「サイバー戦争」は戦争か

           国連代表部公使  前情報通信課長 中前隆博

最近「サイバー戦争」という言葉をよく見かけますが、コンピューターが近年どういう形で国際政治や安全保障に結びつけられるようになったのか大雑把ながらまとめてみたいと思います。なお本稿の中で主観的な記述にわたる部分は私の個人的な意見です。

歴史
 他人のコンピューターに侵入しその機能に障害をもたらす行為は、パソコンがインターネットに接続して使われるようになった1990年代前半からみられました。その頃は他人の機器を壊したりデータを消したりする「愉快犯」が中心でしたが、やがて企業のネットワークから営業データや個人情報などを盗み出すなどして不正な経済的利得をねらう、経済犯罪の手段にもなりました。

 国際関係に連動して大規模に展開され世界的な関心を呼んだのは、2007年5月エストニアの政府や銀行のサイトが攻撃を受けたケースです。これは、エストニアの旧ソ連兵顕彰碑を移動する計画に反感をもったロシア系の人々が、ロシア人ハッカーの支援を受け約3週間にわたり攻撃を行ったとされています。また、2008年、グルジアとロシアが対立した際に、グルジアの政府のサイトが多数の攻撃を受けました。特に、大統領府のサイトが改ざんされ、サーカシビリ大統領の画像がヒトラーと並べて掲載されるようなことがありました。

 高度さと規模の大きさで世界の耳目を引いたのは、2009年 7月に韓国と米国の政府機関に行われた攻撃です。この場合、攻撃者はあらかじめ韓国内の不特定多数の個人用コンピューターにウイルスを埋め込み、自らの思い通りに動くロボットのように支配しておきます(これをボット化と呼びます)。その上で、指定した日時に特定のサイトに対して一斉に通信を行わせる(一秒に数十万回)ことで、攻撃対象のシステムをいわばパンク状態にしてしまうものです(一般にDDoS攻撃(Distributed Denial of Service)と呼ばれます)。

 コンピューターの侵害行為が社会的に大きなインパクトを持つようになった背景には、「情報処理・管理」と「通信」の一体化がすすみ、かつこれが日々の生活に不可欠な道具として普及してきたことが重要です。今日人々はLANの中に蓄積したデータやインターネット上の様々な知識を使いながら文書を作成したり取引したりします。サイバー上の脅威は、毎日の仕事や生活が情報通信技術なしでは成り立たない経済・社会インフラの変貌を前提に増大してきたものと見ることが大切です。

 しかし、これらの侵入行為や情報窃取が「サイバー戦争」と呼ばれることはあったものの、実体上の「戦争」として認識するには抵抗感があったようです。
 まず、主体の問題があります。これまでのケースでは攻撃を仕掛けたのは個人またはその集団で、背後に国家の関与や支援が疑われる場合も、名指しされた国はこれを否定しています。また、これまでのケースはいずれも単発的で比較的短期間のもので、軍による組織的で継続的な作戦・戦闘行為と同視することは困難でしょう。また、確かに政府や主要企業のサイトが一時的に止まったり内容が改ざんされたりすれば社会的な影響は認められますが、少なくとも経済を破壊したり人命を奪ったりするものとまでは考えられません。むしろ「サイバー暴徒であり騒々しい示威活動」(ルイスCSIS技術公共政策部長)という認識が主流だったといえます。
 しかし、過去2年ほどの間に関係者の認識は大きく変容を余儀なくされてきました。

中国に対する注目
 国際政治上の動機によるサイバー侵害や情報窃取が中国を発信地として行われたとされる例は以前から指摘されてきました。最近では、尖閣諸島をめぐって日中間の緊張が高まる中、中国のハッカーグループの呼びかけで日本の政府や団体のサイトに改ざんなどの攻撃がありました。大抵は侵入者の発信元や情報流出先の割り出しから中国の関与が疑われますが、個人の行為によるものであるのか、政府の後ろ盾があるものかについては明らかになりません。
 そういう中で、2009年10月、米議会の米中経済安全保障委員会に「中国のサイバー戦およびコンピューター侵害遂行能力」という報告書が提出されました。この報告書は、中国が軍事上の目的を実現する手段としてサイバー空間を利用する意思と体制を持ち、具体的な作戦行動が実施されつつあることを88ページにわたって具体的、実証的に示したもので、国際的に大きな注目を集めました。

