前線も後方もないサイバー戦の真実とは。『サイバー戦争 終末のシナリオ』小泉悠×小宮山功一朗 トークイベント
2022年8月発売の単行本『サイバー戦争 終末のシナリオ』(ニコール・パーロース著、江口泰子訳、岡嶋裕史監訳、早川書房)の刊行を記念し、本書に解説を書き下ろしていただいた小泉悠氏と、サイバーセキュリティと安全保障に詳しい小宮山功一朗氏によるオンライントークイベントを10月7日に開催しました。
サイバー空間に注目することで見えてくる、変わりゆく安全保障戦略と世界の行方とは。気鋭の研究者二人が1時間半にわたり語り尽くした当日のトークの内容の一部を掲載します!(文中敬称略)
『サイバー戦争 終末のシナリオ』、私はこう読んだ
小泉悠(以下、小泉)私自身の専門はロシアの軍事です。ただ2000年代からロシアがサイバー戦を強化したため、ロシアの安全保障を扱う以上サイバーの話をしなければいけない感じになってきました。IT技術のことも一応押さえておかなければいけない。
ところがサイバー戦の本って、概括的なことばかり書いてあるか、完全にテクニカルな話になっているか、あるいはいわゆる「サイバーパールハーバー」みたいな、「サイバー攻撃でアメリカじゅうのインフラがダウンして大変なことになるんだ」的な話とか。どれもいまいち僕にとってはピンとこない。
実際にサイバー戦ってどういう連中がやっているんだろう、とか、そういうことがどうも掴みきれないなと思っていたところ、この本(『サイバー戦争 終末のシナリオ』)を読んでみると、ああそうか、つまりこういうやつらなのかと。ゼロデイ(後述)を見つけて商売にしている連中がいて、それを逆にアメリカのサイバー防衛機関が利用している。だけどそこから思わぬ綻びが広がっているという。なるほどそういう世界なのか、という手触りが初めて分かったという印象です。
小宮山功一朗(以下、小宮山)僕は小泉さんとはキャリアが対照的というか、全く逆の方から来ていまして。コンピューターとかサイバーセキュリティにそもそも関心があって、そういう技術が楽しいなと思って入ってきたら、いつの間にかサイバーセキュリティは国家安全保障と密接にかかわるようになってきた。そこで最初はあまり関心のなかった安全保障を後付けで学び始めたんです。
この本の中に、色々なハッカーが集まる会議の描写があるんですけど、それは自分が実際に出ていた会議だったりして。ジャーナリストから我々を見るとこういうふうに見えるんだなって分かって面白かったですし、ちょっと居心地の悪さみたいなものを感じました。鳥がバードウォッチングの本を読んでるみたいな(笑)。
サイバー戦争の本は本当にすごく多いのですが、その中でこの本の特徴は、過去20年ぐらいのサイバーセキュリティの大きなインシデント(事象)が網羅的に全部書かれているんですよね。なので読者の方は上下巻を全部読むと、サイバーセキュリティの大きな流れが理解できる。これはこの本の大きな一つの特徴だと思います。
小泉)著者のパーロース(ニューヨーク・タイムズ紙記者)は、本人も言ってますけど、最初は全然サイバーのことを知らなくて、君今度はサイバー戦を担当してね、って上司に言われて「えー」ってなる、しかも途中で妊娠してお腹に子供を抱えながら取材をして、サイバー戦の実態に迫っていく。
最初は全く分からないから、ハッカーにいきなり「ゼロデイ市場って何?」って聞いて、「言えるわけねえだろ」みたいに塩対応されるところから入っていく。
小宮山)「サイバー戦争」ってタイトルがついているんですけど、書かれていることの多くは国家対国家というよりも、例えばAppleとFBI、MicrosoftとNSA、Googleと中国政府の対決であったりして、民間企業やビジネス関係の人も数多く登場するんですよね。で、そういう人たちからすると、ジャーナリストは邪魔だよな、とか。そのあたりの感覚はよく分かるので、すごく楽しく読めました。
