ウクライナ戦争後に一段と拡大したサイバー攻撃。主役はパソコンからスマートフォンに移りつつある。写真はiPhoneのロックダウンモード(写真・ZUMA Press Wire/共同通信イメージズ)

想定外の事態への備えが安全保障の要であるとすれば、ロシアによるウクライナ侵略は、「想定されない事態」であったといえるだろう。なぜなら一度(ひとたび)、安全保障上の危機が勃発するや、国民一人ひとりが所有するスマートフォンがサイバー戦の最前線に置かれることが明らかになったからだ。それが現実のものとなった今、われわれは進行中の事態を教訓として、備えを固めなければならない。

今年2月24日に開始されたロシアのウクライナ侵略に伴い、時を同じくして、日本国内のインターネット上のウェブサイトに対して最大25倍ものサイバー攻撃が検知された。

とりわけ今年2月以降、「エモテット」(Emotet)と呼ばれるマルウェア(悪意のあるソフトウェア)が検知される事例が爆発的に増加した。2021年11月には約500台だった検知数は、2022年2月に約1万9000台へと急拡大している。

エモテットは、端末などから情報を抜き取り、それらが悪用されて不正アクセスが行われるなどの広範な被害をもたらす。不幸中の幸いにして、エモテットは、OS(基本ソフト)がMicrosoft Windowsのパソコンのみで動作する仕様であったため、スマートフォンへの被害は免れているが、国会議員など政策決定者が利用するサーバも攻撃に遭い、近時も猛威を振るっている。ロシアのウクライナ侵略は、対岸の火事ではなく、すでにその影響は、サイバー攻撃という形で日本にも及んでいる。

パソコンに代わってスマホが悪用されるリスクが増大

スマートフォンが、このような攻撃の標的にされたらどうなるのか。情報漏洩の中でも、例えば位置情報の漏洩は標的端末の保持者の所在が判明するのみならず、その者へのピンポイントの物理的攻撃を可能にするなど、平時のみならず、戦時における利用価値は高い。その危険性は、強調してもしすぎることはない。

サイバー攻撃は、ハイブリッド戦における「定石」だが、当事国間における状況は、より深刻だ。ロシアのウクライナ侵略が開始された4日後の2月28日、フェイスブックとインスタグラムの親会社であるアメリカのメタ・プラットフォーム社は、親露派のハッカーグループがフェイスブックを利用し、ウクライナ軍高官や政治家、ジャーナリストを含む著名人を標的にしていたことを明らかにした。

また、これまで多用されてきたサイバー攻撃に、複数のコンピューターを踏み台とし、そこから大量のデータを送りつけるなどして、攻撃対象のサーバーに過剰な負担をかけ、機能を止めてしまうDoS(サービス妨害)攻撃やDDoS攻撃(分散型サービス妨害)がある。その踏み台として、スマートフォンが使われる事例も増加しており、すでにそれを可能とする300本を超える不正アプリが確認されている。

DoS攻撃に関する不正アプリの仕様は、極めて巧妙だ。例えば、「ロシアのインフラに対してDoS攻撃ができる」と、親ロシア派のサイバー攻撃集団がアゾフ連隊(ウクライナの軍事組織)になりすまして配布したスマートフォンアプリがある。これは、実際にはほとんど効果のない攻撃を行うのみで、実はこのアプリをダウンロードした人を特定することで自国への攻撃を意図する人物の情報をロシアが収集していた可能性が指摘されている。

また、親ウクライナ派の開発者による「StopWar」という、実際にDoS攻撃が可能なアプリも発見されている。スマートフォンアプリは、現実に戦争の手段として利用されているのだ。

スマホがサイバー攻撃に悪用される複数の方法

スマートフォンが大規模なサイバー攻撃の手段として使われるには複数の形態がある。第1に、アプリストア内外から不正アプリを忍び込ませることだ。したがって、アップルなどのOSプロバイダー(プラットフォーマー)に依存せず、スマートフォンへの第三者経由によるアプリの自由なダウンロードを認める「サイドローディング」を義務化することは、わが国の安全保障を自らの手で危うくすることに等しい。

もう1つの攻撃方法がウェブアプリを活用した攻撃だ。ウェブアプリは、スマートフォンにダウンロードして利用されなければ使用できないアプリ(ネイティブアプリ)と異なり、ウェブサーバー側に蔵置されて、それをスマートフォンのブラウザで閲覧・利用するものである。ブラウザ版のTikTokなどはウェブアプリの一例だ。

デジタル市場競争本部が今年6月に発表した「モバイル・エコシステムに関する競争評価の中間報告」では、先述のサイドローディングを認めることのみならず、スマートフォンのあらゆる機能をオープンにするべきであるとの方向性が前提とされている。ネイティブアプリに加えて、ウェブアプリが動作する多様なブラウザによるスマートフォンのOSの機能へのアクセスの拡大やブラウザエンジン(ソースコードからウェブアプリに変換するソフトウェア)の自由化についても要請されている。

もし、このようにありとあらゆる自由化の方向が現実のものとなれば、アプリストアへのサイドローディングを認めることと同様、スマートフォンの脆弱性が悪用されるリスクを著しく高める結果となることは確実だ。 

現在、ネイティブアプリは、基本OSプロバイダーが事前に安全性をチェックして認められたアプリのみが使用可能になっているが、ウェブアプリのセキュリティはウェブアプリそのものや、それを表示するブラウザやブラウザエンジンの安全性に依拠している。

現状、スマートフォンにおいてもブラウザエンジンやブラウザなどの脆弱性を悪用した、いわゆる「ゼロデイ攻撃」などが発生している。ゼロデイ攻撃は、修正ソフト(パッチ)が提供される前にその脆弱性を突いて、不正なコードなどを標的の端末に送り込み、動作させるもので、有効な防御手立てがなく、攻撃者によって端末が制御されてしまうリスクがある。

サイバーセキュリティの現状は深刻だ。実際、あるブラウザの脆弱性が悪用され、悪意あるウェブアプリへアクセスするだけで、スマートフォン端末のコントロールを奪取することが可能であった。さらに悪いことに、ネイティブアプリと異なり、世の中に数多くある悪意あるウェブアプリをOSプロバイダーが網羅的にチェックすることは不可能だ。

スマホのセキュリティ確保と政府の取るべき行動

こうした状況を勘案すれば、ネイティブアプリのスマホへのローディングの事前チェックはもとより、ウェブアプリを活用した攻撃に備えるためには、ブラウザやブラウザエンジンのセキュリティを確保することが重要となる。

スマートフォンにおけるセキュリティの確保では、脆弱性をできる限り抑えることが必須であり、この点はいささかも緩和されるべきではない。中国政府が2021年9月に施行した中国データセキュリティ法(数据安全法)では、企業がセキュリティ上の脆弱性を公表する前に当局に報告することが義務づけられたという。サイバーの世界では、システムの脆弱性を突くことは強力な武器となる。スマートフォンのセキュリティ確保をアプリ提供側の自由に委ねることは国民の安全を守るべき政府の責任ある行動とは言いがたい。

(北村 滋 : 前国家安全保障局長)