していたことを発見し、このことをNSAに報告したとの報道であった。これが、2014~2015年頃のことである [8] [9]。
ところで、自身のシステムを防護する手法として「能動的サイバー防御(ACD:アクティブサイバーディフェンス)」と呼ばれるものが存在する。攻撃者のシステムへ侵入して監視したり攻撃を無害化したりといった、かなり攻撃に近い手段をも包含した防御の概念である [10: pp.4-5]。上述のケースでは、イスラエルの情報機関はカスペルスキー社とロシア政府の関係などを調査していたとされているが、米国にとってこの活動が結果的に能動的サイバー防御として機能したといえるだろう [11] [12]。米国は国防の手段として能動的サイバー防御を活用すると銘打っているし、いざという時に備えてイランやロシアのシステムへ侵入しているとも報道されているが、このとき同社のシステムに侵入していたのはイスラエルであった [13] [14] [15]。能動的サイバー防御を積極的に行っている同盟国や友好国が、自国より先に漏洩の事実に気付くということは起こり得るケースである。
しかし、今回の日本の防衛ネットワークの被害のNSAによる把握が、米国による能動的サイバー防御の成果だったかどうかは、現時点でははっきりしていない。どうやって知ったのだろうか。NSAが日本のネットワークに侵入し監視していて知ったのではないかと勘繰るのも自然だろうか。実際、2021年11月に、日本のサイバーセキュリティーがまだ不十分だとしてその強化を再度訴えに訪日した米高官は、米政府機関が日本のネットワーク内に侵入しているわけではないとの釈明に苦労したようだ [3]。しかし例えば、NSAが人民解放軍のシステムに事前に侵入し監視下に置いていたとしよう。もし、そこに日米間でしかシェアされていないはずの情報が見つかるようなことがあれば、それは、日本か米国から盗んだものに違いない。そうなれば、NSA自身が日本のサーバーに侵入していなくても、日本の被害を把握することは可能だっただろう [16]。
4. 大被害の年 ― 2020年
先述の通り、日本の防衛ネットワークへのハッキングをNSAが認識したのは2020年秋だったという。しかし、それから間もない同年12月、米国にとって更に衝撃的な事実が明らかとなっている。十~十数に及ぶ米省庁または州政府が、自身のネットワークに深刻なハッキングを受けていたのである。国土安全保障省や国務省、核安全保障を管轄する国家核安全保障局をも含む省庁や民間企業が、それらのネットワークに大規模な侵入を長期に渡って受け、1万8千以上ものコンピューターシステムが被害を受けている可能性があることが判明した [17] [18]。ソフトウェアサプライチェーン攻撃という防ぎにくい攻撃手法が2017年から見られるようになってきており、その種の攻撃の多くは国家を後ろ盾としたものと見られていた。米国の被害は、国家の中枢に広範かつ長期に渡って侵入されたという意味で特に深刻なソフトウェアサプライチェーン攻撃の一例となった。ネットワーク管理ソフトを販売するソーラーウインズ社がハッキングを受け、そのソフトウェア更新が悪用され、米国を中心に広範に被害が発生していた [19]。米情報機関はこれをロシアの情報機関対外情報庁(SVR、別名:APT29、コージーベアーなど)による攻撃と断定し、2021年4月にはバイデン政権から制裁令が発されている [20]。
ところで、このソフトウェアサプライチェーン攻撃だが、同種の攻撃はモンゴル政府をもまた苦しめていたことが、2020年夏にわかっている。攻撃者としては、中国のサイバー部隊が疑われている [21] [22]。つまり、中露各々の国家と関係があると見られる攻撃者らによるサイバー攻撃が、この時期に猛威を振るっていたのである。今回のワシントンポスト紙の報道にあるように、日本もまた同時期に深刻なサイバー攻撃に晒されていたということであるなら、2020年をサイバー攻撃による大被害の年として記憶しても良いのかもしれない。ちなみに、今回明らかとなった日本の防衛ネットワークに対するサイバースパイ行為が、ソフトウェアサプライチェーン攻撃によるものだったかどうかに関しては、本稿執筆時点では特にそれを示唆する情報は見当たらない。
>次回につづく
1. 内閣サイバーセキュリティセンター(NISC). 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について. 内閣サイバーセキュリティセンター(NISC). (オンライン) 2023年8月4日. (引用日: 2023年8月30日.) https://www.nisc.go.jp/news/20230804.html.
2. LEWIS, Leo. Japan’s cyber security agency suffers months-long breach. Financial Times. (オンライン) 2023年8月29日. (引用日: 2023年8月30日.) https://www.ft.com/content/de0042f8-a7ce-4db5-bf7b-aed8ad3a4cfd.
3. NAKASHIMA, Ellen. China hacked Japan’s sensitive defense networks, officials say. the Washington Post. (オンライン) 2023年8月8日. (引用日: 2023年8月26日.) https://www.washingtonpost.com/national-security/2023/08/07/china-japan-hack-pentagon/.