数千万円~億単位で取引される「ゼロデイ」
小宮山)「ゼロデイ脆弱性」というのは、まだ修正されていない脆弱性。つまり普通はMicrosoftやAppleがすぐ直して、皆さんもご存知の「アップデート」という通知が来て、それで修正することができる。ところがゼロデイは、まだ修正プログラムがない。
昔はゼロデイを見つけたら、その商品を作っている会社から焼肉をおごってもらえたり、Tシャツを景品としてもらえたりしたんです。それが 2010年代の初めぐらいに10〜20万円で取引される時代が始まり、今や1億円とか、少なくとも数千万円にはなるっていうふうに言われています。
小泉)日本には、ゼロデイを見つけて荒稼ぎをしているホワイトハッカーみたいな方はいるんですか。
小宮山)日本にも、ゼロデイ脆弱性を見つけられるぐらい高度な技術を持った人がいっぱいいます。例えば脆弱性を見つけた後Microsoftにそれを教えて1000万円とか稼ぐような技術者は結構います。
地方にいらっしゃったりするんですよね。地方の環境のいい、生活費も安いところでゼロデイを見つけながら暮らすとか。
前線も後方もないのがサイバー戦争の本質
小泉)この本を読んで思ったのは、サイバー兵器はちょっと生物兵器に近いんじゃないですかね。使ったら次にどこに流れていくか分からない、その制御不可能な部分とか。
しかもその流れて行った先でいろんなハッカーたちがさらに手を加えて、勝手に改変されていくわけじゃないですか。この本の最後の方でも、アメリカのNSAが大事に取っておいたゼロデイとかマルウェアが他国に流れていって、結局今アメリカに牙をむいているのが分かる。
小宮山さんがご覧になって、日本にとって今こういう奴らにこんなことされるとヤバい、みたいなものはありますか。
小宮山)そうですね。今一番サイバー攻撃の危機に瀕しているのは、実は小泉さんたちなんですよ(笑)。どういうことかというと、大企業とか外務省、経産省、内閣官房、そういうところはちゃんとした人がちゃんとしたセキュリティ対策をして、ある程度基本的なことはできているんです。そこは向こうも分かっているので、たとえば日本の核抑止戦略を知りたいと思ったら、実は外務省や防衛省をハックしなくても、それに詳しい学者のコンピューターでメールを盗めばいいんだろう、っていうふうに思われている。
小泉)実は我々自身がセキュリティホールであったりするんですね。
小宮山)もう、小泉さんのパソコン、一度見せてほしいですね(笑)。
小泉)つまりサイバー戦争って、はっきりと「これから戦争です」と言ってミサイルが飛んでくるような戦争ではない。メシを食って仕事に行って、という我々の普通の日常の中で、小さな攻撃が繰り広げられたり小さな包囲戦が行われたりしている。始まりも終わりもないし、前線も後方もない。戦闘員も非戦闘員も区別がはっきりしない。そういう戦争なのかなと思います。
で、それと並行して、偽情報が流されるのに対してファクトチェックをするとか。そういう意味では僕なんかもその戦争の戦闘員の一部なのかもしれない。
ロシアのサイバー戦の「本当の実力」は
小泉)一方で今回のウクライナ戦争ってめちゃくちゃ古臭い戦争ですよね。橋を取り合うとか村落を取り合うとか。まだこんな戦争やってるのかって思うんだけど。
物理的な危害を加えて相手を黙らせる、あるいはそういうことを脅しにして何かを強要するという古いクラウゼヴィッツ的な戦争の周りに、サイバー戦や情報戦争というスペクトラムが広がっている。そういうイメージを僕は持っているんですよ。
小宮山さんはウクライナ戦争でのサイバー戦に関してどこに注目されていますか。
