*写真はイメージです


(山田敏弘:国際ジャーナリスト)

 日本へのサイバー攻撃が次々と明らかになっている。

 三菱電機は1月20日、三菱電機がサイバー攻撃を受けていたことを認め、「当社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があることを確認している」と発表した。三菱電機からは、近年の新卒採用応募者と経験者採用応募者の個人情報1987人分が漏れ、三菱電機従業員4566人分と関係会社の退職者のものが1569人分の情報が中国系のハッカーらによって盗まれた。

 合計8122人分が漏れたわけだが、これは人材をリクルートしたい中国政府系ハッカーによるスパイ工作だと考えていい。中国は今、習近平国家主席が中国を「世界の工場」から「技術国家」にするべく2015年に掲げた「中国製造2025」で、先端技術の開発やそのサポートを担える人材を必死で探している。韓国や台湾ではその動きが顕著で、カネにモノを言わせるなど強引なリクルートが現地では問題にもなっている。

[JBpressの今日の記事(トップページ)へ]

三菱電機に続きNECでも被害が明らかに

 最近出版した拙著『サイバー戦争の今』(ベスト新書)では、そうした日本を襲うサイバー攻撃の実態をリポートしているが、筆者はこうした攻撃は氷山の一角に過ぎないと再三警告してきた。

 そんな最中、今度はNEC(日本電気)がサイバー攻撃に遭った。NHKによれば、「およそ2万8000件のファイルが流出した可能性がある」という。NECは「情報流出などの被害は確認されていない」と語っているが、一方で「潜水艦用センサーの情報といった自衛隊装備の資料も含まれていた」とも報じられている。攻撃者は、三菱電機のケース同様、中国系サイバー集団とみていいだろう。

(参照記事)https://www3.nhk.or.jp/news/html/20200130/k10012266431000.html

 しかし、国外の諜報機関関係者やサイバーセキュリティ関係者らへの取材で、筆者はサイバー攻撃を受け、情報を盗まれているいくつもの日本の大手企業の名前を何度も耳にしている。その中には、NECの名前もあったし、ほか日本を代表するような大手企業やメディアなどもあった。技術力が高く、優秀な人材がいる日本は、過去何十年も中国や北朝鮮、韓国などからのサイバー攻撃にさらされてきた、というのが現実だ。

レーダー照射事件後は韓国からサイバー攻撃

 日本が狙われたサイバー攻撃は、公表されているものを見ても、2011年に三菱重工業の潜水艦や原子力発電施設、ミサイルなどの研究・製造拠点が標的型攻撃でマルウェアに感染したケースは大きな話題になった。それ以降も、衆参両議院のコンピューターがサイバー攻撃を受けて情報を盗まれたケースもあったし、2014年には、福井県にある高速増殖原型炉もんじゅの中央制御室に設置されたパソコンがサイバー攻撃でマルウェアに感染、ネットワーク上にあるパソコンが不正にアクセスされていたことも判明している。

 そして実は、このように公表された被害以外にも、数多くのサイバー攻撃の事実がある。筆者が取材で得た情報では、例えば2018年に日本と韓国がレーダー照射事件で揉めたときは、日本の「レーダー技術に関わる企業」が韓国から激しい攻撃を受けている。また日本企業が世界と伍しているハイテク分野の「とあるシステム」が、丸ごと盗まれているという話も得ている。

 こうした現実は、他国でも変わらない。同じようにどの国も、ライバルや敵対する国からサイバー攻撃を受け、政府や軍からは機密情報が盗まれ、民間企業からは知的財産などが奪われている。

 こうした事態に、私たちはどう対処すべきか。2つの提案をしたい。

被害を隠したがる企業

 1つは、サイバー攻撃を受けた企業や機関が情報を開示することである。三菱電機は、朝日新聞がサイバー攻撃による情報漏れを報じる前に、「関係機関に報告していた」と発表している。たしかに、その関係機関である防衛装備庁や経産省、個人情報保護委員会、さらには「日本のサイバーセキュリティの司令塔」と呼ばれることもあるNISC(内閣サイバーセキュリティセンター)にも情報は上がっていたのだろうが、これらの組織は情報を開示することはなかった。

