WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
政府通信本部(GCHQ)元長官は、コンピューターインフラへのハッキングに関して国家に明確な境界線を定めるサイバー戦争に関する国際条約が必要だと述べた。
多岐にわたるインタビューの中で、ロバート・ハニガン氏はサイバー戦争、ロシア、そして人工知能がもたらす脅威の増大を指摘し、規制強化の必要性を訴えた。「サイバー空間における何らかの軍備管理を検討すべきだ」と、昨年GCHQを去ったハニガン氏は述べた。「何が許容され、何が許容されないのかについて、何らかの国際的合意を形成する必要がある」
しかし、これがどのように機能するかは難しい問題です。簡単に言えば、サイバー戦争や国家による攻撃的なハッキング活動に対する直接的な解決策は存在せず、解決策を見出すのも容易ではありません。
サイバー攻撃を行った国を公に非難することは、デジタル上の痕跡が隠蔽されているか、あるいは存在しない場合が多いため、依然として比較的稀である。また、名指しによる非難は政治的な影響も及ぼす。しかしながら、政府支援を受けたハッカーの行動について、国際的な合意を求める動きは拡大している。
マイクロソフトは以前、デジタル・ジュネーブ条約の制定を呼びかけており、国連事務総長も同様の提案を行っている。NATOのサイバー防衛センターも、サイバー戦争に関する既存の国際法を明確にする姿勢を明確に示している。しかし、そのような国際協定の策定には何年もかかるだろうとハニガン氏は指摘する。
「今は大国間の緊張が高まっているため、いかなる国際合意も成立させるのが特に難しい時期です。大きな危険は、一方が履行し、もう一方が履行しない条約になってしまうことです。そうなれば、事態はこれまで以上に悪化するでしょう。」
しかし、このような大規模な取り組みは「小さなジェスチャー」から始まるかもしれないとハニガン氏は言う。「私たち全員にとって何が本当に重要で、守らなければならないのかについて議論できるはずだ」と彼は言う。インターネットのインフラや世界的な金融機関などがその例だと彼は提案する。
ハンニガン氏の介入は、英国政府が2017年夏にロシアによるマルウェア「NotPetya」の拡散を公式に非難する直前に行われた。この攻撃は、不正アクセスされた会計ソフトウェアを利用して数千台のコンピューターに拡散した。最も大きな被害を受けたのはMaresk社だった。この国際海運会社は、4万5000台のコンピューターと4000台のサーバーを交換し、2500個のアプリケーションを再インストールしたと報じられている。宅配会社TNTの混乱は数ヶ月続いた。
NotPetyaは、国家が関与したとされるマルウェアの中でも、最も破壊的な形態の一つです。しかし、ハードウェアとソフトウェアのサプライチェーンを破壊しようとする者を、どうすれば阻止できるのでしょうか。ハニガン氏は、国際的な合意は個々の分野(例えば医療)に焦点を当て、国家が介入できない分野を明確に定めることができると主張しています。しかし、ロシアと北朝鮮を制御するのは容易ではありません。
このような合意は前例のないものとなるだろう。化学兵器はPCW(化学兵器監視機構)によって管理されているが、ハニガン氏はこの方法はサイバー空間には通用しないと考えている。「西側諸国政府は、自国の評価の根拠となる情報を国際機関に提供すれば、情報に危害を加えることになる」とハニガン氏は言う。「現時点では、独立した機関を設置できないため、誰がこれを監視するのか見当もつかない」
サイバー戦争
国家によるサイバー攻撃の証拠は説得力に欠ける。ロシアによるウクライナの電力網への攻撃により、数十万世帯が停電に見舞われた。北朝鮮が関与したとされるランサムウェア「WannaCry」は、NHS(国民保健サービス)の数百のコンピュータシステムをオフラインにし、人命を危険にさらした。
しかし、サイバー戦争行為とは何かは依然として曖昧だ。英国の攻撃能力を統括してきたハニガン氏も、サイバー戦争という用語が具体的に何を意味するのかを依然として明確に理解していない。2017年半ばに個人的な理由でGCHQを退職して以来、ハニガン氏はサイバーセキュリティ企業Blue Voyantで働き、マッキンゼー・アンド・カンパニーのコンサルティングも行っている。また、3月下旬には香港で開催されるグレート・イノベーション・フェスティバルで講演を行う予定だ。「情報収集のためのスパイ活動と破壊的な行為を区別するのは非常に難しい」と彼は語る。
