情報セキュリティー・サイバー犯罪(その5)(あなたのPCに勝手に侵入 政府が“違法ハッカー”になる日、ネットバンキング 崩れた安全防壁 偽サイト使い「ワンタイムパス」破られる、三菱電機に中国系?サイバー攻撃 人材情報奪取の裏に「恐るべき意図」、三菱電機 NECへのサイバー攻撃で露呈した防衛体制の「徒手空拳」) [社会]
情報セキュリティー・サイバー犯罪については、2018年6月3日に取上げたままだった。久しぶりの今日は、(その5)(あなたのPCに勝手に侵入 政府が“違法ハッカー”になる日、ネットバンキング 崩れた安全防壁 偽サイト使い「ワンタイムパス」破られる、三菱電機に中国系?サイバー攻撃 人材情報奪取の裏に「恐るべき意図」、三菱電機 NECへのサイバー攻撃で露呈した防衛体制の「徒手空拳」)である。
先ずは、昨年1月29日付け日刊ゲンダイ「あなたのPCに勝手に侵入 政府が“違法ハッカー”になる日」を紹介しよう。
https://www.nikkan-gendai.com/articles/view/news/246373
・『東京五輪を“言い訳”にすれば何でもやりたい放題だと勘違いしているのではないか。政府が近く、サイバー攻撃対策として、企業や家庭のパソコンやスマホといった「IoT機器」に対し、無差別に侵入する調査に乗り出すと報じられ、ネット上で「安倍政権による違法ハッカー行為」と大騒ぎになっている。 調査は、企業や家庭などにあるルーターやウェブカメラなどの「IoT機器」を無作為に選んで侵入。セキュリティー対策に問題がある機器を見つけた場合、ユーザーに注意を促す――という。政府は昨年5月に電気通信事業法を改正。2024年3月末までの5年間、総務省所管の「情報通信研究機構」が調査業務を行うことを決めた。 改正法で、機構は「認定送信型対電気通信設備サイバー攻撃対処協会」に業務委託できるとされ、今月8日に「一般社団法人ICT―ISAC」(東京)が協会認定を受けたばかり。同法人には大手携帯電話会社をはじめ、NHKや民放などがズラリと名を連ねているから、恐らく国内にある「IoT機器」はほとんどが調査対象に含まれるということだ』、大きなお世話だとの印象を拭えない。
・『セキュリティー対策を口実に不正アクセス 総務省や機構の担当者は、東京五輪対策を理由に挙げて「国民の皆さまにはご理解いただきたい」なんて言っているらしいが、どのように説明しようが、セキュリティー対策を口実にした政府の「不正アクセス行為」だろう。 アクセスの際に得られるウェブカメラの映像や保存データを政府機関がどう扱うのか、国民が不安を抱くのも当然だ。まして調査するのが、不正統計や公文書偽造を繰り返している霞が関の官庁であり、バックにいるのが、やりたい放題の安倍政権だ。盗聴や盗撮など恣意的な運用の可能性も十分あり得るのだ。昨年の国会審議で、侵入調査を「国民に対する政府機関によるハッキング」と断じていた立憲民主の小川淳也議員は、こう指摘していた。「国民の政府や政府系機関の情報管理に対する信頼度は高くありませんよ。それがどういう形で流出するのか、どういう形で悪用される恐れがあるのか。国民の政府や政府機関に対する情報管理の信頼度は極めて低い」 その通りだ。国民に平気でウソをつき、バレたら開き直って言い訳し、グウの音も出なくなっても論点をすり替える。そんなアベ政治と言いなりの行政機関を誰が信用するのか。自由に国民の懐に手を突っ込める状況を許せば、憲法で保障された「通信の秘密」もプライバシー保護もあったもんじゃない』、「国民の政府や政府機関に対する情報管理の信頼度は極めて低い」、なかででの「政府機関によるハッキング」は確かに大いに問題だ。
・『ITジャーナリストの井上トシユキ氏はこう言う。「現実の世界でいえば、玄関の扉をコンコンと叩いて『戸締まりに気を付けて』というのではなく、いきなり扉を開けて家の中に入り込み、家人に注意を促すのに等しい。調査するのであれば、どういう手順で、いつから実施し、何らかの個人情報が漏れた場合は厳罰に処す、などの罰則規定を公表するべきです。そうでなければ、国民も信用できないでしょう」 こんな重大な調査を改正法でやろうなんて、政権がコトの重要性を考えていないか、国民をなめ切っているということ。怒らない方が異常だ』、一般のマスコミが安部政権に「忖度」して、問題点を殆ど報じなかったのも残念だ。
次に、本年2月7日付け日経新聞「ネットバンキング 崩れた安全防壁 偽サイト使い「ワンタイムパス」破られる」を紹介しよう。
https://www.nikkei.com/article/DGKKZO55341750W0A200C2EA1000/
・『インターネットバンキングの口座から不正送金される被害が2019年秋ごろから急増している。大きな要因は、手続きのたびに使い捨ての「ワンタイムパスワード」を発行する2要素認証を破る手口が編み出されたことだ。ネットバンキングの安全性を支える防壁の一端が崩れた形で、金融機関は送金できる額を制限するなどの対策を急いでいる。 確認されている主な手口はこうだ。 銀行に預金口座を持つ利用者のスマートフォンに「カード・通帳の利用停止、再開のお手続きの設定してください」とSMS(ショートメッセージサービス)が届き、記載されたURLを押すと銀行のサイトが現れる。 指示に従ってネットバンキングのIDとパスワードを入力すると、銀行からスマホに届いたワンタイムパスワードをさらに打ち込むよう求められ、入力すると「処理完了」と表示が出る。 だが、SMSが誘導するのは銀行を装う偽サイトで、犯人は偽サイトに打ち込まれたIDとパスワードをすぐに正規のサイトに入力している。利用者にワンタイムパスワードが届き、偽サイトに打ち込まれたら、それもすぐ正規サイトに入力してログインし、預金を外部の偽名口座などに振り込んでしまう。 偽サイトでIDなどを盗み取る「フィッシング」の手口は以前からあるが「利用者が偽サイトにアクセスしている間に、並行して正規サイトにログインすることでワンタイムパスワードを破る点が新しい」と警察関係者は指摘する。 セキュリティー大手、トレンドマイクロ(東京)によると、こうした偽サイトの確認件数は19年1~8月には月間10~40件だったが、9月は94件、11月は114件と急増した。メガバンクだけでなく地方銀行や信用金庫など、標的は幅広い。 警察庁のまとめによると、19年のネットバンキングの不正送金被害は前年比4.4倍の20億3200万円に上った』、安全とされてきた「ワンタイムパスワード」を、見事に破った悪知恵には驚くほかない。本来、銀行側から「「カード・通帳の利用停止、再開のお手続きの設定してください」とSMS」を送ることは絶対ない筈だが、送られてくると、つい応じてしまう「利用者」の心の隙が突かれた形だ。
・『犯人側は不特定多数の利用者に大量のSMSを送りつけており、セキュリティー専門家は「SMSの送信から不正ログイン、不正送金までの一連の作業を自動的に処理するシステムを構築している」とみる。 トレンドマイクロが偽サイトの構造を解析したところ、特徴的な文字列が複数のサイトで共通して使われていたことから、同社の担当者は「サイトを量産するためのツールが出回っている可能性もある」としている。 認証の仕組みに詳しいIT企業、セキュアスカイ・テクノロジー(東京)の長谷川陽介CTOは「顔や指紋といった生体認証を使うサービスもあるが、スマホなどを使うワンタイムパスワードは比較的手軽で、多くのサービスで採用されている」と話す。 不正送金の急増を受け、三井住友銀行は19年10月から、被害が大きくならないようネットバンキングで振り込める上限額を1日50万円に下げた。それまでの初期設定は上限100万円だった。加えて同年11月からは、不審な振り込みをシステムなどで検知した場合に実際の入金まで数分から数十分かかるようにした。手続きを止める時間を確保しているとみられる。 三菱UFJ銀行は、スマホアプリのログイン時にスマホの所有者とアプリの利用者が対応しているかを厳重に確認する。 情報セキュリティー関連企業などでつくるフィッシング対策協議会の吉岡道明氏は「個人預金を狙うフィッシングは年々巧妙になっている。SMSに書かれたURLに直接アクセスしないことはもちろん、1回あたりの送金の上限額を定めておくなどの対策も重要だ」と話している』、「サイトを量産するためのツールが出回っている可能性もある」、とは恐ろしい話だ。大いに気を付けたい。
