【前編はこちら】画像は筆者提供
『鉄道も停止…数万円、3秒で国を滅ぼすサイバー攻撃は可能?』
Stuxnet(スタックスネット)とは、2010年に存在が確認されたコンピュータウイルスの一種です。このスタックスネットの存在は、当時、制御システムのエンジニアたちの間では、暗黙的に秘匿されていました。
「ここだけの話だけど」という切り口で、私が最初に教えてもらったのは、海外で働いている同僚からでした。
話を聞いて、私も驚愕しました。
スタックスネットは、イランにあるウラン濃縮工場に設置された遠心分離機の「物理的破壊」に成功した、というのです。
どういうことかというと、いきなり前回ご説明したサイバーテロのレベル3を飛び越えて、レベル4の制御システムの「機器を壊す」ことに成功したということです。
しかし、ウラン濃縮工場という国家の最高機密の制御システムであって、考えうる最高ランクのセキュリティで守られているであろうはずの独立システムに、このような「破壊プログラム」をどうやって侵入させることに成功したのか?
「USBメモリ」で侵入させたのです。
制御システムは、セキュリティ上の問題からネットワーク(制御LANを除く)につながないことが常識です。そこで、制御のログや設定情報を、制御機器にコピーして使うために、USBメモリが使われることになります。
詳細な情報がないので、次の(1)〜(3)については想像になりますが、
(1)この攻撃を仕掛けた組織または国(だいたい予想できますが)が、イランのウラン濃縮工場で働いているエンジニアをターゲットとします。
(2)彼らエンジニアの日常アクセスするWebサイトを監視し、彼らが“ダウンロードしたくなるような”コンテンツを用意して、まず自宅のPCにコンピュータウイルスを感染させます。
(3)あとは、彼らが仕事で使っているUSBを自宅のPCで使ってくれるのを待てばよいのです。もちろん、業務用USBメモリを自宅で使用するのはルール違反でしょうが、エンジニアが100人もいれば、1人くらいはそのようなことをしてしまう者がいるはずです。
このような経緯を経て、スタックスネットはインターネット→USBメモリ→制御システムに侵入を果たしたと思われます。
そして、このコンピュータウイルスの本当に怖いところは、
「制御システムを稼動させ続ける」
という点です。しかも、誰にも気がつかれないように、システムを狂わせるのだけなのです。
具体的には、遠心分離機の制御プログラムを書き換えたのです。どのようなプログラムに書き換えたのかを、遠心分離機を洗濯機の脱水槽に見立てて説明しますと、
・脱水機の回転数を限界まで上げて、回転数をいきなり下げる
・これを繰り返して、異常振動を発生させる
という動作をさせるようにして、
・異常振動で、脱水機の回転軸を金属疲労させて
・回転軸を「へし折る」
という感じです。
このコンピュータウイルスのすごい点は、制御コンピュータに一切の被害を与えることなく、「制御される機械だけを原因不明の故障に追いやる」ということです。イラクが、高価な遠心分離機の新品を再度購入して交換したとしても、コンピュータウイルスに汚染されたプログラムは、何度でもその遠心分離機を破壊し続けるのです。
ところで、このスタックスネットというコンピュータウイルスソフトをつくるためには、イランの各施設に納品されたものと同じ「遠心分離機」が、攻撃者の手元にもあったはずです。なぜなら、「遠心分離機」がなければ、コンピュータウイルスソフトの開発、デバッグ(不具合の洗い出し)、そしてテストを行うことができないからです。
そして、こんなことができる「者」は、当然に限られてきます。
「遠心分離機」をつくった会社自身か、またはその「遠心分離機」をなんらかのルートで入手でき、それを使って実験ができる組織。しかも、潤沢な資金と人材を集められる国家レベルの組織だけです。
ここからは、ちょっと陰謀論めいた話になりますが、日本の古いタイプの原子力発電所施設は、米国から購入したものが多いです。例えば、福島原発は米国General Electric社のマークT型です。その原子炉の設計図は、米国政府も持っていると考えるべきです。
つまり、米国政府はその気になれば、日本を核ミサイルなしで「核」攻撃できるだけの手札を持っているとも考えられるわけです(ここで陰謀論は終わりです)。
スタックスネットの登場によって、「いかなるサイバー攻撃も、ソフトウェアは破壊できても、ハードウェアを破壊することはできない」という制御システムの常識は、完璧に覆されました。
また、「コンピュータウイルスは、ネットワークがあろうがなかろうが、そこに人間が介在すれば必ず侵入を果たす」という、リアルな現実を突き付けてきました。