問題は、誰が何を仕掛けたのかを突き止めることです。コードやマスクされたデータによる偽装により、情報源を特定するのは非常に困難です。国名が挙がったとしても、注意が必要です。先週、英国政府がロシアがNotPetyaランサムウェアを作成したと非難した際、最も強い表現は「ほぼ確実」でした。しかし、米国からも発信されたという帰属は、大きな意味を持ちます。NotPetyaは、現実世界に甚大な被害をもたらした破壊的なマルウェアであり、ロシアによって仕掛けられたのです。
ハニガン氏によると、ロシアと北朝鮮のサイバー戦争戦術には「安心できる一貫性」がある。それは、両国が自国の国益を貫いていることだ。(ロシアはウクライナに対してオンラインとオフラインの両方で攻撃的な行動を取り、北朝鮮はサイバー攻撃を駆使して国際的に自国の力を誇示している。)「現在の国際関係では、人々が自国の脅威を感じていないことが懸念される」と彼は言う。「5年前や10年前なら取らなかったようなリスクを負えると感じている。[ロシアは]米国大統領選挙への介入が自国の責任だとみなされても気にしていないようだ」と彼は言う。彼は、敵対国による実地実験が今後さらに増えると警告する。
「もし(ロシアの)意図が変わり、より無謀で破壊的、そして攻撃的になれば、本当に非常に憂慮すべき事態になる」と彼は言う。「特に、彼らがウクライナや他の場所で過去に何をしてきたかを見ればなおさらだ」
2017年7月、GCHQの広報部門から流出した文書によると、ハッカーが英国の電力システムに侵入した可能性が「高い」とGCHQは考えていたことが明らかになった。当時、マザーボードは、国家サイバーセキュリティセンター(NSC)が産業制御システムエンジニアリングへの攻撃に成功したと報じていた。
国家の重要インフラに対するこの種の攻撃は特に懸念される。イランとつながりのあるハッカー集団「ITSec Team」は、2016年5月に米国の小規模ダムへのサイバー攻撃に関連した罪で起訴された。ハニガン氏は現時点で、インフラへの攻撃による人身被害や死亡者は確認していない。しかし、それは時間の問題だ。「いずれ起こるのはほぼ避けられないでしょう」と彼は言う。
「電力供給や交通管制に不正アクセスすれば、人命が危険にさらされるリスクが高まることは承知しています。大規模な被害は考えにくいでしょう。むしろ、偶発的な事故で起こる可能性の方がはるかに高いでしょう」。サイバー攻撃によって人が負傷したり死亡したりする可能性のあるシナリオについて尋ねられたハンニガン氏は、「巻き添え被害や意図しない結果」によるものだろうと答えた。元GCHQ長官のこの発言の背後にある主な論拠は、サイバー攻撃とセキュリティは概ね予測不可能であるという事実にある。正規のソフトウェアに埋め込まれているコードであれ、悪意のあるコードであれ、実際に運用されるまでは、その影響がどうなるかを知ることは不可能だ。「テストはできますが、実際に運用されるまでは、何が起こるかは実際にはわかりません」。
人々に物理的な危害を加えるという点では、テロリスト集団が依然として最も可能性の高い候補です。「もちろん、サイバー空間を通じて積極的に人を殺そうとする少数のテロリスト集団は存在するでしょう。しかし、彼らがその能力を持つには程遠いと思います」とハンニガン氏は言います。「意図はあっても、能力を持つには程遠いのです。国家支援のテロリズムは、サイバー空間において非常に破壊的な行為を行う可能性があります。」しかし、テロリストによるサイバー攻撃は数年前から予測されており、現実世界への影響はほとんど見られません。
続きを読む: ハッカーはAI攻撃の波を起こそうとしている
攻勢に出る英国
2016年11月、当時のフィリップ・ハモンド国防大臣は、英国が攻勢に出ると発表した。政府がサイバー空間において他国を妨害するための積極的な権限を開発していると認めたのはこれが初めてだった。ハモンド大臣は、英国はGCHQと国防省が共同で運営する国家攻撃サイバープログラムの一環として、敵に「損害、混乱、あるいは破壊」を与えることを目指すと述べた。