第三に、ノンフィクションライターの窪田順生氏が1月23日付けダイヤモンド・オンラインに掲載した「三菱電機に中国系?サイバー攻撃、人材情報奪取の裏に「恐るべき意図」」を紹介しよう。
https://diamond.jp/articles/-/226595
・『三菱電機が昨年6月に、サイバー攻撃を受けていたことを明らかにした。関与が取りざたされているのは、中国系のハッカー集団。防衛や社会インフラに関する重要機密は流出していない、と発表されたが、これで安心するのは早計。彼らが「人材」に関する情報を抜き取ったのには、重要な意図がある可能性が高いからだ』、どんな「意図」があるのだろう。
・『「防衛機密」の漏洩なしでも安心できない理由 三菱電機が昨年6月、サイバー攻撃を受けていたことを公表した。関与が取りざたされているのは、中国系ハッカー集団「Tick」だ。 同社の社内調査や、菅義偉官房長官の会見によれば、防衛装備品の情報や、電力・鉄道など社会インフラなどの重要機密情報の流出はないというが、社員や退職者約6100人分の個人情報と、採用応募者約2000人分の情報が外部に漏れた恐れがある。 マサチューセッツ工科大学でサイバーテロの研究を行い、近著「世界のスパイから喰いモノにされる日本」(講談社α新書)でも中国のサイバー攻撃の手口を紹介している、ジャーナリストの山田敏弘氏はこのように語る。 「Tickはかねてより、日本の役所や企業を狙っている政府系ハッカー集団。中国政府系のサイバー攻撃の特徴は破壊工作をせず、防衛機密か知的財産の2つを抜いていく。その際にはその国のインフラを担う企業を狙うのが定番。ターゲットになったのが三菱電機ということ、そしてこの手口からしても、中国政府の関与は間違いないでしょう」 という話を聞くと、「とりあえず防衛などの重要機密を中国に盗まれなかった不幸中の幸いだな」とホッと胸をなでおろす方も多いかもしれないが、筆者の感想はちょっと違う。 日本有数のものづくり企業で働く人々の細かな情報があちらの手に渡った、というのはかなりマズい。目下、中国が国をあげてゴリゴリ進めている「人材引き抜き戦」に利用されてしまうからだ。 昨年12月3日、韓国貿易協会が公表した「中国、人材のブラックホール-中国への人材流出分析」という報告書がある。それによれば、韓国のバッテリー、半導体、航空という分野で働く技術者たちが中国企業に高待遇をちらつかせられ、次々と引き抜かれているという。 どのような手口なのかを、この報告書を紹介した「ハンギョレ新聞」(2019年12月4日)から引用しよう。〈バッテリー業界の場合、世界1位企業の中国CATLが7月に大規模採用をする中で、部長級責任者の場合には手取り3億ウォン(約2800万円)程度の高い年俸を提示した。中国の代表的電気自動車メーカーのBYDは、2017年には年俸の他に成果給、自動車、宿舎提供などを条件として提示し、韓国のバッテリー人材を採用した。(中略)半導体業種では、福建晋華(JHICC)が今年4月、人材採用公告を出し「10年以上サムスン電子、SKハイニックスでエンジニアとして勤めた経歴者優待」を明示した〉』、日本の電機メーカーではリストラもしているので、ヘッドハントは韓国企業以上にやり易いだろう。
・『韓国や台湾の産業が中国に吸い取られている現実 「優秀な人材が国家にこだわらず、好条件のところで働くのは当然だ」という人もいるかもしれない。その点は筆者もまったく同感だが、問題はこの「ブラックホール」に吸い込まれているのが、韓国だけではないということだ。 例えば、昨年12月9日に「日本経済新聞」が報じた「中国、台湾人材3000人引き抜き 半導体強化」というニュースがわかりやすい。 今、台湾では半導体業界を中心に、中国からの人材引き抜きが加速しており、世界市場でも存在感のある台湾積体電路製造(TSMC)の経営幹部から現場の技術者に至るまでが、次々と高待遇をちらつかせられ、大陸へ渡っているという。台湾の経済誌「商業周刊」によれば、その数は3000人にも及ぶという。これだけ多くの優秀な技術者が流出すれば当然、「台湾の強み」は中国へ奪われてしまうというのは説明の必要はないだろう。 〈例えば、台湾が得意としてきた半導体メモリー。20年には中国の国策会社である長〓存儲技術(CXMT、〓の文字は金を三つ三角形に重ねる)、長江存儲科技(長江メモリー・テクノロジーズ)が相次ぎ本格量産を始める見通しで、台湾勢は間もなく中国勢にあっさりと抜き去られる恐れがある〉(日本経済新聞2019年12月9日) つまり、中国という「人材ブラックホール」によって、韓国と台湾は国内産業の競争力まで吸い込まれてしまっているというわけだ。韓国と台湾がこれだけ狙われている中で、日本だけがお目こぼしになる、と考えるのは無理がある。 ご存じのように、三菱電機は、今やすっかり世界で存在感をなくしてしまった「日の丸半導体」の中ではかなり奮闘している方で、代表的なパワー半導体であるIGBTモジュールにおいては世界シェアでトップクラスを誇っている。 サムスン、SKハイニックス、TSMCの人材が狙われている以上、三菱電機の人材も狙われる可能性は十分すぎるほどあるのだ』、「人材ブラックホール」とは言い得て妙だ。今回の「三菱電機」からの情報流出は、人材引き抜きに活用されるのは間違いないだろう。
・『習近平の肝いりで半導体市場の覇権を狙う中国 なぜそこまで中国が半導体メーカーから必死に人材を引き抜いているのかというと、「国策」のためだ。半導体市場の覇権を握るというのは、習近平肝いりの産業政策「中国製造2025」の大黒柱なのだ。 「中国製造2025」とはわかりやすくいえば、中国を世界一のものづくり国家するという野望を達成するためのロードマップだ。以下のような3つの段階に分かれている。 (1)2025年~2035年で「製造強国」への仲間入りを果たす (2)2035年までに世界の「製造強国」の中等レベルへ到達する (3)2049年(中国建国100周年)までに製造大国の地位を固め、製造強国のトップとなる この中の最初の目標を達成するために必要不可欠とされているのが、2025年までに中国国内の半導体自給率を70%にするという目標である。もちろん、半導体ビジネスはそんなに甘いものではない。海外の専門家からは「無謀」「成功は絶望的」と厳しい声が上がっているが、「国策」に逆らえない中国企業は口が裂けても「頑張ったけど無理でした」などは言えない。 つまり、今回の三菱電機へのサイバー攻撃は、あと5年で半導体自給率70%にするというミッションインポッシブルのため、日本の優秀な人材を引き抜くという作戦のもと、そこで必要になるターゲット人材の詳細なプロフィールを収拾するために行った可能性も否めないのだ。 ちなみに、三菱電機は2018年7月、「中国製造2025」の実現に向けて、中国政府直轄の機械工業儀器儀表綜合技術経済研究所と戦略的パートナーシップ契約を交している。中国にとって三菱電機は国策遂行ため必要不可欠な「外国企業」なのだ。そこの人材を自国企業で囲い込みたいというのは極めて自然な発想だ。 と聞くと、「いやいや、だったら高待遇の求人を出せばいいだけの話だ。いくら中国でもわざわざサイバー攻撃などするわけがない」と思う方もいるかもしれないが、そうせざるを得ない日本特有の事情がある。 それは「離職率の低さ」だ。 「最近の若者はすぐに辞める」と嘆く人事担当者も多いだろうが、実は日本の電機メーカーは離職率がそれほど高くない。新卒3年で辞める割合が20%という業界もある中で5%程度なのだ。この傾向はベテランも同様で、「カネがもらえるなら世界のどこへでも行きまっせ」という人はそれほど多くないのだ』、相次ぐリストラを繰り返してきた「日本の電機メーカー」の社員のローヤリティ(忠誠心)は実際には低くなっていると見るべきだろう。
