サイバー戦争の可能性と限界スタックスネットが意味するもの
(英エコノミスト誌 2010年10月2日号)
精巧な「サイバーミサイル」は、サイバー戦争の可能性と限界を浮き彫りにしている。
コンピューターセキュリティの専門家は、これを「驚異的」「革新的」「絶妙」と評している。
産業制御システムを感染させるウイルス「スタックスネット」は、多くの点で際立っている。ソフトウエアの並外れた複雑さからは、悪質なハッカーやサイバー犯罪者というよりは、恐らくは政府の支援を受けた、豊富な資金を有する専門家集団の仕業であることがうかがえる。
スタックスネットは、特定の産業制御システムの特定のコンピューター構成に影響を及ぼすように設計されている。言い換えれば、特定の工程か特定の工場の操業を妨害するために作られているのだ。スタックスネットの大量感染はイランに集中しており、このことはイランの原子力施設が標的だったことを示唆している。
要するに、これは新種のサイバー攻撃だ。エストニアやグルジアのインターネット接続を遮断する試み(ロシアの責任とされる)や、機密を盗もうとして米国のシステムに侵入するサイバー攻撃(中国の責任とされる)とは異なり、これは特定の標的に対する兵器で、「サイバーミサイル」と呼ばれている。
単独、もしくは複数の政府(有力な容疑者はイスラエルと米国)が恐らく背後にいる。この類の攻撃が起きる可能性は何年も取り沙汰されてきたが、スタックスネットはサイバー戦争の可能性と限界を示す実例となった。
サイバー戦争に関する議論の大半は、国の送電網と様々な重要インフラが攻撃によって作動停止に陥る「デジタル真珠湾攻撃」の可能性が焦点となっていた。そのようなシステムの多くはセキュリティ上の理由から、インターネットから切り離されている。
マイクロソフトの基本ソフト「ウィンドウズ」の欠陥を悪用し、USBメモリースティックを介してスタンドアローン型システムに感染を広げるスタックスネットは、こうしたシステムが大方の人が考えていた以上に脆弱であることをはっきり示した。
スタックスネットの大量感染により、産業制御システムを確実に保護することの重要性が強調された。対策は、ソフトウエア(オープンソースコードの方がセキュリティホールを検査しやすい)と適切な指針(メモリースティックの使用禁止など)の両面で講じられるはずだ。重要なインフラをインターネットにつなぐ「スマートグリッド(次世代送電網)」は慎重に保護されなくてはならない。
スタックスネットは、また別の意味でも状況をはっきりさせた。単にできる限り大きな混乱を引き起こそうとするだけではなく、特定のシステムを標的とするサイバー兵器の可能性を示したのである。
例えば、ドイツでは数カ所の工場がスタックスネットに感染したが、損害は生じなかった。こうした工場はスタックスネットが探していた標的ではなかったからだ。
標的を限定するこうした特殊性は、サイバー兵器は追跡が難しく、関係を否認できることと並んで、直接的な軍事攻撃を避けながら特定の標的を無力化したいと考える政府や、競合企業への妨害工作に関心のある企業にとって明らかな魅力がある。
サイバー戦争には宣戦布告がない
しかしスタックスネットは、サイバー攻撃の限界も浮き彫りにしている。イランはブシェールの原子力発電所のコンピューター数台が感染したことを認めたが、被害はなかったと述べている。実際の標的はナタンツにあるウラン濃縮施設の遠心分離機だったのかもしれない。
昨年、ナタンツで稼働中の遠心分離機の数が減ったが、スタックスネットが原因だったかどうかは定かではない。たとえそうであっても、サイバー攻撃はイランの核計画を遅らせただけで、一斉にシステムをダウンさせることはなかったろう。
スタックスネットの黒幕が誰であれ、何もしないよりは核計画を遅らせる方がましだと思ったのかもしれない。しかし、サイバー攻撃は物理的な攻撃に代わるものではない。サイバー攻撃からの復旧は数週間で済むのに対し、後者の場合は何年もかかる。
スタックスネットはその設計者が意図した損害を与えることには失敗したかもしれないが、「西側諸国はサイバー攻撃の創始者ではなく被害者になる」という一般的な前提を覆すことには成功した。
また、この類の戦争の不透明さも例証した。何しろ、誰が誰を攻撃しているか明らかになることは、めったにないし、攻撃が成功したのかどうか、そもそも本当に攻撃があったのかどうかも見分けるのが難しい。サイバー戦争とはそういうものらしい。それに慣れるしかないだろう。