  特に注目される点を抜粋すると以下の通りです。

  • 中国人民解放軍は「統合ネットワーク電子戦」と銘打った
  •   戦略を策定し、総参謀部第3部がネットワーク防衛と諜報、 
  •   第4部がネットワーク攻撃と電子戦を担当。
  • 同戦略は、紛争の初期段階の作戦あるいは先制措置とし
  •  て、敵の指揮命令・情報などのネットワークを攻撃するもの。
  • 米国との紛争が生じた場合、米国防総省の非機密系 
  •  (unclassified)ネットワークや補給業務に従事する民間
  •  業者のシステムなどが優先的な標的となる。その目的は
  •  米軍の展開の遅延と戦域に駐在する部隊の機能低下で
  •  ある。
  • 中国が米国の保秘ネットワークを攻撃する場合、その目的は
  •  暗号通信の解読よりもその妨害である可能性が高い。
  •  これに対して中国外務省は、この報告は「ねつ造」であり
  •  「冷戦思考に基づくもの」であると厳しく批判しています。

米国の対応
2009年5月、オバマ大統領はサイバーセキュリティに関する政策スピーチを行い、サイバー上の脅威を「国が直面する経済上、国家安全保障上もっとも深刻な課題のひとつ」としました。その上で、同年12月にはサイバーセキュリティ調整官を指名し、また、翌年米軍中央司令部にサイバー・コマンド(US Cyber Command)が設置されました。

 2010年8月、リン国防副長官は「フォーリン・アフェアーズ」に論文を発表し、その中でサイバー空間を陸、海、空、宇宙に次ぐ新たな戦争領域であると規定しつつ、「サイバー戦争」の特徴について以下を指摘しています。

  • 非対称性。少数の個人が全米のシステムを脅かし得る。
  •   高額の武器は不要。
  • 攻撃側に圧倒的に有利。インターネットでは安全確保や
  •  個人情報管理の優先度は低い。
  • 確証破壊理論に基づく抑止は機能しない。まず攻撃元の
  •  特定が困難。また攻撃のコスト引き上げでは抑止は不可能。
  • サイバー脅威の対象は軍事目標に限らない。電力、交通、
  •  金融も含まれる。これらは米軍の展開に不可欠なインフラ。
  •  さらに2011年7月、米国防省は「サイバー空間での展開戦略」
  •  を発表し、①サイバー空間を(軍の)展開領域とする、②国防
  •  省の情報通信を保護するための新たな運用コンセプトの採
  •  用、③国内官民との連携、④同盟国等との関係強化、
  •  ⑤体制整備と技術革新、という5つの戦略方針を打ち
  •  出しました。

破壊兵器としてのコンピューター
サイバー攻撃は人命を奪ったり軍事標的を直接破壊したりすることはないという従来の見方を大きく覆すことになったのが、スタックスネット(Stuxnet)の一件です。
スタックスネットはコンピューターウイルスの一つです。2010年6月に発見されました。
当初これの正体は不明でしたが、9月になって、イラン政府は核開発施設が未知のウイルスに汚染されたことを発表しました。その後イラン自身は認めていませんが、ナタンズにあるウラン濃縮プラントの遠心分離機が機能障害を起こし、その原因がこのスタックスネットであることが次第に明らかになりました。
スタックスネットは、これまでのウイルスに比べ格段に複雑で高度な機能を持ちその全容は明らかではありませんが、USBメモリなどを媒介として目標施設のネットワーク(LAN)を経由して制御システムに感染し、遠心分離機のモーターを撹乱、誤作動させるとされています。
しかもこれは、特定の対象(この場合、イランの核施設に設置されたシーメンス社製の遠心分離機制御システム)のみに働くことが特徴です。これによってイランの核開発計画は少なくとも数年の遅延を余儀なくされたとも言われています。
このスタックスネットでは2つの点で大きな飛躍があります。一つは、インターネットに接続されない閉鎖系ネットワークを狙ってくること、もう一つは、その目的が情報資産の攪乱や窃取などではなく、プラントを動かす制御システムの破壊であることです。
スタックスネットは、その作成にきわめて高度な技術を必要とし、攻撃対象の詳細な情報の収集と莫大な開発資金が必要であることから、個人やハッカー集団が開発することは不可能といわれます。どこかの国の政府が作成したものと強く疑われている所以です。
今日、各国の政府機関や軍がスタックスネットの研究にしのぎを削っていると想像されます。もしもこれに類似のウイルスが、原子力発電、航空管制、高速鉄道などの制御システムを攪乱し、機能障害を起こすことに成功すれば、これは事実上これらの施設を爆撃することと類似の軍事的効果が期待されます。スタックスネットはサイバーセキュリティの考え方を根本的に変えた、とされるのもこのためです。