・『日本企業のサイバーセキュリティーは安心できる水準ではない そんな保守的な日本企業から人材を引き抜こうと中国政府が考えた時、高待遇の求人広告を出せばいいや、となるだろうか。「ビズリーチ」を利用すれば、「こんな待遇で!」と技術者が自分からホイホイやってくると思うだろうか。 思うわけがない。 そうなると方法は一つしかない。三菱電機で働く人、あるいはここで働きたいと採用に応募をしてきた人材にダイレクトに接触をしてスカウトするのだ。 社内の資料ならば、家族構成や年収、これまで何をしてきたのか、どんな仕事をちらつかせれば心が動くのかなどもわかる。つまり今回、三菱電機のサーバーに忍び込んで盗んだ約8100人の個人情報というのは、その「工作」の下資料なのではないか。 もちろん、背後に中国政府という国家がいると推測される以上、どこまで行っても「真相」はわからない。国防に関する機密を盗みにきたが、セキュリティが厳しくて、しかたなく個人情報だけ盗んだ。だから引き抜きだなんだというのは考えすぎだ、と楽観的に見ることもできる。 ただ、前出のジャーナリスト・山田氏によれば、中国の政府系ハッカーが日本企業から情報を抜き取っている現状は、我々が思っているよりも、はるかに深刻だという。 「三菱電機は氷山の一角ですね。ほとんどの日本企業のサイバーセキュリティは安心とは言い難く、これまでも中国から、かなりのサイバー攻撃を受けて情報を抜き取られている。しかし、ほとんどの企業は公表しません。三菱電機は近年、パワハラなどの問題が多発して内部からマスコミへのリークが多い。だから今回も内部リークを受けた『朝日新聞』が一報を報じました。たまたま今回はこのような形で明らかにされましたが、既にもう重要機密が漏れている可能性もある」 実際、山田氏が某国の諜報機関の人間から入手した情報では、「東京2020」でも重要な役割を果たす国内ハイテク企業の重要機密に、中国系ハッカーがアクセスしているという話もある。 山田氏は、近著「世界のスパイから喰いモノにされる日本」の中で、このように警鐘を鳴らしている。「選挙だろうがテロだろうが、世界的なスポーツイベントだろうが、各国はサイバー工作を駆使しながら、自分たちの利害を追求している。(中略)対外情報機関も、国境を越えて動けるサイバー部隊も持たない日本は、これからの時代に本当に世界に伍していけるのだろうか。一刻も早く、その問いについて真剣に検討し、何をすべきかと議論すべきなのである。性善説は通用しない」 本当の「脅威」は音もなく忍び寄る。日本を代表するものづくり企業がサイバー攻撃を受けたのに、「機密は流出してないようだからひと安心」なんて呑気なことを言っているこの国は、かなり危機的な状況だ。 気がつけば「中国の下請け」になっていましたーーなんて恐ろしい未来にならぬことを祈りたい』、全く同感である。
第四に、元通商審議官の荒井寿光氏が2月12日付けダイヤモンド・オンラインに掲載した「三菱電機、NECへのサイバー攻撃で露呈した防衛体制の「徒手空拳」」を紹介しよう。
https://diamond.jp/articles/-/228393
・『氷山の一角にすぎない民間企業への攻撃 三菱電機やNECなど日本の大手企業への大規模なサイバー攻撃が相次いで明るみに出た。 三菱電機では、自社の情報や8000人分の個人情報だけでなく、取引先の政府や民間企業数十社の情報が不正にアクセスされ、機密性の高い防衛関連や、電力、鉄道などの社会インフラに関する情報が流出した可能性がある。 犯人は中国系のサイバー攻撃集団「Tick」であり、三菱電機の中国子会社のシステムから、三菱電機本社の120台超のパソコンや40台超のサーバーにアクセスしたものと見られている。 NECもサイバー攻撃を受け、2万7000件のファイルに不正アクセスがあったことが明らかになった。 三菱電機とNECは、政府や民間のサイバー防衛を支援するビジネスをしている、いわばサイバー分野における「ガードマン会社」であり、また秘密管理の厳しい防衛産業の有力企業だ。 だが日本のサイバー防衛体制には“致命的な欠陥”がある。 日本のサイバー防衛分野の最先端企業が侵入されたことは、関係者にショックを与えたが、実は、これは氷山の一角だ。 外国政府が関与して日本をサイバー攻撃したものとして、2011年の三菱重工への攻撃、衆議院のコンピューターシステムへの侵入、2015年の日本年金機構からの125万件の個人情報の流出、2016年のJTBから679万人の顧客情報の流出、中国系サイバー攻撃集団「APT10」による民間企業、学術機関等に対する長期的な攻撃などが明らかになっている。 しかもその対象や手法は、年々、多様化している』、前の記事では、「三菱電機では、自社の情報や8000人分の個人情報」が流出としていたが、「取引先の政府や民間企業数十社の情報が不正にアクセスされ、機密性の高い防衛関連や、電力、鉄道などの社会インフラに関する情報が流出した可能性がある」、時間が経つにつれ被害が拡大したようだ。「三菱電機とNEC」は「サイバー分野における「ガードマン会社」であり、また秘密管理の厳しい防衛産業の有力企業」であるにも拘らず、攻撃に無力だったとは情けない限りだ。
・『多様化する攻撃対象や手段 工場停止や停電、選挙妨害まで サイバー攻撃の最初は個人の「愉快犯」が多かった。不特定多数のコンピューターにウイルスをまき散らかすものだ。 その後、「サイバースパイ」が誕生した。 従来、産業スパイや軍事スパイ、外交スパイは人間が機密情報を盗んでいたが、インターネットの発達に伴い、2007年頃から、政府系のサイバー攻撃集団がコンピューターを使ってスパイ活動するようになった。 今回の三菱電機事件は、この一例だ。 最近は「サイバーテロ」による施設やインフラの物理的な破壊が行われている。 サイバー攻撃は、コンピューター制御システムを使っている原子力発電所や化学プラントを爆発させたり、電力や水道を止めたりして市民生活を大混乱に陥れることができる。 実際に次のようなサイバー攻撃による事例が報道されている。 2008年にはトルコのパイプラインが爆破され(ロシアが関与の可能性)、2010年にはイランの核開発施設が無力化(イスラエルと米国が関与の可能性)、2014年にはドイツの製鉄所が操業停止に陥った。 2015年と2016年にはウクライナで大規模停電が起きた(ロシアが関与の可能性)。 また、サイバー攻撃の「グローバル化」も進んでいる。 2017年には、英国各地の病院で大規模なサイバー攻撃があり、手術などの医療サービスが中断したほか、日産自動車のイギリス工場の停止を含め多くの被害が発生した。 この時、日本でもホンダの狭山工場が操業停止に追い込まれ、ロシア、フランス、英国、米国などを含む世界150カ国で被害が確認された。 これは北朝鮮が外貨獲得のため他国のコンピューターをウイルスでダウンさせ、コンピューターを回復するために仮想通貨を振り込ませて数十億ドルの外貨を稼いだといわれる。 コンピューターを「人質」にして身代金を要求した新しい手口で世界が驚いた。 最近は、自国に有利な候補者を当選させるための「選挙介入型」も頻発している。 選挙運動がツイッターやフェイスブックなどのSNSを利用するようになったので、相手国の選挙の際、フェイクニュースを流したり、自国に不利な候補者が困る機密情報を意図的に公開したりして、外国の選挙に介入することが増えている。 2016年の米国の大統領選挙の際、民主党候補を不利にするためロシアが米国民主党全国委員会に対するサイバー攻撃をしたとされる。 また2017年にはフランスの大統領選挙の際、マクロン候補の陣営に大規模なサイバー攻撃があり、大量のメールや会計文書の情報がネット上に流出したり、今年1月の台湾総統選挙の際、中国の集団が台湾独立を主張する蔡総統について、「博士号を取得していない」などのフェイクニュースを流したりしたことが報道されている』、「北朝鮮が・・・コンピューターを「人質」にして身代金を要求した新しい手口で世界が驚いた」、記憶に新しいところだが、被害企業の多くは密かに「身代金」を支払って済ませたのだろう。確かに「多様化する攻撃対象や手段」は悩ましいことだ。
