HOME > 研究活動 > USJI Voice > USJI Voice Vol.24

研究活動

USJI Voice

USJI Voice Vol.24

サイバー攻撃能力の研究を ―2020年の東京オリンピック・パラリンピックとその後の日本のために―

2017.03.16
tsuchiya_motohiro
土屋 大洋
慶應義塾大学 教授

このタイトルは多くの人にとって物騒に聞こえるだろう。平和国家である日本がサイバー攻撃を行うのかと思うかもしれない。しかし、サイバー攻撃を防ぐためには攻撃の研究が不可欠である。

目下のところ、日本のサイバーセキュリティ政策において重要なのは2020年の東京オリンピック・パラリンピック競技大会(東京2020大会)をいかに乗り越えるかという点である。2012年のロンドン・オリンピック・パラリンピックでは2億件のサイバー攻撃を受けたとされている。サイバー攻撃をどう定義するかによるが、2020年の東京2020大会ではその10倍の数のサイバー攻撃が来てもおかしくはない。

オリンピック・パラリンピックへのサイバー攻撃にはどのようなものが考えられるか。多くのシナリオが考えられる。第一に、2016年のリオデジャネイロ・オリンピックでは、DDoS(Distributed Denial of Services)攻撃が用いられた。これは特定のウェブサイトにアクセスを殺到させ、サービス不全に追い込む方法で、リオ・オリンピックでは500 Gbpsを超えるトラフィックがオリンピック関連サイトに向けられた。これによって死傷者が出ることはほとんど考えられないが、スムーズな情報提供に影響が出るだろう。

第二に、電気、水道、交通といった社会インフラストラクチャを麻痺させる攻撃が考えられる。暑い日本の夏に行われる東京2020大会の最中は冷房装置が選手の体調管理に不可欠だろう。水道が止まれば、競技だけでなく都民の生活にも多大な支障が出る。混雑する朝夕のラッシュ時にオリンピック・パラリンピック観戦の旅行者が加わることでいつも以上に混雑する電車や道路が動かなくなれば、首都機能が麻痺する事態にもなりかねない。

第三に、不正観戦チケットが出回ったり、ホテルや航空券、鉄道の予約の不正が横行したりすることも考えられる。それと連動してクレジットカード・システムや金融機関のATMが動かなくなり、決済システムに問題が出ることもあるだろう。

第四に、社会的混乱を狙ったデマや偽ニュースが横行することも考えられる。地震や原発に関連する偽ニュースは国民だけでなく外国からの観光客を不安に陥れるだろう。

第五に、世界の視線がオリンピック・パラリンピック競技に向いている間に、日本企業や日本政府から機密情報を盗む目的のサイバーエスピオナージ(スパイ活動)も行われるだろう。人々が注目しやすいタイトルや、本物そっくりの電子メールが特定の標的に送られ、マルウェアの感染を促し、コンピュータへの侵入口を設置し、内部情報を盗んでいく。

他にもサイバー攻撃のシナリオは考えられる。こうした攻撃の手法を知らずしてサイバー防衛は成り立たない。

そもそもサイバー攻撃のほとんどはサイバー犯罪である。サイバー犯罪であれば、それが発生した後に捜査を行い、犯人を捕まえれば良いと考えるかもしれない。しかし、サイバー攻撃の場合は攻撃者を特定するのが難しく、特定できても捕まえることができないことが多い。一度流出してしまったデータを取り戻すこともできない。したがって、未然に防ぐことが重要になる。そのためにはサイバー攻撃の手法を研究しておかなければならない。

日本がサイバー「先制」攻撃を行うのではない。しかし、未然に防ぐためには、通信の監視が不可欠になる。諸外国では、仮想敵のシステムに事前に侵入して監視しておき、仮想敵が攻撃を企図したところでそれを阻止してしまうという「アクティブ・ディフェンス」も行われている。つまり、サイバーセキュリティの世界では、攻撃と防衛は表裏一体である。