4. CORERA, Gordon. 中国がマイクロソフトへのサイバー攻撃に関与か 日米欧など非難. BBC News Japan. (オンライン) 2021年7月20日. (引用日: 2023年10月7日.) https://www.bbc.com/japanese/57897450.
5. 松本惇. 中国政府関与指摘のハッカー集団、日本にサイバー攻撃 警察庁. 毎日新聞. (オンライン) 2023年9月27日. (引用日: 2023年10月7日.) https://mainichi.jp/articles/20230927/k00/00m/040/245000c.
6. 防衛省・自衛隊. 防衛大臣記者会見. 防衛省・自衛隊. (オンライン) 2023年8月8日. (引用日: 2023年9月28日.) https://www.mod.go.jp/j/press/kisha/2023/0808a.html.
7. Reuters. 防衛省の情報漏えいは確認されてない=中国のハッキング報道で官房長官. Reuters. (オンライン) 2023年8月8日. (引用日: 2023年9月3日.) https://jp.reuters.com/article/china-japan-cyberattack-matsuno-idJPKBN2ZJ04W.
8. LUBOLD, Gordon; HARRIS, Shane. Russian Hackers Stole NSA Data on U.S. Cyber Defense. the Wall Street Journal. (オンライン) 2017年10月5日. (引用日: 2019年6月1日.) https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108.
9. HERN, Alex. NSA contractor leaked US hacking tools by mistake, Kaspersky says. the Guardian. (オンライン) 2017年10月26日. (引用日: 2019年6月17日.) https://www.theguardian.com/technology/2017/oct/26/kaspersky-russia-nsa-contractor-leaked-us-hacking-tools-by-mistake-pirating-microsoft-office.
10. GLOSSON, Anthony D. Active Defense: An Overview of the Debate and a Way Forward. Mercatus Center. (オンライン) 2015年8月10日. (引用日: 2023年9月15日.) https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3191394.
11. PERLROTH, Nicole; SHANE, Scott. How Israel Caught Russian Hackers Scouring the World for U.S. Secrets. the New York Times. (オンライン) 2017年10月10日. (引用日: 2019年5月31日.) https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html.
12. サイバーセキュリティ企業と国家安全保障 ―カスペルスキー製品排斥の背景―. 小沢知裕. 182 : CISTEC, 2019年7月, CISTECジャーナル, ページ: 204-227.
13. The White House. National Cyber Strategy of the United States of America. the White House. (オンライン) 2018年9月. (引用日: 2020年4月16日.) https://trumpwhitehouse.archives.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf.
14. SANGER,David E.; MAZZETTI, Mark. U.S. Had Cyberattack Plan if Iran Nuclear Dispute Led to Conflict. the New York Times. (オンライン) 2016年2月16日. (引用日: 2023年9月30日.) https://www.nytimes.com/2016/02/17/world/middleeast/us-had-cyberattack-planned-if-iran-nuclear-negotiations-failed.html.
15. SANGER, David E.; PERLROTH, Nicole. U.S. Escalates Online Attacks on Russia’s Power Grid. the New York Times. (オンライン) 2019年6月15日. (引用日: 2022年1月18日.) https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html.
16. ABEMA Times. なぜ今更 ? “中国軍ハッキング問題” 日本の脆弱性が露見するも米は情報共有に自信. ABEMA Times. (オンライン) 2023年8月10日. (引用日: 2023年9月5日.) https://times.abema.tv/articles/-/10090799.
17. ABRAMS, Lawrence. The SolarWinds cyberattack: The hack, the victims, and what we know. Bleeping Computer. (オンライン) 2020年12月19日. (引用日: 2023年10月7日.) https://www.bleepingcomputer.com/news/security/the-solarwinds-cyberattack-the-hack-the-victims-and-what-we-know/.
18. OLADIMEJI, Saheed; KERNER, Sean M. SolarWinds hack explained: Everything you need to know. WhatIs.com. (オンライン) 2023年6月27日. (引用日: 2023年10月8日.) https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know.
19. 小沢知裕. 国家を襲うソフトウェアサプライチェーン攻撃《前編》. 国際情報ネットワーク分析 IINA. (オンライン) 笹川平和財団, 2021年3月24日. (引用日: 2021年3月24日.) https://www.spf.org/iina/articles/tomohiro_ozawa_01.html.
20. The White House. FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government. the White House. (オンライン) 2021年4月15日. (引用日: 2023年10月7日.) https://www.whitehouse.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/.
21. TARTARE, Mathieu. Operation StealthyTrident: corporate software under attack. Welivesecurity. (オンライン) eset, 2020年12月10日. (引用日: 2020年12月22日.) https://www.welivesecurity.com/2020/12/10/luckymouse-ta428-compromise-able-desktop/.
22. 小沢知裕. 国家を襲うソフトウェアサプライチェーン攻撃《後編》 2020年 ― その変容. 国際情報ネットワーク分析 IINA. (オンライン) 笹川平和財団, 2021年4月15日. (引用日: 2021年4月15日.) https://www.spf.org/iina/articles/tomohiro_ozawa_02.html.