・『「犯人」の特定難しく「被害」気付かず 破壊力や脅威は年々拡大 サイバー攻撃は従来の軍事行動やテロなどと違う特殊な性格を持っている。 第1に、サイバーはデジタル化されていて形がない。このため侵入されたり、コピーして情報を持ち出されたりしても気付かないことが多い。 サイバー攻撃は通常の軍事攻撃と異なり、証拠が残らず「犯行声明」を出さないため、「犯人」の特定は難しい。 第2に、インターネットは世界中でクモの巣のように張り巡らされている。このため、攻撃者がどこにいて、どこを経由して侵入してきたのかを割り出すのが難しい。 また侵入したコンピューターシステムを踏み台にして他に侵入することが多いので、自分に被害がないからと安心してはいけない。 第3に、サイバー攻撃の物理的な破壊力の脅威は年々大きくなっている。 全ての社会システムはコンピューターにより制御されている。このため、コンピューターを乗っ取り、原子力発電所を爆発させたり、新幹線を暴走させたりすることができる。 サイバー攻撃を単なる情報システムの問題と捉えていてはいけない。 第4に、サイバー攻撃の技術は年々進歩している。このためサイバー防衛も年々技術を向上させなければならない。いたちごっこは続く。 サイバー攻撃で自国にとって有益な相手国の産業技術や軍事情報を手に入れたり、社会インフラに侵入して相手国の経済や国家の機能をマヒさせ、軍事施設を破壊したりすることができるようになったため、軍隊や国家機関による大掛かりなサイバー攻撃が増えている。 このような性格のため、サイバー防衛は従来の常識を超えた取り組みが必要なのだ』、確かにその通りだろう。
・『軍が主体の「第5の戦闘領域」に 世界はサイバー戦争の時代 このため、今やサイバー空間は、軍事的に陸・海・空・宇宙と並ぶ第5の「戦闘領域」と位置付けられており、各国ともサイバー軍による攻撃や防衛の時代に入っている。 米国は、2018年にサイバー軍を国防長官直轄の統合軍に格上げし、年間約7500億円の予算を使い、約6300人体制で運用しているといわれている。 中国はサイバー戦力の建設を加速しており、サイバー戦用の「61398部隊」は英語に堪能な数百から数千人の隊員がいる。 ロシアはサイバー軍を作りサイバー攻撃活動に力を入れているとの報道がある。 北朝鮮の偵察総局には121局と180局に6000人の隊員が従事し、外国のインフラ破壊と外国要人や科学技術情報及び外貨の窃取を任務としていて、2016年にはバングラデシュ中央銀行から8100万ドル(約91億円)を盗み取ったと報道されている。 他国のこうした体制に比べると、日本は大幅に遅れている。 日本では2014年に自衛隊にサイバー防衛隊が作られたが、隊員の数はわずか220人。予算も2019年度で約223億円にすぎず、外国に比べ隊員数や予算はいかにも少ない。 しかも任務は自衛隊のシステムを守ることなので、民間企業は他国の軍からの攻撃に自力で自らのシステムを守らないといけないのが実情だ』、なるほど。
・『民間が自力で守るしかない日本 官民一体の防衛体制整備が急務 日本は2014年に「サイバーセキュリティ基本法」を制定し、内閣に「サイバーセキュリティ戦略本部」「内閣サイバーセキュリティセンター(NISC)」を設置した。 内閣が基本戦略を作り、政府機関と民間が独立してそれぞれのコンピューターシステムを守る体制だ。 電力・鉄道・通信・金融などの社会の重要インフラでさえも、民間企業が持っているので、民間企業の自己防衛が基本となっている。 外国の攻撃側は軍隊や国家機関のサイバー攻撃の専門家集団だ。これに対して日本は民間企業が本来のビジネスの片手間にサイバー防衛をしている。外国の軍隊や国家機関が攻め、日本の民間企業が守るのでは、サイバー技術に関する設備や開発能力、マンパワー、相手に関する情報収集能力など、全ての面でかなわない。 しかも、日本には外国と違い、国全体のコンピューターシステムを守る国家機関がない。 自衛隊は自分のコンピューターシステムを守るだけであり、国全体のコンピューターシステムを守る任務がなく、実際に任務にないから国全体を守っていない。 だが、サイバー戦争はもはや政府と民間が一体となって防衛をしなければ被害を防げない局面になっている。 このため、第1に、自衛隊法を改正して、自衛隊に国全体のコンピューターシステムを防衛する任務を付与することが必要だ。 国民の生命・財産・社会活動・国土を守るためには、サイバー防衛を災害派遣と同じように自衛隊の任務に位置付け、隊員や予算を思い切って増やすことだ。 第2に、民間の責務を明確にする必要がある。 現在のサイバーセキュリティ基本法では、重要なインフラ事業者もサイバー事業者も、国の施策に「協力するよう努めるものとする」(法6条、7条)ことしか求められていない。攻撃を受けた時の政府への報告義務もない。 民間は自己防衛に努めることはもちろんだが、サイバー攻撃を受けたときは、直ちに内閣と自衛隊に報告することを義務付ける。そうすれば何らかの形でつながっている他のコンピューターへの被害の拡大を防ぐことができる。 第3に、積極的なサイバー防衛を実践することだ。 サイバー攻撃はスピードが速く攻撃されたらおしまいだ。 各国ともいろいろな手段でサイバー情報を収集し、疑わしい相手国のコンピューターシステムをチェックして攻撃側の意図をくじくような牽制活動をして自国への攻撃を未然に防止している。 だが日本ではこのような牽制活動は、自衛隊のサイバー防衛隊にも認められていない。 またサイバー攻撃や防衛の演習も実際にインターネット環境を利用して行うことは不正アクセス防止法により禁じられている。これではサイバー防衛能力は上がらない。 日本は外国並みに積極的なサイバー防衛活動ができるように法改正をすべきだ。 日本は「スパイ天国」「サイバー攻撃天国」といわれている。この汚名を返上するため、今回の事件を教訓として、外国並みのサイバー防衛体制を作り上げることが急務だ』、いくら「サイバー戦争の時代」とはいえ、「自衛隊法を改正して、自衛隊に国全体のコンピューターシステムを防衛する任務を付与することが必要」、自衛隊は逆立ちしてもそんなことが可能とは思えない。「国全体のコンピューターシステムを守る国家機関がない」のであれば、「NISC」を強化する方が筋なのではなかろうか。米国では、「国全体のコンピューターシステムを守る」のは国土保全省であり、サイバー軍と文民部門の協力・協働体制についても、様々な考え方があるようだ(Wikipedia:下記)。荒井氏が、サイバー防衛を自衛隊のような軍事組織に任せれば上手くいくような幻想を持っているようなのは、残念でならない。
https://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%A1%E3%83%AA%E3%82%AB%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E8%BB%8D
先ずは、昨年1月29日付け日刊ゲンダイ「あなたのPCに勝手に侵入 政府が“違法ハッカー”になる日」を紹介しよう。
https://www.nikkan-gendai.com/articles/view/news/246373
・『東京五輪を“言い訳”にすれば何でもやりたい放題だと勘違いしているのではないか。政府が近く、サイバー攻撃対策として、企業や家庭のパソコンやスマホといった「IoT機器」に対し、無差別に侵入する調査に乗り出すと報じられ、ネット上で「安倍政権による違法ハッカー行為」と大騒ぎになっている。 調査は、企業や家庭などにあるルーターやウェブカメラなどの「IoT機器」を無作為に選んで侵入。セキュリティー対策に問題がある機器を見つけた場合、ユーザーに注意を促す――という。政府は昨年5月に電気通信事業法を改正。2024年3月末までの5年間、総務省所管の「情報通信研究機構」が調査業務を行うことを決めた。 改正法で、機構は「認定送信型対電気通信設備サイバー攻撃対処協会」に業務委託できるとされ、今月8日に「一般社団法人ICT―ISAC」(東京)が協会認定を受けたばかり。同法人には大手携帯電話会社をはじめ、NHKや民放などがズラリと名を連ねているから、恐らく国内にある「IoT機器」はほとんどが調査対象に含まれるということだ』、大きなお世話だとの印象を拭えない。
