オリンピックの成功(来日外国人の安全確保を含む)には国の威信がかかっている。他方、オリンピックの失敗を狙ってサイバー攻撃を仕かける輩もいるであろう。
サイバー攻撃は国境を越えてくる。サイバー空間の安全の確保は極めて困難な挑戦である。
東京オリンピック開幕式まで残された日数は400日余りとなった。我が国のサイバー空間における安全の確保、すなわち、サイバーセキュリティが万全であるのか不安である。
先日6月7日のNHKの「news watch9」で「東京も狙われている“五輪破壊”サイバー攻撃」と題して、ピョンチャン五輪におけるサイバー攻撃の実態を紹介する番組を放映していた。
その中で、筆者が驚いたのは、解説者が「セキュリティの弱い関連する組織から入り込んで、本体を狙う攻撃がサプライチェーン攻撃である」と説明していたことである。
これは、サプライチェーン攻撃でなくAPT攻撃(日本では標的型攻撃)である。
もともと日本人のサイバーリテラシーが低いことは指摘されているが、日本の唯一の公共放送であるNHKにおいても、「サプライチェーン攻撃」の何たるかを、東京オリンピックを来年に控えた現時点で理解していないことは驚きである。
また、NHKの理解がこの程度であるということは、政府のサイバーセキュリティに関する広報・啓蒙が全く国民に行き届いていないことを示唆している。
例えば、政府の広報・啓蒙により、国民一人ひとりのパソコンなどの端末のボット化を防ぐことができれば国全体のセキュリティの向上に役立つであろう。
もう一つ、サイバーセキュリティに関連して、メディアでよく見かける間違いを指摘したい。
サイバー攻撃を「コンピューターシステムに対し、ネットワークを通じて破壊活動やデータの窃取、改竄などを行うこと」と定義することである。
これは情報セキュリティ時代の話である。現在は、ネットワークを通じた攻撃は、狭義のサイバー攻撃あるいはコンピューター・ネットワーク攻撃と呼ぶのが正しい。
なぜなら、後述するように様々な攻撃手法が存在するからである。
情報資産を防護するには、どのような技術的脅威、すなわちどのような攻撃手法があるかを押さえておくことは、リスクアセスメントの基本である。
1.サプライチェーン攻撃とは
現在、米国および同盟国において中国のファーウェイとZTEを電気通信インフラ市場から排除する動きが広まっているが、それは、中国共産党の管理下にある中国企業によるサプライチェーン攻撃の恐れがあるからである。
日本も米国と同様に安全保障上の懸念からファーウェイなどの電気通信装置を市場から排除している。決して、米国の5G覇権に協力しているわけではない。
さて、「サプライチェーン攻撃」とは、米国立標準技術研究所(NIST)によれば次のように定義されている。
「ライフサイクルの間のいかなる時点かでコンピューティング・システムのハードウエア、ソフトウエア、またはサービスに不正工作することである」
「一般的には商業的な結びつきを通してアクセス権を有する個人または組織によって実行または促進される。そして、重要データや技術の窃盗、システム/インフラの破損に至り、任務遂行に不可欠な運用を不能にする」
ICTサプライチェーンへの攻撃機会には、上流、すなわち製造過程と、下流、すなわち流通過程の2通りが想定される。
上流への攻撃とは、ネットワーク・ルータおよびその構成要素である半導体集積回路(IC)の製造プロセスで、不正チップを組み込むことである。
例えば、攻撃者は、プログラム可能なチップのソフトウエアを改竄することによって、チップが他の製品への統合のために出荷される前に、メーカーに対して攻撃を仕かけることができる。
下流への攻撃とは、標的とする組織に製品を供給している下流の流通経路で、偽物のハードウエアを埋め込むことである。
上流の半導体製造サプライチェーンそのものに侵入しようとする複雑さに比べれば、あまり複雑でない。
例えば、攻撃者は、アセンブリ(組み立て)の時にファームウエアまたはソフトウエアの中に読み込まれた「トロイの木馬」を含んだ偽物のハードウエアを埋め込むことができる。
あるいは、非常に関心のある標的を顧客としている再販業者と卸売業者を目的地とするブランド機器の積荷の中に完成した偽のハードウエアを混入することができる。
2.過去の大会におけるサイバーセキュリティインシデント
本項は、大会組織員会テクノロジーサービス局による分析・検討結果である。「交通セキュリティセミナー講演(平成31年2月18日)」資料より引用した。一部、筆者が加除修正した。
(1)過去の大会のインシデント
ア.ロンドン大会2012年
