全面停電、ケータイも不通…「制御システム」への攻撃とは?

鉄道も停止…数万円、3秒で国を滅ぼすサイバー攻撃は可能?

画像は筆者提供
 こんにちは、江端智一です。

 今回は、「サイバー戦争と憲法第9条」をテーマに書かせていただこうと思います。

 最近、以下のような文面のメールをもらうことが多いです。

「以下が、私のページのURLになります。でも、(サイバー)攻撃しないで下さいね」

 私は、「一体何を恐れられているのだろうか?」と思い、メールの送信者に尋ねてみたところ、こんな返事が戻ってきました。

「江端さんは、

(1)サイバー攻撃をできる技術を持っている
(2)そして、実際にかつて迷惑メールのサーバに対して攻撃を仕掛けたことがある。
(3)やりたいと思えば、水素をも爆発させる行動力、というか遊び心(?)を持っている。

この3つが揃えば、そりゃ恐ろしいですよ」

と、言うのです。

 大変不本意ではあるのですが、上記のすべては、実は身に覚えがあります……。「サイバー攻撃」かと問われれば、確かに今なら「サイバー攻撃」と呼べるものだったかもしれません。

 私は、自宅のパソコンから、何度警告しても迷惑メールの配送を止めてくれない海外のメール発信元サーバに対して、メールを止めてくれるように「お願いメール」を送っただけなのですが。

 ただ、ちょっと普通のメールと違っていまして、簡単なメール送信プログラムをつくって、

 (1)自宅のパソコンからでなく、海外のサーバを踏み台として、
 (2)架空の宛先人とIPアドレスを使って
 (3)1秒間に数百通の間隔でメールを送りつけた

という、可愛らしい悪戯をしただけのことです(時効成立済み)。

 なお、その後、私の真摯なお願いが通じたのか、そのサーバから迷惑メールは一切来なくなりました(というか、サーバが消えてしまいました)。

●ステルスプログラム

 また、こんなこともありました。

 10年ほど前、米国のIT会社に出向になっていた時のことです。その会社の業務サーバに、私のパソコンが攻撃を仕掛けているという疑いがかけられました。そして、私のパソコンがネットワークから強制的に排除されるという事態にまで発展しました。

 その後、私は自分のパソコンの徹底的調査を行ったのですが、コンピュータウイルスに汚染されたという証拠がまったく見当たらず、パソコンからの攻撃の形跡も見当たりませんでした。

「冤罪」という言葉を胸に秘めながら、私はネットワークのモニタリングを繰り返し実施して、ようやく原因をつきとめるに至りました。

 それは、私が自分で作成した「ステルス(stealth)プログラム」でした。

 私は、業務時間後や休日にエッセイやコラムを書いていたのですが、これらを出向先の会社に知られたくなかったので、会社の監視システムからそのようなコンテンツを「見えなくする」プログラムをつくり、インストールしていました。

 社内でコンピュータウイルスに感染していない私のパソコンに対して、感染された周囲のパソコンから集中的なパケット攻撃が行われ、その「ステルスプログラム」が攻撃パケットをまるで「鏡に反射する光」のように、すべて業務サーバに振り向けてしまっていたのです。

 はたから見ると、「私のパソコンを経由して、業務サーバに対して『十数台のパソコンが束となって』凄い攻撃をしているように見えてしまった」というのが、真相でした。

 私が作成した「ステルスプログラム」は、当初の意図を遥かに越えて、最凶最悪の攻撃プログラムとして機能してしまったのです。

 よって私は、大変不本意ながら「サイバー攻撃の犯人」という、負のタイトル(称号)を有する者なのです。

●システムをダウンさせる方法はいくらでもある?