・『セキュリティー対策を口実に不正アクセス 総務省や機構の担当者は、東京五輪対策を理由に挙げて「国民の皆さまにはご理解いただきたい」なんて言っているらしいが、どのように説明しようが、セキュリティー対策を口実にした政府の「不正アクセス行為」だろう。 アクセスの際に得られるウェブカメラの映像や保存データを政府機関がどう扱うのか、国民が不安を抱くのも当然だ。まして調査するのが、不正統計や公文書偽造を繰り返している霞が関の官庁であり、バックにいるのが、やりたい放題の安倍政権だ。盗聴や盗撮など恣意的な運用の可能性も十分あり得るのだ。昨年の国会審議で、侵入調査を「国民に対する政府機関によるハッキング」と断じていた立憲民主の小川淳也議員は、こう指摘していた。「国民の政府や政府系機関の情報管理に対する信頼度は高くありませんよ。それがどういう形で流出するのか、どういう形で悪用される恐れがあるのか。国民の政府や政府機関に対する情報管理の信頼度は極めて低い」 その通りだ。国民に平気でウソをつき、バレたら開き直って言い訳し、グウの音も出なくなっても論点をすり替える。そんなアベ政治と言いなりの行政機関を誰が信用するのか。自由に国民の懐に手を突っ込める状況を許せば、憲法で保障された「通信の秘密」もプライバシー保護もあったもんじゃない』、「国民の政府や政府機関に対する情報管理の信頼度は極めて低い」、なかででの「政府機関によるハッキング」は確かに大いに問題だ。
・『ITジャーナリストの井上トシユキ氏はこう言う。「現実の世界でいえば、玄関の扉をコンコンと叩いて『戸締まりに気を付けて』というのではなく、いきなり扉を開けて家の中に入り込み、家人に注意を促すのに等しい。調査するのであれば、どういう手順で、いつから実施し、何らかの個人情報が漏れた場合は厳罰に処す、などの罰則規定を公表するべきです。そうでなければ、国民も信用できないでしょう」 こんな重大な調査を改正法でやろうなんて、政権がコトの重要性を考えていないか、国民をなめ切っているということ。怒らない方が異常だ』、一般のマスコミが安部政権に「忖度」して、問題点を殆ど報じなかったのも残念だ。
次に、本年2月7日付け日経新聞「ネットバンキング 崩れた安全防壁 偽サイト使い「ワンタイムパス」破られる」を紹介しよう。
https://www.nikkei.com/article/DGKKZO55341750W0A200C2EA1000/
・『インターネットバンキングの口座から不正送金される被害が2019年秋ごろから急増している。大きな要因は、手続きのたびに使い捨ての「ワンタイムパスワード」を発行する2要素認証を破る手口が編み出されたことだ。ネットバンキングの安全性を支える防壁の一端が崩れた形で、金融機関は送金できる額を制限するなどの対策を急いでいる。 確認されている主な手口はこうだ。 銀行に預金口座を持つ利用者のスマートフォンに「カード・通帳の利用停止、再開のお手続きの設定してください」とSMS(ショートメッセージサービス)が届き、記載されたURLを押すと銀行のサイトが現れる。 指示に従ってネットバンキングのIDとパスワードを入力すると、銀行からスマホに届いたワンタイムパスワードをさらに打ち込むよう求められ、入力すると「処理完了」と表示が出る。 だが、SMSが誘導するのは銀行を装う偽サイトで、犯人は偽サイトに打ち込まれたIDとパスワードをすぐに正規のサイトに入力している。利用者にワンタイムパスワードが届き、偽サイトに打ち込まれたら、それもすぐ正規サイトに入力してログインし、預金を外部の偽名口座などに振り込んでしまう。 偽サイトでIDなどを盗み取る「フィッシング」の手口は以前からあるが「利用者が偽サイトにアクセスしている間に、並行して正規サイトにログインすることでワンタイムパスワードを破る点が新しい」と警察関係者は指摘する。 セキュリティー大手、トレンドマイクロ(東京)によると、こうした偽サイトの確認件数は19年1~8月には月間10~40件だったが、9月は94件、11月は114件と急増した。メガバンクだけでなく地方銀行や信用金庫など、標的は幅広い。 警察庁のまとめによると、19年のネットバンキングの不正送金被害は前年比4.4倍の20億3200万円に上った』、安全とされてきた「ワンタイムパスワード」を、見事に破った悪知恵には驚くほかない。本来、銀行側から「「カード・通帳の利用停止、再開のお手続きの設定してください」とSMS」を送ることは絶対ない筈だが、送られてくると、つい応じてしまう「利用者」の心の隙が突かれた形だ。
・『犯人側は不特定多数の利用者に大量のSMSを送りつけており、セキュリティー専門家は「SMSの送信から不正ログイン、不正送金までの一連の作業を自動的に処理するシステムを構築している」とみる。 トレンドマイクロが偽サイトの構造を解析したところ、特徴的な文字列が複数のサイトで共通して使われていたことから、同社の担当者は「サイトを量産するためのツールが出回っている可能性もある」としている。 認証の仕組みに詳しいIT企業、セキュアスカイ・テクノロジー(東京)の長谷川陽介CTOは「顔や指紋といった生体認証を使うサービスもあるが、スマホなどを使うワンタイムパスワードは比較的手軽で、多くのサービスで採用されている」と話す。 不正送金の急増を受け、三井住友銀行は19年10月から、被害が大きくならないようネットバンキングで振り込める上限額を1日50万円に下げた。それまでの初期設定は上限100万円だった。加えて同年11月からは、不審な振り込みをシステムなどで検知した場合に実際の入金まで数分から数十分かかるようにした。手続きを止める時間を確保しているとみられる。 三菱UFJ銀行は、スマホアプリのログイン時にスマホの所有者とアプリの利用者が対応しているかを厳重に確認する。 情報セキュリティー関連企業などでつくるフィッシング対策協議会の吉岡道明氏は「個人預金を狙うフィッシングは年々巧妙になっている。SMSに書かれたURLに直接アクセスしないことはもちろん、1回あたりの送金の上限額を定めておくなどの対策も重要だ」と話している』、「サイトを量産するためのツールが出回っている可能性もある」、とは恐ろしい話だ。大いに気を付けたい。
第三に、ノンフィクションライターの窪田順生氏が1月23日付けダイヤモンド・オンラインに掲載した「三菱電機に中国系?サイバー攻撃、人材情報奪取の裏に「恐るべき意図」」を紹介しよう。
https://diamond.jp/articles/-/226595
・『三菱電機が昨年6月に、サイバー攻撃を受けていたことを明らかにした。関与が取りざたされているのは、中国系のハッカー集団。防衛や社会インフラに関する重要機密は流出していない、と発表されたが、これで安心するのは早計。彼らが「人材」に関する情報を抜き取ったのには、重要な意図がある可能性が高いからだ』、どんな「意図」があるのだろう。
・『「防衛機密」の漏洩なしでも安心できない理由 三菱電機が昨年6月、サイバー攻撃を受けていたことを公表した。関与が取りざたされているのは、中国系ハッカー集団「Tick」だ。 同社の社内調査や、菅義偉官房長官の会見によれば、防衛装備品の情報や、電力・鉄道など社会インフラなどの重要機密情報の流出はないというが、社員や退職者約6100人分の個人情報と、採用応募者約2000人分の情報が外部に漏れた恐れがある。 マサチューセッツ工科大学でサイバーテロの研究を行い、近著「世界のスパイから喰いモノにされる日本」(講談社α新書)でも中国のサイバー攻撃の手口を紹介している、ジャーナリストの山田敏弘氏はこのように語る。 「Tickはかねてより、日本の役所や企業を狙っている政府系ハッカー集団。中国政府系のサイバー攻撃の特徴は破壊工作をせず、防衛機密か知的財産の2つを抜いていく。その際にはその国のインフラを担う企業を狙うのが定番。ターゲットになったのが三菱電機ということ、そしてこの手口からしても、中国政府の関与は間違いないでしょう」 という話を聞くと、「とりあえず防衛などの重要機密を中国に盗まれなかった不幸中の幸いだな」とホッと胸をなでおろす方も多いかもしれないが、筆者の感想はちょっと違う。 