国防総省の兵器システムはサイバー攻撃の格好の標的、新たな報告書で判明

あらゆる問題を解決する第一歩は、問題の存在を認めることです。しかし、米国会計検査院（GAO）の新たな報告書によると、国防総省は自国の兵器システムに対するサイバーセキュリティの脅威を依然として否定していることが明らかになりました。

具体的には、報告書は、国防総省が2012年から2017年にかけて試験したほぼすべての兵器に「ミッションクリティカル」なサイバー脆弱性があると結論付けている。「比較的単純なツールと手法を用いて、試験官はシステムを乗っ取り、パスワード管理の不備や暗号化されていない通信といった基本的な問題もあって、大部分が検知されずに動作させることができた」と報告書は述べている。しかし、おそらくより憂慮すべきことに、これらのシステムを監督する当局者は、試験結果を軽視しているようだ。

GAOは火曜日、国防総省が現行兵器システムの開発に1兆6600億ドルを費やす計画に先立ち、上院軍事委員会の要請を受けて報告書を発表した。「国防総省、脆弱性の規模への取り組みを開始したばかり」という副題が付けられたこの報告書は、国防総省が「サイバーセキュリティを十分に考慮せずに設計・構築されたシステムを一世代分保有している可能性が高い」と指摘している。軍事委員会のジェームズ・インホフ委員長と筆頭委員のジャック・リード氏は、コメント要請には応じなかった。

GAOの報告書は、国防総省が自ら実施したペネトレーションテストと、国防総省各部局の職員へのインタビューに基づいている。GAOは、国防総省はサイバーセキュリティの重要性と兵器システムの脆弱性の規模にようやく取り組み始めたばかりだと述べており、報告書の調査結果は国防総省にとって警鐘となるはずだ。

「GAOはサイバーに関する誇張表現に陥りやすいことは認めざるを得ませんが、彼らのサンプル抽出や方法論が著しく的外れであったり、意図的に誤解を招くものでない限り、国防総省は非常に深刻な問題を抱えていることになります」と、オバマ大統領のサイバーセキュリティと技術政策担当特別補佐官を務めたR・デイビッド・エデルマン氏は言う。「民間企業であれば、このような報告書は最高経営責任者（CEO）を死刑に処するような類のものです。」

国防総省のテスターは、同省の兵器システムに重大な脆弱性を発見しました。その一部は、基本的なパスワードセキュリティの不備や暗号化の欠如に起因していました。人事管理局への侵入や国防総省の非機密メールサーバーへの侵入といった過去の政府システムへのハッキング事例が示すように、基本的なセキュリティ衛生の不備は、複雑なシステムであっても崩壊につながる可能性があります。

GAOの報告書によると、あるテスターは兵器システムの管理者パスワードを9秒で推測できたという。他の兵器では商用またはオープンソースのソフトウェアが使用されていたが、管理者はデフォルトのパスワードを変更していなかった。さらに別のテスターは、スキャンするだけで兵器システムを部分的にシャットダウンすることに成功した。GAOによれば、この手法は非常に基本的なため、「知識や専門知識はほとんど必要ありません」。

試験担当者は、これらの兵器を完全に制御できる場合もあった。「あるケースでは、2人からなる試験チームが兵器システムへの初期アクセスにわずか1時間しかかからず、試験対象のシステムを完全に制御できるようになるまでには1日かかった」と報告書は述べている。

国防総省は、テスターが兵器を偵察しているのを検知するのにも苦労した。GAOによると、あるケースでは、テスターが数週間にわたって兵器システムに侵入していたにもかかわらず、管理者は発見できなかった。これは、テスターが意図的に「騒がしい」状態だったにもかかわらずである。報告書によると、他のケースでは、自動化システムはテスターを検知したものの、システム監視を担当する人間が侵入技術が何を伝えようとしているのか理解できなかったという。

機密扱いの主題に関する非機密報告書の多くと同様に、GAO報告書は対象範囲は広いものの具体的な記述は乏しく、様々な職員やシステムについて言及しながらも、具体的な人物を特定していない。また、報告書は「サイバーセキュリティ評価の結果は特定の日付時点のものであるため、システム開発中に特定された脆弱性は、システムが実戦配備される時点では既に存在していない可能性がある」と警告している。それでもなお、報告書は、2018年という現在においても、国防総省がサイバー戦争の現実に追いつこうと奮闘している状況を浮き彫りにしている。