 自分のやってきたことはさておき、私は「コンピュータウイルスをつくってばらまく奴」が、心底嫌いでした。プログラム、特にオペレーティングシステム(OS)周辺に精通している人間であれば、コンピュータシステムをダウンさせる方法の10や20は簡単に思いつくことができます。

 もっと簡単に言えば、コンピュータウイルスをパソコンの中に入れることに成功すれば、それだけで、目的の9割は達成したも同然です。

 しかし、この程度の技は、ITエンジニアの同業者の間では、なんの自慢にもなりません。また、当業者でない多くの人々には、多大な迷惑になるだけのことです。ですので、「コンピュータウイルスをつくってばらまく奴」の行為が、単なる「壁の落書き」の域を出ない、子供じみた行為としか映りませんでした。

 しかも、ばらまいた痕跡を消去する作業を怠って、警察に逮捕されるという愚か者にいたっては、「呆れる」を通り越して「哀れ」とまで思っていました。

●変化を見せるサイバー攻撃の手口

 しかし、ここ10年間で状況はガラリと変わってきました。

 牧歌的な自己顕示欲の行為が、妙なものに変わっていってしまったのです【註1】【註2】。

 まず1つには、企業や政府が保有する情報に対する窃盗行為の変貌です。

 三菱重工業に対する機密情報へのアクセス(2011年9月)や、衆議院に対するパスワードまたはメールの奪取(11年7月)、アジア・北米日本大使館へのコンピュータウイルス攻撃等が、これに当たります。

 これらの攻撃のモチベーションが、「金(かね)」であることは明らかでしょう。なにしろ、サイバー空間からの窃盗行為は、簡単に国境を越えて世界中のどこからでも可能で、証拠が残りくいのです。攻撃者にとって、リスクに対して、得られるメリットは計り知れなく大きいです。産業スパイを放って、現地に潜入させるコストと比較すれば、ほとんど「タダ」みたいなものでしょう。

 そして2つ目には、民主主義的なアプローチを経ないで、暴力によって政治的要求を行う行動への変貌です。

 最近では、アノニマスが12年6月に日本で可決された違法ダウンロード刑事罰化に対する抗議活動として、財務省、自民党、日本音楽著作権協会(JASRAC)のWebサーバをダウンさせました。この行為は「特定の政治的目的を達成しようとする組織的暴力の行使」に該当し、「テロリズム」の定義にバッチリ合致します。

「バーチャルなネット社会においては、実社会のルールを導入するな!」という意思表明と抗議行動は正当な権利ですが、それをテロリズムという手段により訴えてしまったために、

「なーんだ、バーチャルなネット社会というものも、所詮は実社会と大して変わりがないじゃないか」

ということを証明してしまった、という皮肉な結果になったように思えます。つまり「バーチャルなネット社会に、リアル社会の常識(法律とか刑罰など)を導入してもいいよね」という、絶好の口実を与えてしまったように思えるのです。

 しかし、「サイバー攻撃」の経験者(?)である私から見ると、まだ上記の「情報の窃盗行為」や「サイバーテロ」については、(もちろん深刻な社会問題ではありますが)それほど心配はしていませんでした。

 なぜかというと、対策(防御手段)がイメージできるからです。

 例えば、コンピュータウイルス付きのメールが送られてきても、そのウイルスの起動を防止する方法はあります。また、Webサーバの攻撃に対しては、攻撃パターンを検知する機能を具備することで、サーバダウンを回避する余地はたくさんあります。

 企業の技術情報が盗まれ、国家の施策が他国に知られたとしても、(莫大な不利益にはなりますが)それにより直接人が死ぬわけではなし、Webサーバを何度ダウンさせられようとも、その度に電源を入れなおして再起動すれば足りる

と、まあ、かなり楽観的に考えていたのです。

●制御システムへのサイバー攻撃

 ところが最近、この私の「楽観主義」を、軽々と打ち砕く事件が立て続けに発生しています。

「制御システムへのサイバー攻撃」です。【註3】

「制御システム」とは、「情報以外のものを動かす」システムで、鉄道、電力、上下水、交通、人工衛星、缶詰や自動車工場のライン、そして、防衛に関するシステムはすべて「制御システム」です。