日本有数のものづくり企業で働く人々の細かな情報があちらの手に渡った、というのはかなりマズい。目下、中国が国をあげてゴリゴリ進めている「人材引き抜き戦」に利用されてしまうからだ。 昨年12月3日、韓国貿易協会が公表した「中国、人材のブラックホール-中国への人材流出分析」という報告書がある。それによれば、韓国のバッテリー、半導体、航空という分野で働く技術者たちが中国企業に高待遇をちらつかせられ、次々と引き抜かれているという。 どのような手口なのかを、この報告書を紹介した「ハンギョレ新聞」(2019年12月4日)から引用しよう。〈バッテリー業界の場合、世界1位企業の中国CATLが7月に大規模採用をする中で、部長級責任者の場合には手取り3億ウォン(約2800万円)程度の高い年俸を提示した。中国の代表的電気自動車メーカーのBYDは、2017年には年俸の他に成果給、自動車、宿舎提供などを条件として提示し、韓国のバッテリー人材を採用した。(中略)半導体業種では、福建晋華(JHICC)が今年4月、人材採用公告を出し「10年以上サムスン電子、SKハイニックスでエンジニアとして勤めた経歴者優待」を明示した〉』、日本の電機メーカーではリストラもしているので、ヘッドハントは韓国企業以上にやり易いだろう。
・『韓国や台湾の産業が中国に吸い取られている現実 「優秀な人材が国家にこだわらず、好条件のところで働くのは当然だ」という人もいるかもしれない。その点は筆者もまったく同感だが、問題はこの「ブラックホール」に吸い込まれているのが、韓国だけではないということだ。 例えば、昨年12月9日に「日本経済新聞」が報じた「中国、台湾人材3000人引き抜き 半導体強化」というニュースがわかりやすい。 今、台湾では半導体業界を中心に、中国からの人材引き抜きが加速しており、世界市場でも存在感のある台湾積体電路製造(TSMC)の経営幹部から現場の技術者に至るまでが、次々と高待遇をちらつかせられ、大陸へ渡っているという。台湾の経済誌「商業周刊」によれば、その数は3000人にも及ぶという。これだけ多くの優秀な技術者が流出すれば当然、「台湾の強み」は中国へ奪われてしまうというのは説明の必要はないだろう。 〈例えば、台湾が得意としてきた半導体メモリー。20年には中国の国策会社である長〓存儲技術(CXMT、〓の文字は金を三つ三角形に重ねる)、長江存儲科技(長江メモリー・テクノロジーズ)が相次ぎ本格量産を始める見通しで、台湾勢は間もなく中国勢にあっさりと抜き去られる恐れがある〉(日本経済新聞2019年12月9日) つまり、中国という「人材ブラックホール」によって、韓国と台湾は国内産業の競争力まで吸い込まれてしまっているというわけだ。韓国と台湾がこれだけ狙われている中で、日本だけがお目こぼしになる、と考えるのは無理がある。 ご存じのように、三菱電機は、今やすっかり世界で存在感をなくしてしまった「日の丸半導体」の中ではかなり奮闘している方で、代表的なパワー半導体であるIGBTモジュールにおいては世界シェアでトップクラスを誇っている。 サムスン、SKハイニックス、TSMCの人材が狙われている以上、三菱電機の人材も狙われる可能性は十分すぎるほどあるのだ』、「人材ブラックホール」とは言い得て妙だ。今回の「三菱電機」からの情報流出は、人材引き抜きに活用されるのは間違いないだろう。
・『習近平の肝いりで半導体市場の覇権を狙う中国 なぜそこまで中国が半導体メーカーから必死に人材を引き抜いているのかというと、「国策」のためだ。半導体市場の覇権を握るというのは、習近平肝いりの産業政策「中国製造2025」の大黒柱なのだ。 「中国製造2025」とはわかりやすくいえば、中国を世界一のものづくり国家するという野望を達成するためのロードマップだ。以下のような3つの段階に分かれている。 (1)2025年~2035年で「製造強国」への仲間入りを果たす (2)2035年までに世界の「製造強国」の中等レベルへ到達する (3)2049年(中国建国100周年)までに製造大国の地位を固め、製造強国のトップとなる この中の最初の目標を達成するために必要不可欠とされているのが、2025年までに中国国内の半導体自給率を70%にするという目標である。もちろん、半導体ビジネスはそんなに甘いものではない。海外の専門家からは「無謀」「成功は絶望的」と厳しい声が上がっているが、「国策」に逆らえない中国企業は口が裂けても「頑張ったけど無理でした」などは言えない。 つまり、今回の三菱電機へのサイバー攻撃は、あと5年で半導体自給率70%にするというミッションインポッシブルのため、日本の優秀な人材を引き抜くという作戦のもと、そこで必要になるターゲット人材の詳細なプロフィールを収拾するために行った可能性も否めないのだ。 ちなみに、三菱電機は2018年7月、「中国製造2025」の実現に向けて、中国政府直轄の機械工業儀器儀表綜合技術経済研究所と戦略的パートナーシップ契約を交している。中国にとって三菱電機は国策遂行ため必要不可欠な「外国企業」なのだ。そこの人材を自国企業で囲い込みたいというのは極めて自然な発想だ。 と聞くと、「いやいや、だったら高待遇の求人を出せばいいだけの話だ。いくら中国でもわざわざサイバー攻撃などするわけがない」と思う方もいるかもしれないが、そうせざるを得ない日本特有の事情がある。 それは「離職率の低さ」だ。 「最近の若者はすぐに辞める」と嘆く人事担当者も多いだろうが、実は日本の電機メーカーは離職率がそれほど高くない。新卒3年で辞める割合が20%という業界もある中で5%程度なのだ。この傾向はベテランも同様で、「カネがもらえるなら世界のどこへでも行きまっせ」という人はそれほど多くないのだ』、相次ぐリストラを繰り返してきた「日本の電機メーカー」の社員のローヤリティ(忠誠心)は実際には低くなっていると見るべきだろう。
・『日本企業のサイバーセキュリティーは安心できる水準ではない そんな保守的な日本企業から人材を引き抜こうと中国政府が考えた時、高待遇の求人広告を出せばいいや、となるだろうか。「ビズリーチ」を利用すれば、「こんな待遇で!」と技術者が自分からホイホイやってくると思うだろうか。 思うわけがない。 そうなると方法は一つしかない。三菱電機で働く人、あるいはここで働きたいと採用に応募をしてきた人材にダイレクトに接触をしてスカウトするのだ。 社内の資料ならば、家族構成や年収、これまで何をしてきたのか、どんな仕事をちらつかせれば心が動くのかなどもわかる。つまり今回、三菱電機のサーバーに忍び込んで盗んだ約8100人の個人情報というのは、その「工作」の下資料なのではないか。 もちろん、背後に中国政府という国家がいると推測される以上、どこまで行っても「真相」はわからない。国防に関する機密を盗みにきたが、セキュリティが厳しくて、しかたなく個人情報だけ盗んだ。だから引き抜きだなんだというのは考えすぎだ、と楽観的に見ることもできる。 ただ、前出のジャーナリスト・山田氏によれば、中国の政府系ハッカーが日本企業から情報を抜き取っている現状は、我々が思っているよりも、はるかに深刻だという。 「三菱電機は氷山の一角ですね。ほとんどの日本企業のサイバーセキュリティは安心とは言い難く、これまでも中国から、かなりのサイバー攻撃を受けて情報を抜き取られている。しかし、ほとんどの企業は公表しません。三菱電機は近年、パワハラなどの問題が多発して内部からマスコミへのリークが多い。だから今回も内部リークを受けた『朝日新聞』が一報を報じました。たまたま今回はこのような形で明らかにされましたが、既にもう重要機密が漏れている可能性もある」 実際、山田氏が某国の諜報機関の人間から入手した情報では、「東京2020」でも重要な役割を果たす国内ハイテク企業の重要機密に、中国系ハッカーがアクセスしているという話もある。 山田氏は、近著「世界のスパイから喰いモノにされる日本」の中で、このように警鐘を鳴らしている。「選挙だろうがテロだろうが、世界的なスポーツイベントだろうが、各国はサイバー工作を駆使しながら、自分たちの利害を追求している。(中略)対外情報機関も、国境を越えて動けるサイバー部隊も持たない日本は、これからの時代に本当に世界に伍していけるのだろうか。一刻も早く、その問いについて真剣に検討し、何をすべきかと議論すべきなのである。性善説は通用しない」 本当の「脅威」は音もなく忍び寄る。日本を代表するものづくり企業がサイバー攻撃を受けたのに、「機密は流出してないようだからひと安心」なんて呑気なことを言っているこの国は、かなり危機的な状況だ。 気がつけば「中国の下請け」になっていましたーーなんて恐ろしい未来にならぬことを祈りたい』、全く同感である。