 だがそれを一般に公開しなければ、皆がそうした脅威に備えることはできない。例えば中国の武漢で新型コロナウイルスが発生して大問題になっているが、公衆衛生の観点から、世の中にどんな「感染病」が流行っているのかを知らされなければ、大衆は何の対策もできない。さらに政府や当局も、対策のための政策を作ることもできない。情報がすべてなのである。

 サイバー分野も同じだ。国内でどんなサイバー攻撃が行われ、どんなコンピューター「ウイルス」が流行しているのかが知らされなければ民間企業なども対策はできない。一部の組織や企業だけで情報を共有するのは不誠実である。

 企業も、株価や信用問題などがからんで、サイバー攻撃を受けたことを公表や報告したがらない。

 現在、内閣官房で報告義務を法制化しようとする動きがあると聞いている。これは一刻も早く実現すべきである。その上で、三菱電機のケースのようにただ報告だけして、それが外部に公開されないのでは意味がないので、いつ、誰が、どんなサイバー攻撃を受け、どんな被害を出したのかを明らかにすべきなのだ。被害に遭ったのが防衛産業であっても金融関連企業であっても、インフラ企業であっても関係ない。そうした情報を公開することで、皆で情報を共有し、対策をオープンに議論する。それが攻撃者に対する抑止力にも繋がるはずだ。

サイバー防衛が十分機能しない法制度

 もう1つの提案は、法整備だ。日本では現在、捜査機関であっても、国外からのサイバー攻撃の犯人を突き止めるために必要な、国外のサーバーへのアクセスが禁じられている。不正アクセス禁止法があるからだ。もしも国民の生命・財産を危機に陥れるインフラを破壊するようなサイバー攻撃が起きた場合、日本は個別的自衛権で反撃することもできなくはないはずだ。だが、国外のサーバーなどにアクセスできなければ、「反撃」を決断できるほどの確度で、攻撃者を突き止めることはまず出来ない。攻撃してくる相手を突き止められないのだ。

 また国際的には、積極的なサイバー防衛として、よく攻撃に使われる敵国のサーバーに工作したりサイバー攻撃を仕掛けたりということが行われている。日本はそれもできない。

 さらに、サイバーセキュリティ分野で最近注目されている「脅威インテリジェンス」も自前で実施できない。脅威インテリジェンスとは、平時から世界中のハッカーたちが巣食っているダーク(闇)ウェブや、アプリのグループなどに自動プログラムを送り込んで、徹底監視することで、世界中のハッカーたちがどんな標的を話題にし、どんな情報や攻撃ツールをやりとりしているのかなどを分析するという手法だ。これが有効なサイバー攻撃対策になっている。


 だが日本では刑法の中にウイルス作成罪についての規定があるので、そうした自動プログラムは作れない。自動プログラムを作って情報を集めるのは、刑法の罪を犯しての捜査になる。結局、警察当局ですら、国外企業を雇ってそうした情報を手に入れるしかない状況なのだ。こうした法律の壁を越えなければ、有効なサイバー攻撃対策はできない。

 さらに自衛権を行使して反撃するための能力も必要になるが、それは憲法9条や武力行使の定義など、また別の問題になっていく。それについては改めて、JBpressでも議論したいと思う。

 最近大きな事件が2つ表面化したが、こうした被害はさらに出てくるだろう。

 ある専門家は、日本の現状についてこう述べる。

「大規模なサイバー攻撃が日本を襲うなどしないことには、この国の目は覚めないでしょう」

 それも一理あるかもしれない。そんなことでもなければ、サイバーセキュリティについて本格的な議論は進まないのかもしれない。

 今はまず、攻撃が起きている現実を認め、情報を公開し、対策や法整備を行うための機運を高めていく必要がある。

筆者:山田 敏弘