・7月26日(開会式前日)に、東欧のハッカー集団が大会のITインフラに対して数10分間にわたって脆弱性を探すためのスキャン実行。
・7月27日(開会式当日)に、電力システムを狙った攻撃の情報を受け、多くの技術者を要所ごとに配置するマニュアル操作に切替え。この時の状況を読売新聞は次のように報じている。
「ロンドン五輪では開幕の当日の朝、『電力システムがハッカーに狙われている』との情報に基づき、関連施設に技術者250人を走らせ、システムを手動に切り替えたのは開会式の数時間前だった。(読売新聞26年9月7日)」
・7月27日午後5時には、(大会公式サイトへの)DDoS攻撃がピークに達し、北米および欧州の90のIPアドレスから1000万リクエストの DDoS攻撃が40分間にわたって継続。
・8月3日(大会終了間近)には、一秒あたり30万パケットのDDoS 攻撃が同じIPアドレスから送付。このアドレスはプレス向けに用意され共同利用されていたもの。
イ.リオ大会2016年
テレビでは放映されない数々のトラブルが発生。
例えば、「(ゴルフ)競技中に過負荷による競技情報システムダウン」「大会 初日の過負荷によるモバイルアプリダウン」「インターネット回線トラブル」「停電・電源トラブル(五輪閉会式時間中の会場一帯の停電も含む)」「多発するサイバー犯罪(なりすましWi-Fi、ATMスキミ ング)」など。
ウ.平昌大会2018年
・2月9日の開会式の45分前から、プレス関係者向けの通信環境や映像配信、大会ウエブサイトなどに影響。
これまでオリンピックを標的としてきたサイバー攻撃と比べ、明らかに影響範囲が拡大。
この時の状況を韓国の対サイバー攻撃チーム総括責任者チョ・チャンソブ氏は、NHKに対し次のように語った。
「平穏に開会式が進行している裏で、無線LANが突然使えなくなったり、入場券が印刷できなくなったりといった障害が相次いだ」
「原因を調べると、観客の入退場や大会関係者のネット接続など、あらゆる認証作業を担うサーバーがウイルスに感染していた」
「影響の大きいものから復旧を始めたが、復旧すると同時にそのサーバーが新たな障害を起こす現象が起きた」
「感染は50のサーバーに及び、大会の会場管理やスケジュールを管理する機能など52にわたるサービスで影響が生じた」
「このままでは、翌日から始まる競技にも影響しかねないので、大会のインターネットを遮断し、数百人で復旧作業にあたった結果、翌朝の8時頃、競技開始のわずか1時間前にようやく復旧できた。(NHK news watch9 6月7日)」
・2月9日、米シスコシステムズ社の情報分析チーム (Cisco Talos)が、攻撃に用いたとみられるマルウエアの検体サンプルを確認したと報告。
マルウエアからはシステム破壊の機能のみが確認されている。マルウエアには44個の平昌五輪関連の資格情報(ユーザー名、パスワードなど)とみられる文字列がハードコーディングされている。
・2月25日、米紙ワシントンポストが、「ロシア軍スパイが平昌組織委員会のコンピュータ数百台をハッキングし、北朝鮮の仕業と見せかけようとした」との米国情報当局者の話を報道した。
(2)インシデントに関する考察
平昌以前の大会では、インターネットに晒されるウエブサイトへの攻撃が主流だったが、平昌では、標的型攻撃により明らかに内部に侵入され、ピンポイントでの攻撃を許している。
また、目的を持った攻撃となっており、「ハクティビストの攻撃」のレベルから、「サイバーテロ」 と呼べる攻撃レベルへと進化しているなど、攻撃目的の変化や攻撃手法の進化がみられる。
3.想定される攻撃手法
想定される攻撃手法は大きく分けて、ネットワークを通じたサイバー攻撃、サイバー空間におけるサイバー攻撃および電磁スペクトルを含むサイバー・ドメイン(領域)におけるサイバー攻撃に分類される。
サイバー空間における安全確保には下記のすべての攻撃手法について対策が講じられなければならない。
(1)ネットワークを通じたサイバー攻撃(コンピューターが外部のネットワークに接続されている場合)
標的型攻撃(APT攻撃)、ドライブバイ ダウンロード、DoS攻撃/ DDoS攻撃、ゼロデイ攻撃、SQLインジェクション、クロスサイトスクリプティング、水飲み場攻撃など。
(2)サイバー空間におけるサイバー攻撃(コンピューターが外部のネットワークに接続されていない場合)
インサイダー攻撃、サプライチェーン攻撃、スパイによる攻撃(コンピューターシステムにUSBにより直接マルウエアを挿入、標的の施設内の伝送路からマルウエアを挿入、あるいは伝送路を切断する)など。