第四に、元通商審議官の荒井寿光氏が2月12日付けダイヤモンド・オンラインに掲載した「三菱電機、NECへのサイバー攻撃で露呈した防衛体制の「徒手空拳」」を紹介しよう。
https://diamond.jp/articles/-/228393
・『氷山の一角にすぎない民間企業への攻撃 三菱電機やNECなど日本の大手企業への大規模なサイバー攻撃が相次いで明るみに出た。 三菱電機では、自社の情報や8000人分の個人情報だけでなく、取引先の政府や民間企業数十社の情報が不正にアクセスされ、機密性の高い防衛関連や、電力、鉄道などの社会インフラに関する情報が流出した可能性がある。 犯人は中国系のサイバー攻撃集団「Tick」であり、三菱電機の中国子会社のシステムから、三菱電機本社の120台超のパソコンや40台超のサーバーにアクセスしたものと見られている。 NECもサイバー攻撃を受け、2万7000件のファイルに不正アクセスがあったことが明らかになった。 三菱電機とNECは、政府や民間のサイバー防衛を支援するビジネスをしている、いわばサイバー分野における「ガードマン会社」であり、また秘密管理の厳しい防衛産業の有力企業だ。 だが日本のサイバー防衛体制には“致命的な欠陥”がある。 日本のサイバー防衛分野の最先端企業が侵入されたことは、関係者にショックを与えたが、実は、これは氷山の一角だ。 外国政府が関与して日本をサイバー攻撃したものとして、2011年の三菱重工への攻撃、衆議院のコンピューターシステムへの侵入、2015年の日本年金機構からの125万件の個人情報の流出、2016年のJTBから679万人の顧客情報の流出、中国系サイバー攻撃集団「APT10」による民間企業、学術機関等に対する長期的な攻撃などが明らかになっている。 しかもその対象や手法は、年々、多様化している』、前の記事では、「三菱電機では、自社の情報や8000人分の個人情報」が流出としていたが、「取引先の政府や民間企業数十社の情報が不正にアクセスされ、機密性の高い防衛関連や、電力、鉄道などの社会インフラに関する情報が流出した可能性がある」、時間が経つにつれ被害が拡大したようだ。「三菱電機とNEC」は「サイバー分野における「ガードマン会社」であり、また秘密管理の厳しい防衛産業の有力企業」であるにも拘らず、攻撃に無力だったとは情けない限りだ。
・『多様化する攻撃対象や手段 工場停止や停電、選挙妨害まで サイバー攻撃の最初は個人の「愉快犯」が多かった。不特定多数のコンピューターにウイルスをまき散らかすものだ。 その後、「サイバースパイ」が誕生した。 従来、産業スパイや軍事スパイ、外交スパイは人間が機密情報を盗んでいたが、インターネットの発達に伴い、2007年頃から、政府系のサイバー攻撃集団がコンピューターを使ってスパイ活動するようになった。 今回の三菱電機事件は、この一例だ。 最近は「サイバーテロ」による施設やインフラの物理的な破壊が行われている。 サイバー攻撃は、コンピューター制御システムを使っている原子力発電所や化学プラントを爆発させたり、電力や水道を止めたりして市民生活を大混乱に陥れることができる。 実際に次のようなサイバー攻撃による事例が報道されている。 2008年にはトルコのパイプラインが爆破され(ロシアが関与の可能性)、2010年にはイランの核開発施設が無力化(イスラエルと米国が関与の可能性)、2014年にはドイツの製鉄所が操業停止に陥った。 2015年と2016年にはウクライナで大規模停電が起きた(ロシアが関与の可能性)。 また、サイバー攻撃の「グローバル化」も進んでいる。 2017年には、英国各地の病院で大規模なサイバー攻撃があり、手術などの医療サービスが中断したほか、日産自動車のイギリス工場の停止を含め多くの被害が発生した。 この時、日本でもホンダの狭山工場が操業停止に追い込まれ、ロシア、フランス、英国、米国などを含む世界150カ国で被害が確認された。 これは北朝鮮が外貨獲得のため他国のコンピューターをウイルスでダウンさせ、コンピューターを回復するために仮想通貨を振り込ませて数十億ドルの外貨を稼いだといわれる。 コンピューターを「人質」にして身代金を要求した新しい手口で世界が驚いた。 最近は、自国に有利な候補者を当選させるための「選挙介入型」も頻発している。 選挙運動がツイッターやフェイスブックなどのSNSを利用するようになったので、相手国の選挙の際、フェイクニュースを流したり、自国に不利な候補者が困る機密情報を意図的に公開したりして、外国の選挙に介入することが増えている。 2016年の米国の大統領選挙の際、民主党候補を不利にするためロシアが米国民主党全国委員会に対するサイバー攻撃をしたとされる。 また2017年にはフランスの大統領選挙の際、マクロン候補の陣営に大規模なサイバー攻撃があり、大量のメールや会計文書の情報がネット上に流出したり、今年1月の台湾総統選挙の際、中国の集団が台湾独立を主張する蔡総統について、「博士号を取得していない」などのフェイクニュースを流したりしたことが報道されている』、「北朝鮮が・・・コンピューターを「人質」にして身代金を要求した新しい手口で世界が驚いた」、記憶に新しいところだが、被害企業の多くは密かに「身代金」を支払って済ませたのだろう。確かに「多様化する攻撃対象や手段」は悩ましいことだ。
・『「犯人」の特定難しく「被害」気付かず 破壊力や脅威は年々拡大 サイバー攻撃は従来の軍事行動やテロなどと違う特殊な性格を持っている。 第1に、サイバーはデジタル化されていて形がない。このため侵入されたり、コピーして情報を持ち出されたりしても気付かないことが多い。 サイバー攻撃は通常の軍事攻撃と異なり、証拠が残らず「犯行声明」を出さないため、「犯人」の特定は難しい。 第2に、インターネットは世界中でクモの巣のように張り巡らされている。このため、攻撃者がどこにいて、どこを経由して侵入してきたのかを割り出すのが難しい。 また侵入したコンピューターシステムを踏み台にして他に侵入することが多いので、自分に被害がないからと安心してはいけない。 第3に、サイバー攻撃の物理的な破壊力の脅威は年々大きくなっている。 全ての社会システムはコンピューターにより制御されている。このため、コンピューターを乗っ取り、原子力発電所を爆発させたり、新幹線を暴走させたりすることができる。 サイバー攻撃を単なる情報システムの問題と捉えていてはいけない。 第4に、サイバー攻撃の技術は年々進歩している。このためサイバー防衛も年々技術を向上させなければならない。いたちごっこは続く。 サイバー攻撃で自国にとって有益な相手国の産業技術や軍事情報を手に入れたり、社会インフラに侵入して相手国の経済や国家の機能をマヒさせ、軍事施設を破壊したりすることができるようになったため、軍隊や国家機関による大掛かりなサイバー攻撃が増えている。 このような性格のため、サイバー防衛は従来の常識を超えた取り組みが必要なのだ』、確かにその通りだろう。
・『軍が主体の「第5の戦闘領域」に 世界はサイバー戦争の時代 このため、今やサイバー空間は、軍事的に陸・海・空・宇宙と並ぶ第5の「戦闘領域」と位置付けられており、各国ともサイバー軍による攻撃や防衛の時代に入っている。 米国は、2018年にサイバー軍を国防長官直轄の統合軍に格上げし、年間約7500億円の予算を使い、約6300人体制で運用しているといわれている。 中国はサイバー戦力の建設を加速しており、サイバー戦用の「61398部隊」は英語に堪能な数百から数千人の隊員がいる。 ロシアはサイバー軍を作りサイバー攻撃活動に力を入れているとの報道がある。 北朝鮮の偵察総局には121局と180局に6000人の隊員が従事し、外国のインフラ破壊と外国要人や科学技術情報及び外貨の窃取を任務としていて、2016年にはバングラデシュ中央銀行から8100万ドル(約91億円)を盗み取ったと報道されている。 他国のこうした体制に比べると、日本は大幅に遅れている。 日本では2014年に自衛隊にサイバー防衛隊が作られたが、隊員の数はわずか220人。予算も2019年度で約223億円にすぎず、外国に比べ隊員数や予算はいかにも少ない。 しかも任務は自衛隊のシステムを守ることなので、民間企業は他国の軍からの攻撃に自力で自らのシステムを守らないといけないのが実情だ』、なるほど。