「サイバー戦争」と国際法
「サイバー」が戦闘行為の手段として相当現実的なものとなる中、果たして国際法は「サイバー戦争」を規律できるのか、ということが問題になります。
この点についての議論はまだごく初歩的な段階ですが、2010年に英王立国際問題研究所のヒュー研究員がある程度踏み込んだ検討を試みています。「サイバー戦争」を従来型の武器による武力行使と比較する観点からはなかなか興味深いので、以下に概要をご紹介します。

  1. 現時点ではサイバー戦は大抵「非正規戦(irregular warfare)」と認識され、戦時国際法の適用についてはコンセンサスがない。既存の国際法における「武器の使用」で規律することは困難。
  2. 軍事的必要性の原則(military necessity)では、直接戦争活動に寄与しない民間人や民間財産は、これを攻撃しても軍事的優勢を確保することは期待されないから、故意の攻撃の対象にはならないとされる。しかしサイバー戦においては、通信施設の軍事・民事目的の区別が非常に困難。その結果民間の情報インフラが敵対行為の対象となる可能性が高い。
  3. 現行の国際法では、区別原則(distinction)により戦闘員と非戦闘員は区別される。しかし、ネットワーク上の攻撃は遠隔の地から隠密要員により行われることが多い。攻撃者が非戦闘員、民間人である場合、この原則の適用が更に難しくなる。
  4. 均衡性の原則(proportionality)は軍事目標達成に必要な程度を超える武力の使用を禁ずる。しかし数千マイルの遠隔地からエネルギー網や通信網に対し行なわれるサイバー攻撃での軍事的成果は不明確である。
  5. 無差別兵器(indiscriminate weapons)の禁止との関連では、例えば、公共のウェブサイトに埋め込まれた悪質なコードによる被害が戦闘員よりも非戦闘員に対して大きい場合、無差別兵器の使用と判断されうる。しかし何がサイバー兵器であるかについてのコンセンサスが殆どない現状では、この原則の適用が意味のあるものとすることには困難がある。
  6. 法的な保護施設と歴史上認められたもの(赤十字、赤新月など)に対する攻撃は規制され、軍がこの識別を悪用することは背信行為(perfidy)として禁じられる。サイバー空間では軍の補給システムに民間の商標を使ったり指揮命令の伝達に学界ネットワークを利用したりするような場合がこれにあたる。病院や学校などのシステムはサイバー攻撃の対象となることを回避するよう明確に識別される必要がある。
  7. 境界のない空間におけるサイバー戦においては領土に密接に関係する中立(neutrality)の適用はきわめて困難である。

結び
「サイバー攻撃」とその防御においては、技術的なイタチごっこが延々と続きます。そのなかで、ふと、不用意に外から持ってきたUSBメモリを差し込む、ウェブで不適切なサイトを閲覧する、受け取ったメールを無分別に開く、などといった行為が、システム全体を壊す原因になります。またこのことは、個人のパソコンの使用においても何ら変わりません。注意を怠ると「ボット化」されて、サイバー攻撃の片棒を担ぐことになるからです。
サイバー空間においても、あるいはそこにおいてこそ、個々人の「防衛意識」というのが重要、ということのようです。