小宮山)まだ本当にわからないことが多いんですよね。西側がウクライナにどれだけインテリジェンスを渡して支援しているのか、あるいは衛星を使って前線の戦闘を支援しているのか。そういう情報が今のところ全て隠されているんです。これが2〜3年後くらいに出てくると、たぶん西側、特に米軍がかなりサイバー兵器を使ってウクライナ軍を支援していたという結論になるんじゃないかと予想します。
小泉)ロシアのサイバー攻撃が当初言われたほど大規模にならなかった気がしますよね。2015〜2016年にあったような、会計システムや電力グリッドを攻撃してダウンさせちゃうみたいな、そういう大規模なサイバー戦をやってないんですよ。
最初は、ウクライナはほぼ無血占領できると思っていたから、国民生活に影響を及ぼすようなことはしないのかなと思っていたんですけど。でもこれだけ負けが込んできているにもかかわらずやっていない。ウクライナの金融システムも、電力も、政府のシステムも健全に動いているわけですよ。
これ、ロシアがやらないってことはない気がしていて。やっぱりアメリカが逆にサイバー防衛支援をやっているのか。
小宮山)ただサイバーの特質として、攻撃するのは楽なんですけど、飛んでくる弾を避けたり防御したりするのはとても難しい。もちろん米軍がすごく高度な技術を持っている可能性がなくもないですけど。
やっぱりロシアっていう国のサイバー攻撃能力は、世界の第一線にはもうないんですよね。
アメリカと中国という飛び抜けた国があって、その下ぐらいにイギリスとかが位置しているんですけど、そこからだいぶ下がったところにロシアがいるんだと思うんです。
経済制裁とかいろんなことがあって、ロシアには優秀な技術者が残りづらいんですよね。だからそもそもロシアとウクライナのサイバー空間における応酬は、世界最高レベルのものではない気もします。
私たち一人ひとりにできる「サイバー防衛」とは
小泉)やっぱり小宮山さんのお話を聞いたり、この本を読んだりすると、要するに、テクノロジーを使っているのは結局人間なので、その人間の部分を見ることがどんな新しい分野のセキュリティにおいても大事なんだろうと思いましたね。AIとか量子コンピューティングとか、セキュリティの世界でもいろいろ新しいものが出てきますけど、たぶんそのテクノロジーの部分だけをフェティシズム的に追っていってもよく分からないだろうなと改めて感じました。
小宮山)あと皆さんにお伝えしたいのは、こういうサイバー戦争の話をすると、最先端のサイバー攻撃はすごく高度なので、我々が何をしてもダメなんじゃないかという無力感にとらわれる瞬間があるんですね。僕自身もそうなんですけど。ただやっぱり足元でやらなければいけないことを皆さんにはぜひやっておいてほしいですね。Windowsアップデートとか、iPhoneだったらソフトアップデートをちゃんとやる。パスコードのロックとか認証とかも億劫がらずに行う。それだけで日本全体のサイバーセキュリティの安全度が確実に変わるので。小泉さんも気をつけてください(笑)。よろしくお願いします。
小泉)サイバー兵器は生物兵器っぽいという話とつながるかもしれませんが、サイバー対策ってコロナ対策みたいですよね。基本をしっかりやるだけでずいぶん違う。みんな手を洗うのと同じということですね。
本書のご購入は▶こちらから!
【登壇者プロフィール】
小泉悠氏(東京大学先端科学技術研究センター専任講師)
専門分野はロシアの軍事・安全保障。ロシアによるウクライナ侵攻後、的確な情報分析と分かりやすい解説でメディアへの出演多数。著書に『「帝国」ロシアの地政学』(サントリー学芸賞〔社会・風俗部門〕受賞)、『現代ロシアの軍事戦略』など。
小宮山功一朗氏(慶應義塾大学グローバルリサーチインスティテュート客員所員)
専門分野はサイバーセキュリティとグローバル・ガバナンス。2006年より一般社団法人JPCERTコーディネーションセンターで、国際的なサイバーセキュリティインシデントへの対応と調整業務にあたる。