しかし、政府は2010年以降にどれだけの攻撃的なサイバー攻撃を仕掛けたのか、また、攻撃作戦を開始した理由についても明らかにしていない。また、国家安全保障上の理由から、どの公的機関がサイバー攻撃に関与したのかという情報公開法に基づく請求も拒否している。その結果、英国の対応は依然として不透明である。
ハニガン氏は、英国の敵に対するサイバー攻撃能力は「かなり洗練されている」ものの、米国の規模には遠く及ばないと述べ、「これは一種の軍拡競争であり、誰もがこれに取り組んでいる」と付け加えた。
英国がサイバー攻撃を展開するにあたっては、様々な選択肢がある。具体的にどのようなものなのかは言及を避けつつも、「高度な」抑止力からサイバー犯罪を阻止するための作戦まで、多岐にわたる。「武力紛争に巻き込まれ、自国も敵国もサイバーへの依存度が高まっている場合、他国の兵器システムなどに干渉する必要があるだろう」とハンニガン氏は語る。
英国政府が実際にサイバー攻撃を行ったことを認めたのは、イスラム国(IS)に対する攻撃のみだ。2016年10月、ハモンド氏はイラク北部で初めて「攻撃的サイバー」が使用されたと述べた。ハニガン氏は、政府、政府通信本部(GCHQ)、そしてMI5などの諜報機関が、サイバー攻撃の詳細をすぐに公表する可能性は低いと述べている。
「自発的なものではなく、他者が挑発的に仕掛けてくるのではないかと考えています」と彼は言う。「もし他国、あるいは犯罪グループが、大規模に破壊的あるいは無謀な行為を行えば、政府は一線を画し、これに対して我々はこう対処する、と明言せざるを得なくなるかもしれません」。NotPetyaのような事件は、この可能性を高めている。
規制の強化
ハンニガン氏が2014年にGCHQに就任して以来、多くのことが変化しました。サイバー戦争はそれほど一般的ではなく、彼の当面の任務はエドワード・スノーデン氏の暴露による影響への対応でした。元NSA契約職員によって暴露された大量のデータ収集と大規模監視プログラムは、英国の諜報機関であるNSAを、その99年の歴史の中でかつてないほど厳しい監視に直面させました。データ分析と人工知能が普及するにつれて、この注目はますます高まっていくでしょう。
裁判所はGCHQが約10年にわたり違法に個人データを収集していたと判決を下しており、捜査権限法の導入により、英国の治安機関の活動に対する議会の監視がさらに強化されました。知的財産法は、英国の監視法における過去20年間で最大の改正です。この法律は、政府による侵入的なハッキングをこれまで以上に明確に規定するだけでなく、利用可能な権限も拡大しています。政府は成立以来、圧力を受け、譲歩してきました。
知的財産法は、英国のブレグジット交渉においても問題を引き起こす可能性が高い。「EUとのデータ協定交渉において、捜査権限法は大きな問題になるだろう」とハニガン氏は言う。国家安全保障情報はブレグジットのデータ協定には含まれないが、この協定は英国とEU間のデータのやり取り方法を規定することになる。「この協定は大量データの利用に焦点を当てることになるだろう。そこが訴訟の焦点であり、EU内で不満を抱いている人々のほとんどが、EU内で様々な意見を持っているにもかかわらず、不満を抱いている部分だ」とハニガン氏は言う。「非常に複雑な交渉になるだろうが、非常に重要なものになるだろう」
ハニガン氏によると、法的な介入が必要になる可能性が高いもう一つの分野は、機械学習と人工知能(AI)の活用だ。「私が最近、特に政府を離れた今、懸念しているのは、その倫理性です。将来的には、AIの規制や、アルゴリズムにプライバシー強化のアプローチを組み込んだAI関連の法律が必要になるかもしれません。」このような枠組みは、AIの力を借りて膨大な量の個人データを扱うGCHQなどの安全保障機関に適用される可能性が高い。
元諜報機関トップは、諜報機関にとって、最近の裁判や英国の監視法に関するアンダーソン報告書から学ぶべきことがあると述べている。「何千人もの人々を監視下に置くことは不可能だし、すべきでもない。だからこそ、データをより有効に活用する必要がある」と彼は言う。「どうすればデータをより賢く活用し、真の優先事項を選別できるだろうか? AIはまさにその点で優れている」
この記事はWIRED UKで最初に公開されました。
