「サイバー攻撃」という言葉を最近、よく耳にするようになった。9日、ロンドンの記者クラブ、フロントライン・クラブで、この点を専門家らが議論するイベントが開かれた。「ネットは21世紀の戦場になったか?」と題されたイベントの様子を紹介したい。(ロンドン=小林恭子)
以下は、このイベントで筆者がメモッた内容である。動画は、近日、フロントラインクラブのサイトで公開される予定である。
http://frontlineclub.com/events/2011/02/will-the-internet-be-the-battleground-of-the-21st-century.html
サイバー攻撃、あるいは「サイバー戦争」にご関心のある方は、パネリストの紹介の中にあるレポートをダウンロードしてみていただきたい。
***
パネリストとして参加したのは:
ケンブリッジ大学ウオルフソン・カレッジでサイバー・セキュリティーを研究するレックス・ヒューズ博士。
ロンドン・スクール・オブ・エコノミックス(LSE)の経営学部情報システム・インテグリティー・グループの客員教授ピーター・ソマー。OECDが出した、「組織的なサイバーセキュリティー・リスクの減少」報告書の著者の一人。http://www.oecd.org/dataoecd/3/42/46894657.pdf
ウェブセンス社の上級セキュリティー調査マネージャーのカール・レオナード
チャタムハウス(王立国際問題研究所)の国際セキュリティープログラムのマネージャー、クレア・ヨーク。「サイバー戦争」報告書の著者の一人。http://www.chathamhouse.org.uk/publications/papers/view/-/id/967/
司会はワイヤードUKの編集長の一人ベン・ハマースリー。
***
レックス・ヒューズ(ケンブリッジ大学):今、ワシントンから戻ったばかりだが、「サイバーセキュリティー」とは何かの定義が、人によって違うことを実感した。また、何を「成功」と見なすのか?例えば政府が情報を取られてしまうことを防いだ場合、これで成功といえるのだろうか。そして、メディアや非政府団体はどうするべきかなど。英首相は10億ポンドをサイバー・セキュリティーのために使うと宣言したが、これもどこからどこまでを意味するか。
インターネットはオープンであるべき、でも、セキュリティーも重要だ、と。2つの相反する概念がある。
クレア・ヨーク(チャタムハウス):私たちは技術面というよりも、政策に注目するアプローチを取る。サイバー戦によって国家の構造がどうなるか、社会への影響は?金融犯罪の様相にも注視している。
ピーター・ソマー(LSE):サイバー戦の主体は何かの定義が難しい。「サイバー戦」といっても、リアルの戦争のように、実際に人が死ぬわけではなく、大概は所有物がなくなる、損害を受ける、という結果になる。
問題は、テーマがでかいので、意味のある議論ができにくい点だ。「サイバー」というと、新しい言葉になるが、中身は前からあったことだ。例えば、詐欺。これは前からあったが、ネットを使って行われるようになった。
サイバー戦というと、ウィキリークスがらみで、サイバー攻撃をする「アノニマス」(匿名)グループが話題に上った。しかし、これは実際は「戦争」ではないだろう。昔から、例えば環境運動団体のグリーンピースなどがやってきたことと同じだ。一つの目的を達成するために、関心を引くために、いろいろな行動を起こす。自分たちの力をネット上で示しているだけだ。
カール・レオナード(ウェブセンス):私は、顧客(企業)のセキュリティーを守る仕事をしている。実際の攻撃の被害を見て、攻撃者は誰なのか、国家なのかあるいは他の人なのかを探し出し、それではこれにどう対処するのかを考える。
インターネットが普及したので、いろいろなことが簡単にできるようになった。様々なソフトウェアも簡単にできる。「スタクスネット」もそうだ。
(注:朝日新聞によると:産業制御システムを乗っ取るウイルスで、ウラン濃縮などに使われる遠心分離器を誤作動させるのに最適な設計になっている。スタクスネットの感染はイランに集中している。)http://www.asahi.com/international/update/1120/TKY201011200104.html
http://www.asahi.com/international/update/0116/TKY201101160282.html )
ビル・ハマースリー(ワイヤード):本当に「簡単」か?イランで開発されているといわれる核兵器の作動を止めることを狙い撃ちするこのソフトがー?