(3)サイバー・ドメインにおけるサイバー攻撃(外部からの強力な電磁波はコンピューターの誤作動を引き起こす)
高出力電磁波(HPEM)攻撃、電磁パルス(EMP)攻撃など。
4.政府などの取り組み
筆者は、かつて本サイトへの投稿で「オリンピックを見据えたサイバーセキュリティ対策」として3つのことを提言した。
1つ目は、真に重要なネットワークはクローズ系とすることある。2つ目は、重要インフラの自動運用を手動運用へ切り替える手順を確立することである。3つ目は、「国家重要インフラ防護センター(仮称)」を設立することである。
3つ目は、重要インフラ事業者の自主的な取組を待つのでなく、政府が主体的に重要インフラの防護に取組む専門の機関を設立すべきであるという提言であった。
詳細は分からないが、1つ目および2つ目については、実行されたものと期待している。3つ目は、残念ながら現時点では実行されていない。
さて、政府と組織委員会は、東京オリンピックに向けた取り組みの中で、それぞれ「オリンピック・パラリンピックCSIRT」と「組織委員会CSIRT」を設置した。
「オリンピック・パラリンピックCSIRT」は、「内閣サイバーセキュリティセンター(NISC)」を中心とした「政府CSIRT」として構築されたものである。
関係機関や重要な社会・経済インフラが提供するサービスへのサイバー攻撃を予防・検知し、対処に必要な的確な情報を共有する中核組織という位置づけである。
一方、「組織委員会CSIRT」は組織内CSIRTという位置づけである。
CSIRT(シーサート)とは、「コンピューターセキュリティインシデント対応チーム」の意味である。
リスクアセスメントに基づくセキュリティ対策を実施することで、インシデントの数を減らすことは可能だが、すべてのインシデントの発生を防止することはできない。
そのため、インシデントを素早く発見し、損失や破壊を最小限に抑え、悪用された脆弱性に対処し、コンピューティングサービスを復旧するためには、インシデント対応能力の構築が不可欠である。
このような中で、注目されているのが、CSIRTの設置である。平成25年6月に策定された「サイバーセキュリティ戦略」では、政府機関及び重要インフラ分野におけるCSIRTの設置を推奨している。
従って、東京オリンピック大会の間は、「オリンピック・パラリンピックCSIRT」を頂点として、その下に重要インフラ事業者などの組織内CSIRTが従属するというある種の階層構造が構築される。
このCSIRT構造を効果的に機能させるためには、政府CSIRTにどのような権限を与えるかが重要となるであろう。
このCSIRT構造に大きく期待したいが、日本ではCSIRTの歴史が浅く、さらにCSIRTを設置した各企業では、人材の確保や体制構築に苦労していると聞いている。
他方、現在、情報通信研究機構(NICT) ナショナルサイバートレーニングセンターで実施している「サイバーコロッセオ」で、大会開催時を想定した模擬環境で攻撃・防御双方の実践的な演習を行うことにより、高度な攻撃に対処可能なサイバーセキュリティ人材を育成しているところである。来年に間に合うことを切に願っている。
5.おわりに
ロンドンオリンピックのサイバーセキュリティについては、英国の国内治安維持に責任を有するインテリジェンス機関であるMI5(正式名称はセキュリティ・サービス)が担当していた。
具体的には「Olympic Cyber Co-ordination Team (OCCT)」がMI5に設置された。
今日のサイバー攻撃は、これまでのサイバーセキュリティ能力では対応できない。インテリジェンスの能力が必須となっている。
なぜなら、サイバー攻撃が犯罪行為にとどまらず国家安全保障上の脅威となっているからである。
攻撃者の意図と能力などを知ることはインテリジェンスの仕事である。諸外国では、インテリジェンス活動は政府の通常の機能の一つであると考えられている。
行政機関の一つとしてインテリジェンス組織を保有し、そして、国内外において公然・非公然のインテリジェンス活動を行っている。
しかし、日本には真の意味のインテリジェンス機関は存在しない。
将来にわたり我が国に対するサイバー攻撃から国民の安全を確保するために、犯罪行為としてのサイバー攻撃から、日本の国家安全保障にかかわるサイバー攻撃までを一元的に管轄するインテリジェンス体制の整備が喫緊の課題である。
[もっと知りたい!続けてお読みください →] サイバー攻撃に実はなすすべがない日本の現実
[関連記事]
コメント