エデルマン氏は、この報告書を見て映画『宇宙空母ギャラクティカ』の冒頭シーンを思い出したという。そのシーンでは、サイバネティックスの敵であるサイロンが、人類の最新鋭ジェット戦闘機の全艦隊のコンピューターを感染させ、全滅させる（タイトルの宇宙船は旧式システムのおかげで難を逃れる）。「最初の攻撃が成功しなければ、1兆ドルのハードウェアも無駄だ」とエデルマン氏は言う。こうした非対称のサイバー攻撃は、サイバーセキュリティの専門家を長年悩ませてきたもので、エデルマン氏によると、中国、ロシア、北朝鮮など、米国の最大の敵対国の一部では、これが作戦指針となっている。しかし、この報告書は、国防総省の兵器システムの脆弱性と、国防総省当局者がその安全性について信じていることの間に、憂慮すべき乖離があることを浮き彫りにしている。

「運用テストにおいて、国防総省は開発中のシステムにミッションクリティカルなサイバー脆弱性を日常的に発見していたが、GAOが面談したプログラム担当者は、自社のシステムは安全だと信じており、一部のテスト結果を非現実的として軽視していた」と報告書には記されている。例えば、国防総省関係者は、テスト担当者は現実世界のハッカーには与えられていないようなアクセス権限を持っていたと指摘した。しかし、GAOはNSA関係者にもインタビューを行い、彼らはこれらの懸念を否定し、報告書の中で「敵対勢力は、時間的制約や資金の制限といったテストチームに課せられるような制約を受けていない。そして、この情報とアクセス権限は、中程度から高度な脅威をより厳密にシミュレートするためにテスト担当者に付与されている」と述べている。

国防総省がこれらの結果を否定するということは、自らの省庁による試験を否定しているということを明確にしておくことが重要です。GAOは自ら試験を実施したわけではなく、国防総省の試験チームの評価を監査したに過ぎません。しかし、現実的な試験条件とは何かをめぐる議論は国防関係者の間では定番のものだ、と国防総省と契約を結んでいるランド研究所の軍事調達・技術専門家、カオリオン・オコネル氏は述べています。

「これは、現実的な条件とは何かという、ある種の宗教的な議論の一つです」とオコネル氏は述べ、WIREDからの取材を受ける前にこの報告書を読んでいなかったため、大まかな見方を示した。試験条件の交渉は、試験担当者と調達担当者の間でしばしば骨の折れる作業になると彼女は言う。国防総省は、試験が意味を持つほど厳格でありながら、兵器が合格できないほど厳格であってはならないと考えているからだ。本稿執筆時点で国防総省にコメントを求めたが、連絡は取れなかった。

しかし、GAO報告書で指摘された脆弱性は突飛なものではなく、国防総省のテストも過度に厳格だったわけではない。むしろ、全く逆だ。「テストチームはシステムを扱える時間が限られているため、最も容易かつ効果的なアクセス方法を探している。これは、我々が面会した国防総省関係者や検証したテスト報告書によるとのことだ。彼らは敵が悪用できる脆弱性をすべて特定しているわけではない」と報告書は述べている。さらに、すべての兵器がテストされているわけではない。

「我々が会った多くのプログラム関係者は、サイバーセキュリティ評価を受けていないプログラム関係者も含め、システムは安全だと述べている」と報告書は述べている。

そのため、GAOは国防総省が把握している脆弱性は、システムにおける実際のリスクのごく一部に過ぎないと推定しています。テストでは、産業用制御システム、インターネットに接続できないデバイス、偽造部品など、潜在的な問題領域が全体的に除外されています。

国防総省は昨年、新たなバグ報奨金プログラムを通じて発見されたバグに積極的にパッチを適用したことで称賛を受けたものの、GAOの報告書によると、内部で特定された脆弱性の修正実績は、その水準には程遠いものとなっている。実際、報告書では、国防総省が過去のリスク評価で警告を受けた20件のサイバー脆弱性のうち、今回の報告書の調査期間中に修正されたのはわずか1件に過ぎないことが明らかにされている。

「重要な結論は、国防総省は新たな兵器セキュリティパラダイムを必要としているということです」とエデルマン氏は言う。「最先端の戦闘機が事実上、超高温のエンジンを搭載したスーパーコンピューターのような世界において、これは非常に深刻に受け止めなければならないリスクです。」1兆ドルを超える高度な軍事兵器システムでさえ、デフォルトの管理者パスワードが盗まれるだけで侵入されてしまうとしたら、何の価値もありません。

WIREDのその他の素晴らしい記事