レオナード:まあ、簡単にはできないだろうが、それでも、一旦こうしたソフトが開発されると、似たようなソフトが出てくるものだ。前例ができると、必ず真似をする人が出てくる。
ソマー:しかし、スタクスネットのような形で攻撃できる人は世界でも希少だ。世界でも限られた国だけだろう。小規模のサイバーテロリストにはできない。
レオナード:頻度から言えば少ないが、前例を作ってしまうのが問題だ。
ヒューズ:サイバー攻撃といえば、レクリエーションとしてやっている人もたくさんいるのかもしれない。誰が攻撃をしているのかに関する分析がもっと必要だ。政府や当局がサイバー攻撃が増えているなどというとき、その攻撃者は誰なのか、「攻撃」の意味は何かなど、ジャーナリストは質問するべきだ。
ヨーク:攻撃者は国家、組織・企業、個人か。多様だ。
レオナード:政府や公的組織は国民に関する大量の情報を持っている。ある人から見れば、金脈を抱えているのと同じだ。「攻撃」とは、このデータを狙う行為だ。データを操作しようとしたり、誰かに成りすましたり。攻撃は常にある。金融機関などは非常に恐れている。
民間企業では、ネットでサーフィングをしていて、悪いソフト(マルウェア)に感染してしまうことを恐れている。たくさんの従業員を抱えている場合、ある人のワークステーションの裏口から中に入ってくるかもしれない。1つのワークステーションが汚染してしまえば、ほかにも広がる。
2010年はある意味でこれまでにない年になった。今までもサイバー攻撃はあったが、気づく人は少なかった。今は、攻撃があるとみんなが気づくようになった。攻撃者とは、国家、犯罪組織、テロリスト、それから若者たち。
ソマー:昔、偽名で「ハッカーのハンドブック」という本を書いた。(http://en.wikipedia.org/wiki/The_Hacker%27s_Handbook ダウンロードはhttp://www.textfiles.com/etext/MODERN/hhbk ) もともと、「ハッカー」とは、パーソナルコンピューターを作るための動きだった。今は犯罪人のイメージがあるけれども。「ハッカー会議」というのが毎年開かれていた。
ハマースリー:攻撃を防ぐにはどうするか?
レオナード:まず、自分は大丈夫だと思わないこと。他人には起きるが、自分は関係ない、と思わないことだ。
会場からの質問:ここまでの議論で、エストニアの話が出てこないのが大いに不満だ。(注:コンピュータージャパンの記事によると、エストニアでは2007年4月、「政府や銀行のサイトが大規模なDDoS(分散サービス拒否)攻撃に見舞われた。当初、この攻撃とロシアとの関係が取りざたされたことから両国の間で緊張が高まったが、この事件の背後にいる人物は不明のようだ。」あれほど大きな事件だったのに。
2008年、グルジアでもサイバー攻撃があった。(注:AFPによると、ロシア軍がグルジアを攻撃中に、ロシア国内のコンピューターからグルジア政府のウェブサイトに集中的にサイバー攻撃が行われていた。このサイバー攻撃がロシア政府が指揮したものか、あるいは組織犯罪やハッカーによるものかは不明。)サイバー攻撃の脅威はリアルだ。
ソマー:確かにそういうことが起きたが、エストニアの場合、ネットに依存した体制を作ったことが、あのような結果になったという点も忘れないようにしたい。ここ英国は、それほど脆弱な体制にはなっていない。
ハマースリー:政府の持つ情報が攻撃対象になる件で言えば、英国の政府職員がユーチューブを見ようとしたら画面に赤い手が出てきて、見れなかったと聞いた。感染を恐れているのか。
レオナード:攻撃されないと考えるのは馬鹿げている。フェースブックや(ビジネスが中心の)リンクエドなど、安全に使うにはどうするか?ポリシーを持つべき。
ハマースリー:会社は従業員のネット利用を監視しているのだろうか?
レオナード:監視しているところも、しないところもある。
質問:ジャーナリストはどうしたらいいか。
ヒューズ:英国だったら国家に情報を取られるとか、心配しなくてもよいと思う。
ソマー:どんなリスクがあるか、査定するべき。そのリスクを回避する技術上の手段はないのかどうか、と。
レオナード:すべての人がセキュリティ意識を持つべきだ。ウィルスソフトを入れないでネットを使うとか、してはいけない。リスクは自分だけでなく、他人をも巻き込む。リスクに巻き込まれない手段を講じることだ。
(2月9日、ロンドンのフロントラインクラブでの議論をメモった分の書き取りです。正確な情報は後にアップロードされる、クラブのサイトからご覧ください。)
(ブログ「英国メディアウオッチ」より)
**参考ニュース記事:
ロシア国内からグルジアへのサイバー攻撃を確認、米企業
http://www.afpbb.com/article/environment-science-it/it/2506265/3215193
米国政府、大規模サイバー攻撃を受けたエストニアに専門家チームを派遣
http://www.computerworld.jp/news/sec/69289.html
英国政府、欧州サイバー・セキュリティ計画に参加表明
http://www.computerworld.jp/topics/vs/190636.html
中国からのサイバー攻撃に米国はどう立ち向かうべきか
http://www.computerworld.jp/topics/vs/174350.html
|
