米国は、大統領選を標的にしたロシアによるサイバー攻撃について、ウラジーミル・プーチン大統領の指示によるものであったと公表した。

 米国は、どのようにしてプーチン大統領を特定することができたのであろうか。よほどの確証がなければ、外国の元首を名指しすることはできない。

 米国はネットワークを通じてロシアの関連機関または要人のコンピューターをハッキングして、「プーチン大統領の署名のある指示書」を窃取したのであろうか。あるいは相手組織に潜入したスパイが重要な「諜報」をもたらしたのであろうか。

 筆者は、今回の件は、最近注目されている「脅威インテリジェンス(Threat Intelligence)」の成果であると見ている。

脅威インテリジェンス

 事実、米国は「サイバー脅威インテリジェンス統合センター(Cyber Threat Intelligence Integration Center:CTIIC)」を設置するなど「脅威インテリジェンス」機能に係る体制整備を進めている。

 「脅威インテリジェンス」とは、サイバー脅威に対処するための計画作成の意思決定プロセスに不可欠な情報のことを言う。

(筆者注:米国の定義では、インテリジェンスは、インテリジェンス組織、インテリジェンス活動およびその活動により得られた情報を意味する。ここでは情報を意味している*1)

 そして、この「脅威インテリジェンス」は、インテリジェンス機関を含む関連政府機関が収集したサイバー脅威に係る情報を統合・分析して生成される。

 ちなみに、CTIICは、「外国のサイバー脅威に係る情報または米国の国益に影響を及ぼすサイバーインシデントに係る情報の融合されたオールソース分析の成果を(政策担当者に)提供する*2」ことに責任を有している。

 「脅威インテリジェンス」が登場し、重視される背景には、サイバー空間の攻防における攻撃側と防御側の間に生じている大きな格差が挙げられる。

 つまり、攻撃側は正体および企図を秘匿できるためリスクが極めて小さく、時間的・地理的な制約がない状態で安価かつ容易に攻撃できる。

*1= intelligence - The product resulting from the collection, processing, integration, evaluation, analysis, and interpretation of available information concerning foreign nations, hostile or potentially hostile forces or elements, or areas of actual or potential operations. The term is also applied to the activity which results in the product and to the organizations engaged in such activity.(Joint Publication 1-02 15June2015)

*2=The CTIIC shall provide integrated all-source analysis of intelligence related to foreign cyber threats or related to cyber incidents affecting U.S. national interests;(Presidential Memorandum Establishment of the Cyber Threat Intelligence Integration Center)

 一方、防御側は常続的な監視を強いられるとともに攻撃ウイルスが出現してからアンチウイルスソフトを開発するなど非常に高価かつ困難なものになる。すなわち攻撃側が圧倒的に有利であるというサイバー空間の特徴がある。

 それにより、おびただしいサイバー攻撃を単にネットワーク上で防止・阻止するのには能力的・資源的な限界があることが徐々に明らかになってきた。

 そこで、米国などは伝統的なインテリジェンス(筆者注:伝統的なインテリジェンスには謀略・諜報・宣伝などがあるが、ここでは諜報のことを意味している)をサイバー脅威に適用し、脅威認識を改善し、潜在的攻撃への対応力を強化しようとしているのである。

 日々高度化・複雑化するサイバー攻撃に対して適切かつ効果的に対応するためには「脅威インテリジェンス」機能の整備が必須である。

中国人5人を特定した米国

 既に、「脅威インテリジェンス」が成果を上げた事例がある。

 米司法省は、2014年5月19日、商業利益のために、米国の企業および労働者団体に対するサイバースパイ活動を行った5人の中国軍のハッカーを起訴した。5人の氏名のみならず顔写真も公表した。

 米国はなぜ、5人の中国軍人を特定することができたのか。

 サイバー攻撃は、インターネットという迷路のような環境で生起するために、実行者の追跡と特定が困難である。

 その中で最もシンプルな特定方法は、攻撃者のIPアドレスから攻撃元を絞り込む方法である。この技術はIPトレースバックと呼ばれる。

 しかし、完全なトレースバック技術をもってしても、組織またはハンドルネームに到達できても、個人に到達するとは不可能に近い。

 個人に到達するには、当該組織の発信・受信するすべての電子メールや音声通信を傍受するほか、当該建物に出入りするすべての者を監視する、または相手組織に潜入したスパイを活用するなどの伝統的なインテリジェンス活動を組み合わせなければ困難である。

 そして、2015年9月の米中首脳会談において、米国は、「脅威インテリジェンス」により把握した証拠を中国に突きつけることにより、米企業の知的財産をサイバー攻撃で窃取しないという合意を取りつけることに成功したと推測される。

 ところで、我が国の「脅威インテリジェンス」機能に係る体制はどの程度整備されているであろうか。

諜報活動を忌避してきた日本

 結論を言えば皆無である。なぜなら、我が国では戦後、諜報活動が禁忌されてきたからである。

 諜報活動とは、「相手国にスパイを派遣し、スパイ自らまたは相手国で勧誘した工作員を通じて、相手国の国家機密および軍事上の秘密、または先端技術などの企業秘密を不法に取得する活動(筆者作成)」である。

 我が国では海外において邦人がテロなどに巻き込まれるたびに、対外情報体制強化が議論されてきた(筆者注:諜報は対外情報機能に必須の要素である)。

 2005年に外務省に設置された「対外情報機能強化に関する懇談会」は、政府に英国の秘密情報機関(Secret Intelligence Service:SIS)(MI6とも言われる)のような「特殊な対外情報活動を行う固有の機関」の創設を提言している。

 インテリジェンスにはその運用を誤ると危険な側面もあるが、それでも各国の指導者はインテリジェンスの有用性を認め、インテリジェンス機関を国家の行政機能の1つとして保持している。そして、諜報活動を公然・非公然に行っていることは世界の常識である。

 政府は、「脅威インテリジェンス」機能に係る体制を強化するため、早急にMI6のような対外情報機関を創設すべきである。

 最後に付け加えるが、現下の不透明さ・不確実性が増す世界情勢に対応するためにも対外情報機能に係る体制の強化は、喫緊の課題であることは言うまでもない。

筆者:横山 恭三