・『民間が自力で守るしかない日本 官民一体の防衛体制整備が急務 日本は2014年に「サイバーセキュリティ基本法」を制定し、内閣に「サイバーセキュリティ戦略本部」「内閣サイバーセキュリティセンター(NISC)」を設置した。 内閣が基本戦略を作り、政府機関と民間が独立してそれぞれのコンピューターシステムを守る体制だ。 電力・鉄道・通信・金融などの社会の重要インフラでさえも、民間企業が持っているので、民間企業の自己防衛が基本となっている。 外国の攻撃側は軍隊や国家機関のサイバー攻撃の専門家集団だ。これに対して日本は民間企業が本来のビジネスの片手間にサイバー防衛をしている。外国の軍隊や国家機関が攻め、日本の民間企業が守るのでは、サイバー技術に関する設備や開発能力、マンパワー、相手に関する情報収集能力など、全ての面でかなわない。 しかも、日本には外国と違い、国全体のコンピューターシステムを守る国家機関がない。 自衛隊は自分のコンピューターシステムを守るだけであり、国全体のコンピューターシステムを守る任務がなく、実際に任務にないから国全体を守っていない。 だが、サイバー戦争はもはや政府と民間が一体となって防衛をしなければ被害を防げない局面になっている。 このため、第1に、自衛隊法を改正して、自衛隊に国全体のコンピューターシステムを防衛する任務を付与することが必要だ。 国民の生命・財産・社会活動・国土を守るためには、サイバー防衛を災害派遣と同じように自衛隊の任務に位置付け、隊員や予算を思い切って増やすことだ。 第2に、民間の責務を明確にする必要がある。 現在のサイバーセキュリティ基本法では、重要なインフラ事業者もサイバー事業者も、国の施策に「協力するよう努めるものとする」(法6条、7条)ことしか求められていない。攻撃を受けた時の政府への報告義務もない。 民間は自己防衛に努めることはもちろんだが、サイバー攻撃を受けたときは、直ちに内閣と自衛隊に報告することを義務付ける。そうすれば何らかの形でつながっている他のコンピューターへの被害の拡大を防ぐことができる。 第3に、積極的なサイバー防衛を実践することだ。 サイバー攻撃はスピードが速く攻撃されたらおしまいだ。 各国ともいろいろな手段でサイバー情報を収集し、疑わしい相手国のコンピューターシステムをチェックして攻撃側の意図をくじくような牽制活動をして自国への攻撃を未然に防止している。 だが日本ではこのような牽制活動は、自衛隊のサイバー防衛隊にも認められていない。 またサイバー攻撃や防衛の演習も実際にインターネット環境を利用して行うことは不正アクセス防止法により禁じられている。これではサイバー防衛能力は上がらない。 日本は外国並みに積極的なサイバー防衛活動ができるように法改正をすべきだ。 日本は「スパイ天国」「サイバー攻撃天国」といわれている。この汚名を返上するため、今回の事件を教訓として、外国並みのサイバー防衛体制を作り上げることが急務だ』、いくら「サイバー戦争の時代」とはいえ、「自衛隊法を改正して、自衛隊に国全体のコンピューターシステムを防衛する任務を付与することが必要」、自衛隊は逆立ちしてもそんなことが可能とは思えない。「国全体のコンピューターシステムを守る国家機関がない」のであれば、「NISC」を強化する方が筋なのではなかろうか。米国では、「国全体のコンピューターシステムを守る」のは国土保全省であり、サイバー軍と文民部門の協力・協働体制についても、様々な考え方があるようだ(Wikipedia:下記)。荒井氏が、サイバー防衛を自衛隊のような軍事組織に任せれば上手くいくような幻想を持っているようなのは、残念でならない。
https://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%A1%E3%83%AA%E3%82%AB%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E8%BB%8D
タグ:情報セキュリティー サイバー犯罪 (その5)(あなたのPCに勝手に侵入 政府が“違法ハッカー”になる日、ネットバンキング 崩れた安全防壁 偽サイト使い「ワンタイムパス」破られる、三菱電機に中国系?サイバー攻撃 人材情報奪取の裏に「恐るべき意図」、三菱電機 NECへのサイバー攻撃で露呈した防衛体制の「徒手空拳」) 日刊ゲンダイ 「あなたのPCに勝手に侵入 政府が“違法ハッカー”になる日」 政府が近く、サイバー攻撃対策として、企業や家庭のパソコンやスマホといった「IoT機器」に対し、無差別に侵入する調査に乗り出す 「安倍政権による違法ハッカー行為」 認定送信型対電気通信設備サイバー攻撃対処協会」 一般社団法人ICT―ISAC」 「IoT機器」 セキュリティー対策を口実に不正アクセス 国民の政府や政府機関に対する情報管理の信頼度は極めて低い 「通信の秘密」もプライバシー保護もあったもんじゃない 政府機関によるハッキング 何らかの個人情報が漏れた場合は厳罰に処す、などの罰則規定を公表するべき 日経新聞 「ネットバンキング 崩れた安全防壁 偽サイト使い「ワンタイムパス」破られる」 利用者が偽サイトにアクセスしている間に、並行して正規サイトにログインすることでワンタイムパスワードを破る点が新しい 「サイトを量産するためのツールが出回っている可能性もある」 窪田順生 ダイヤモンド・オンライン 「三菱電機に中国系?サイバー攻撃、人材情報奪取の裏に「恐るべき意図」」 「防衛機密」の漏洩なしでも安心できない理由 社員や退職者約6100人分の個人情報と、採用応募者約2000人分の情報が外部に漏れた恐れ Tick 中国が国をあげてゴリゴリ進めている「人材引き抜き戦」に利用されてしまう 韓国や台湾の産業が中国に吸い取られている現実 中国という「人材ブラックホール」によって、韓国と台湾は国内産業の競争力まで吸い込まれてしまっている 習近平の肝いりで半導体市場の覇権を狙う中国 日本企業のサイバーセキュリティーは安心できる水準ではない 三菱電機は氷山の一角 荒井寿光 「三菱電機、NECへのサイバー攻撃で露呈した防衛体制の「徒手空拳」」 氷山の一角にすぎない民間企業への攻撃 三菱電機 自社の情報や8000人分の個人情報だけでなく、取引先の政府や民間企業数十社の情報が不正にアクセスされ、機密性の高い防衛関連や、電力、鉄道などの社会インフラに関する情報が流出した可能性 サイバー分野における「ガードマン会社」であり、また秘密管理の厳しい防衛産業の有力企業 多様化する攻撃対象や手段 北朝鮮 外貨獲得のため他国のコンピューターをウイルスでダウンさせ、コンピューターを回復するために仮想通貨を振り込ませて数十億ドルの外貨を稼いだ コンピューターを「人質」にして身代金を要求した新しい手口 「犯人」の特定難しく「被害」気付かず 破壊力や脅威は年々拡大 軍が主体の「第5の戦闘領域」に 世界はサイバー戦争の時代 民間が自力で守るしかない日本 官民一体の防衛体制整備が急務 「サイバーセキュリティ戦略本部」「内閣サイバーセキュリティセンター(NISC)」 サイバー防衛を災害派遣と同じように自衛隊の任務に位置付け、隊員や予算を思い切って増やす 米国では、「国全体のコンピューターシステムを守る」のは国土保全省であり、サイバー軍と文民部門の協力・協働体制についても、様々な考え方があるようだ(Wikipedia 荒井氏が、サイバー防衛を自衛隊のような軍事組織に任せれば上手くいくような幻想を持っているようなのは、残念でならない
コメント 0