 一方、「情報システム」とは、情報を取り扱うシステムであり、Webサービスなどの他に、株取引、スーパーマーケットのPOSシステム、銀行のATM、図書館貸出システムなどが該当します。

「制御システムへのサイバー攻撃」が、情報システムのそれと決定的に違う点は、人を死に至らしめる可能性が、格段に高いという点にあると考えています。

 一言で「制御システムへのサイバー攻撃」といっても、幾つかのレベルが考えられます。ここでは便宜的に、以下のとおり4段階のレベルに分けて考えてみたいと思います。

<レベル1:停止させる>

 制御システムの制御用サーバ等をダウンさせる。ただし、再起動すれば復旧する。制御システムが復旧する時間は数分?数時間のオーダと考えられる。

<レベル2:ソフトウェアを壊す>

 制御システムの制御用サーバのアプリケーション等を破壊する。再起動できない。制御システムのソフトウェアの作り直しが必要となり、復旧する時間は、数日から半年のオーダと考えられる。

<レベル3:乗っ取る>

 第三者が制御システムのコントロールを奪う。例えば、防衛システムに侵入した第三者が勝手にミサイルを発射する等(ハリウッド映画でよく登場するタイプ)が考えられる。

<レベル4:機器を壊す>

 第三者が制御システムの機器を破壊する。例えば、原子力発電システムにおいて、自動スクラム装置を事前に破壊しておく等が該当する。こうすることによって、いざという時でも、原子炉の暴走を止めることができなくなる。

 では、具体的な事例に当てはめてみましょう。

<例1:広範囲な領域でGPS電波をジャミング(妨害電波)する>

「停止させる(レベル1)」です。一時期、北朝鮮が韓国にジャミングを仕掛けたとの疑いで騒ぎになりました。この攻撃は、GPSの機能を使えなくするだけなので、妨害電波が消えればシステムは元の状態に普及します。

 ただし、GPSは色々なシステムに時刻情報を提供していますので、このジャミングが続くと結構な被害が発生します。カーナビはすべて利用不可能となり、航空機は滑走路から外れて管制塔に激突するかもしれません。基地局が機能しなくなり携帯電話は全面不通、時刻同期が取れなくなった製造ラインで自動停止機能が働いて、生産停止に追い込まれるかもしれません。

<例2:新幹線運行管理システムのアプリケーションを破壊する>

「ソフトウェアを壊す(レベル2)」です。バックアップシステムを再インストールしたとしても、ダイヤ調整なども考慮すれば、2〜3日は新幹線を止めることができるでしょう。また、バックアップシステムも完璧に壊せば、新幹線の営業を3カ月くらいは止めることができるかもしれません。

<例3:水道システムの殺菌用薬物の濃度を、1万倍程度まで上げる制御コマンドを送りこむ>

「乗っ取る(レベル3)」です。 水道システムを乗っ取り、水道水を飲料水として使えなくすることができます。市民の生活は事実上崩壊です。

<例4:配電システムに誤った電力供給要求値を入力して、変電所を過剰電力で破壊する>

「機器を壊す(レベル4)」です。変電所の変圧器を破壊し、大規模な停電や、または局地的な停電を発生させます。

 上記例1?4のサイバー攻撃を一斉同時に実施できれば、軍隊の派遣も、兵器の投入もなしに、1つの国を壊滅状態に陥れることができるでしょう。

 よって、未来の国家間の戦争の最終形態は、以下のようになるかもしれません。

「宣戦布告→インフラ制御システムへの攻撃を開始→終了」

 勝敗は、実質「3秒」くらいでケリがつくかもしれません。

 制御システム(の多分、原発システム)を乗っ取られた陣営(レベル3)が「負け」です。

 そして、制御盤の液晶パネルには、

「PROHIBITATION OF ANY OPERATIONS ON THE CONTROL PANEL.If you touch any switch on the panel, the control rod and its drive system software would be destroyed immediately.(制御盤への一切の操作を禁止する。スイッチを1つでも動かせば、その瞬間、制御棒の制御ソウトウェアを破壊する)」