深刻なサイバー攻撃は、地政学的な対立を反映していることがほとんどである。リオ・オリンピックをホストしたブラジルは近隣諸国と深刻な対立を抱えていたわけではない。むしろ、国内的な混乱のほうが大きかった。しかし、日本の場合は、近隣諸国との対立がオリンピック・パラリンピックまでの3年で完全に解消するとは思えない。リオ・オリンピックよりも深刻なサイバー攻撃が来ると想定しなければならない。

そのためには、インターネットのアーキテクチャで中心的な役割を担う米国との情報共有は欠かせない。日本政府は米国政府との共同演習などを通じて対応能力を向上させるべきである。

日本の自衛隊と米軍については、20154月に発表された日米防衛協力のための指針(http://www.mod.go.jp/j/approach/anpo/shishin/shishin_20150427j.html)では、「日米両政府は、適切な場合に、訓練及び教育に関するベストプラクティスの交換を含め、サイバー空間における各種能力の向上に関する情報を共有する」と述べられている。ここでの「各種能力」には各種の攻撃と防衛の能力が含まれていると見るべきだろう。

20159月に発表された日本政府のサイバーセキュリティ戦略(http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf)でも、「米国は、日米安保体制を基軸に、あらゆるレベルで緊密に連携する我が国の同盟国である。サイバー空間に関する価値観も同じくして」いると述べられている。

日本国憲法の第21条第2項には「検閲は、これをしてはならない。通信の秘密は、これを侵してはならない」と書かれており、これまで日本の通信事業者は厳格に顧客の通信の秘密を守り、日本政府もまたそれを求めてきた。人々の通信のプライシーを守るという点では日本は非常に良い姿勢を見せてきた。

しかし、日米間で情報を共有する場合、通信の秘密を厳格に守っていれば、それを米国政府とも共有することはできないことになる。どのようなサイバー攻撃が日本政府や日本の重要インフラストラクチャ事業者に対して行われているかは、それぞれの政府機関や事業者が監視しているのは言うまでもないが、それを他の組織と共有したり、政府のインテリジェンス機関がそうしたデータにアクセスしたりすることが難しい。1999年に成立したAct on Wiretapping for Criminal Investigationがあるが、この法律の適用は組織犯罪等に限定されており、年間数十件、携帯電話の傍受に限定されており、インターネットの通信には用いられていない。無論、サイバー攻撃防止のための監視にも使われていない。

サイバー攻撃の研究には、必然的に誰がどのような経路でどんな信号を送って来ているかを監視することが必要である。そして、どんなマルウェアやコンピュータ・ウイルスが送られてきているか、どんな手法でセキュリティが破られているかも研究しなければならない。それが理解できて初めて、防御のための手法が分かってくる。サイバー攻撃者は、セキュリティの穴を一つ見つけるだけで良い。しかし、防御者は、24時間365日、どこから来るか分からない攻撃に備えなければならない。

日本政府は、米国からの協力を得ながらも、独自の能力向上に努力すべきであり、そのためにはサイバー攻撃の研究もまた不可欠である。東京2020大会は一つのマイルストーンに過ぎない。オリンピック・パラリンピックの後の日本のためにも、サイバーセキュリティ能力の向上が必要である。

 


USJI Voiceは、USJIの連携大学の研究者による政策関連オピニオン・ペーパーです。USJI Voiceでは、日米関係やその関連トピックに関心のある専門家の方々に向けてさまざまな記事をお届けします。
USJI Voiceは、執筆者であるUSJI連携大学研究者の個人的見解に基づくものであり、USJIとしての公式見解ではありません。

本資料に掲載している情報(文章や写真など)は、日米研究インスティテュートもしくはその連携大学の著作物です。個人の私的使用および引用などを除き、本資料に掲載している情報を、著作権者に無断で、複製・改変、転載などすることを禁止します。

ご支援のお願い
  • 連携大学

  • GET UPDATES

    USJIでは、イベント等の情報をメール配信しています。お申込み/配信停止はこちらから。