エンジニアたちにUSBの利用を禁止したところで、本質的な解決にはなりません。なぜなら、コンピュータウイルスは、個人が有しているスマホの無線通信によっても侵入を果たすでしょうし、銀行のATMカードや、非接触型ICカード方式の定期券(Suica、ICOCA等)から侵入することも、原理的には可能であるからです。
制御システムを使う人間がいる限り、その人間はコンピュータウイルスのキャリア(運び屋)となってしまうのです。
今後の世界は、従来の武力による戦争に加えて、コンピュータネットワークを介して相手国の社会インフラを破壊して甚大な被害を与える、戦略的かつ総合的な「サイバー攻撃」が行われることになるだろうと思います。
こうなると、「サイバー攻撃」が「サイバー戦争」という概念にまで到達することは、それほど難しいことではありません。すでに、(戦争という概念に含まれるかどうかは、さておき)、キルギス、ロシア、グルジア、中国、北朝鮮、その他で、サイバー攻撃が行なわれていた蓋然性が高いことが示唆されています【註1】。
我が国においても他国からのWebの改ざん等は日常茶飯事に行われていますし、近い未来、規模の大小こそあれ、社会インフラ(電気、水道、ガス等)を狙った攻撃がされることは間違いないでしょう。
では、本連載の最後のテーマとして、「サイバー戦争と日本国憲法第9条」について考えてみたいと思います。
なお、「憲法と自衛隊の関係」「国際条約との関係」や「集団的自衛権」については、バッサリと省略して、純粋に文言解釈のみで考えるものとします。また、サイバー「攻撃」に対して、我が国がそのサイバー「防衛」を行うことは当然の権利でしょうから、サイバー世界の防衛権の存否についても、議論しません。
<日本国憲法第九条>
第一項 日本国民は、正義と秩序を基調とする国際平和を誠実に希求し、国権の発動たる戦争と、武力による威嚇又は武力の行使は、国際紛争を解決する手段としては、永久にこれを放棄する。
第二項 前項の目的を達するため、陸海空軍その他の戦力は、これを保持しない。国の交戦権は、これを認めない。
もう、突っ込みどころ満載です。
(1)そもそも、サイバー攻撃は「戦争」または「武力」と認定できるだろうか?
(2)サイバー攻撃を行う/行われる前提としての「国際紛争」とは、どのような状態をいうのだろうか?
(3)「戦争」とした場合、相手国を認定しなければできないが、「サイバー攻撃」を仕掛ける国が「宣戦布告」をすることになるのだろうか? 仮に宣戦布告をしたとして、それは国際法上の戦争開始として認められるだろうか?
(4)攻撃先(日本)のサーバが、紛争国とまったく関係のない国のサーバ経由で攻撃を仕掛けられた場合は、我が国はどの国と交戦していることになるのか? そもそも、交戦国をどのような手段で判定すればよいのか?
(5)攻撃元のサーバに対して、逆クラック攻撃をかけることは、我が国の防衛の基本的な考え方である「専守防衛」に反することにならないか。
(6)我が国がサイバー軍備を保持する、または保持していたとした場合、「陸海空軍その他の戦力」の「どれ」に当たるのか? あるいは、どれにも当たらないのか? 当たらないとすれば、サイバー軍備は、憲法第9条の対象外なのか?
(7)さらに突っ込んで言えば、サイバー攻撃がいずれの戦力にも該当しないと(例えば司法等によって)判断されれば、我が国は憲法第9条に拘束されることなく、他国の社会インフラを壊滅させ得るような、徹底的なサイバー攻撃が可能となるのか?
(8)サイバー戦争における「交戦権」とは、どういう概念で捉えればよいのか?
などなど。
法律の解釈は、時代や技術と共に変化していくものとはいえ、「サイバー戦争」の概念を法律に取り込むことは、かなりタフな仕事になりそうです。
これは、私には少々荷が重すぎる仕事です。残念ですが、専門の方にお任せするしかないように思います。
最後に、今回の内容をまとめます。
(1)サイバー攻撃は、かつての個人的な「自己顕示欲」から、組織的な「情報の窃盗」や「テロリズム」に変わってしまった。
(2)制御システムへの「サイバー攻撃」は、ついに制御装置の破壊を可能とするレベルにまで達してしまった。
(3)情報システムへの攻撃から制御システムへの攻撃に移行しつつあり、その「サイバー攻撃」は、「サイバー戦争」という概念に至り得る。
(4)「サイバー戦争」に対する、憲法第9条を含む新しい法整備が焦眉の急である。
では、本日はこれにて失礼致します。
(文=江端智一)
※本記事へのコメントは、筆者・江端氏HP上の専用コーナーへお寄せください。
<参考文献>
【註1】「ネット上の危機管理と安全保障」(電気学会論文誌C,Vol131 No2.2011)