と表示されるでしょう。

 昔は、制御システムへの侵入などは想定する必要がなかったのです。なぜなら、制御システムは専用装置の塊だったからです。制御システムに侵入するためには、1台約1000万円もする専用通信中継装置が必要となり、特殊な規格のネットワークをどこかから手に入れなければなりませんでした。

 そもそも、制御システムへ侵入するためのネットワークがありません。職業テロリストにテロを実施させる動機が働きませんし、そして正義感に溢れるテロリストには、大抵の場合、資金も技術力もありません。

●制御システムは、秋葉原で買えるもので構成?

 しかし、

・数千万円の装置が、3万円で購入可能なパソコンに置き換わり
・数百万円の専用通信ケーブルが、100円ショップで購入可能なLANケーブルに置き換わった

としたら、どうでしょうか?

 加えて、通信プロトコルが、その辺のパソコンショップや数分でネットワークからダウンロードできる、WindowsやらLinuxという汎用OSと同じものであるとしたら、「一発勝負してやろうか」と思う国やテロ組織、もしくは個人が登場しても不思議ではありません。

 現実に、今や我が国を支えるインフラ制御システムは、(程度の差はあるものの)実質的には、秋葉原で購入できるもので構成されていたりするのです。

 しかし、現実には、レベル1の「停止させる」や、レベル2の「ソフトウェアを破壊する」はともかくとして、レベル3以上の制御システムを「乗っ取る」「機器を壊す」ことは大変難しいと思います。

 なぜなら、そのシステムの制御を奪うためには、その制御システムとまったく同じシステム(テスト用システム)を作成して、それを使って攻撃方法を研究しなければならないからです。

 例えば、大飯原発を攻撃したいのであれば、大飯原発(のコントロールルームのシステムだけで良いですが)のシステムとまったく同じものをつくらなければならないからです。

 プログラムはもちろん、同じハードウェア、同じネットワーク、そして恐らく表示メッセージ(日本語)すらも、一致させなければならないでしょう。攻撃者に、このようなテスト用システムを数十億円のコストをかけてつくるメリットがあるかどうかが問題となります。

 また、本当にこれを実現するためには、システム開発に係わったエンジニアを100人オーダで誘拐しなければならないでしょう。

 加えて、日本の原発のシステムには外部接続がありませんので、ネットワークからの侵入はできません。保護系統のインターロックだけでも数十のプログラムが稼動しており、厳密なアクセス保護がされています。もし不正アクセスがあっても、直ちに監査部門によって発見されますので、インターネットなどを経由した外部からの侵入は絶対に不可能と考えて良いです。

 万が一、仮にシステムの「乗っ取り」に成功したとしても、原子炉を暴走させるような操作をしようとしても、原子力システムはそのようには動かせないようになっています。ヒューマンエラーに対しても多重の保護がなされているからです(ただ、スリーマイル島原発事故やチェルノブイリ原発事故の例を出されると、私としては困るのですが)。

 まあともあれ、ハリウッド映画で登場するような、制御システムのコントールを奪い合うようなサイバー戦争などは、所詮はフィクション、空想の産物。実際には、原発システムを含めて、制御システムを「乗っ取る(レベル3)」ことはもちろん、「機器を壊す(レベル4)」のようなサイバー攻撃など、まったく考える必要はないーー

と、思っていたのですよ。我々、制御システムのエンジニアたちは。

 Stuxnet(スタックスネット)が登場する、その日までは……。

(文=江端智一)

※後編はこちら
『国家最高セキュリティのウラン工場に、なぜウイルスが侵入?』

※本記事へのコメントは筆者・江端氏HP上の専用コーナーへお寄せください。