サイバー対策を強化するオバマの狙い
岡崎研究所
2016年03月18日(Fri) http://wedge.ismedia.jp/articles/-/6324
米国のバラク・オバマ大統領がウォール・ストリート・ジャーナル紙に投稿し、米国のサイバーセキュリティの大幅強化のための「サイバーセキュリティ国家行動計画」を発表しました。要旨は以下の通りです。
オバマにとって最優先事項はサイバーインフラ保護
米国の政府、民間に対するサイバー攻撃の脅威に対抗するため、これまでの予算の35%増の、190億ドル強の予算を提案する。すべての国民にオンラインの安全を提供するためである。
具体的提案は以下のとおりである。
1)連邦政府の老朽化したコンピューターシステムの近代化のため、30億ドルを支出する。
2)シリコンバレーなどから最優秀人材を集め、政府全体のサイバー専門家集団を作る。
3)2月8日発足させたサイバーセキュリティの「中核的研究拠点」で官民の専門家が最新のサイバー技術の研究開発を行う。
4)国民がサイバーの脅威をより自覚するような運動を行う。
5)超党派の「国家サイバーセキュリティ強化委員会」を設立し、今後10年間にわたり、官民によるサイバーセキュリティの自覚と強化を図る。
インターネット時代が始まってから未だ30年足らずであり、米国民が重視するイノベーションと個人情報の保護が確保できれば、今後の可能性は無限である。
大統領にとって米国のサイバーインフラを保護することは国家安全保障上の最優先事項である。すべての課題を1年で解決することはできないが、将来のための強い素地を作ろうとするものである。諸措置をとることにより、米国のイノベーションの可能性を最大限発揮し、長きにわたり米国の繁栄とサイバーの安全を確保できると確信する。
出典:Barack Obama‘Protecting U.S. Innovation From Cyberthreats’(Wall Street Journal, February 9, 2016)
http://www.wsj.com/articles/protecting-u-s-innovation-from-cyberthreats-1455012003
http://www.wsj.com/articles/protecting-u-s-innovation-from-cyberthreats-1455012003
***
オバマ大統領がここで述べているサイバーセキュリティ大幅強化策は、オバマ大統領が2月9日に議会に提出した2017年会計年度の予算教書で、目玉の一つとして提案されています。
中国やロシアなどからとみられるサイバー攻撃は、米国にとって現実の脅威となっています。米企業に対する企業機密窃取のためのサイバー攻撃に加え、国防総省や人事管理局などがすでに大規模なサイバー攻撃を受けています。
ホワイトハウスのサイバーセキュリティ調整官のMichael
Danielは記者会見で、「サイバーセキュリティ国家行動計画」(以下「計画」)は、個々のサイバー攻撃ではなく、サイバーの脅威の基本的課題に対処しようとするものである、と述べたと報じられています。
基本的課題の一つは人材です。サイバーセキュリティには高度の知識を持った専門家が必要ですが、現在連邦政府には専門家が不足していて、養成が急務と言われています。今回の「計画」で、政府全体のサイバー専門家集団を作る、とされているのは、そのニーズに応えるものでしょう。
サイバーセキュリティ強化は超党派の課題
「計画」は、オバマ大統領らしく国民の目線でのサイバーセキュリティ強化が謳われている印象がありますが、サイバーインフラの保護が国家安全保障上の最優先事項であるという時、最も重要なのは、言うまでもなく軍事関連です。その意味で国防総省のサイバー司令部や国家安全保障局、CIAといった機関のサイバーセキュリティの強化は、喫緊の課題であります。ただし、これらは当然のことながら、あまり公には論じられるものではありません。
予算教書を踏まえての来年度予算案の議会審議は、共和党の姿勢に加えて、大統領選挙を控えていることもあり、容易には進まないでしょうが、サイバーセキュリティの大幅強化は超党派の課題です。関連予算については、共和党はさして抵抗しないのではないかと思われます。
サイバーセキュリティは、日本にとっても重要な課題です。日本も、この際思い切って予算を増やすなど、一層本格的に取り組むべきでしょう。
《維新嵐》
アメリカは2011年7月に米国防総省により、サイバー空間を陸、海、空、宇宙に次ぐ「第5の戦場」と位置づける「サイバー戦略」が公表されました。これは、アメリカ国内のインフラ設備が他国からサイバー攻撃を受けた際には、その攻撃の度合いと被害の深刻さに応じて通常戦力による武力の報復も厭わない、というある意味覚悟を示したわけですが、それでもサイバー攻撃への基本対応としては、刑事事件の大原則「疑わしきは罰せず」という姿勢でした。
それが近年サイバー攻撃に対する対応ルールに変更が生じてきています。
きっかけは、ソニーピクチャーズ製作の映画『ザ・インタビュー』公開に端を発する「北朝鮮からの報復的なサイバー攻撃」への対応。「北朝鮮からのサイバー攻撃」とされた一連の攻撃に対して公開中止を決めたソニーピクチャーズの方針決定に際してオバマ大統領は、「アメリカを独裁者によって検閲する社会にはさせない。北朝鮮の脅迫に屈し、言論表現の自由が損なわれてはならない。」として、北朝鮮にリアルな経済制裁をかけたのであるが、証拠とされた過去のウイルスの痕跡や北朝鮮のものとされるIPアドレスにしても既に普遍化されたものであり、北朝鮮を特定できる材料ではないらしい。
ではなぜアメリカは北朝鮮による攻撃と判断して経済制裁という処置にでたのであろうか、ということであるが、そこにこそアメリカの国内ネット事情からくるサイバー攻撃に対する方針変更があるというのである。つまり「疑わしきは罰する」という方向への国内のルール変更である。
アメリカはインターネット発祥の地であり、サイバー攻撃能力でも防御能力においても世界最高レベルであるのだが、意外に社会のサイバーインフラは脆弱なのである。格差社会も原因しているかもしれないが、インターネット技術を早くから実用化して社会基盤に応用したのはいいが、長い年月が経ち国家全体でみた場合、新旧のシステムが混在しており、各州でそれらを管理する法律も一様ではない。民間企業によっては古いOSを使用されている場合もあるが、民間企業では政府が強要できない。サイバー空間で守るべきものが多いが弱点もかかえているのである。そして「脆弱なサイバー環境」の上に電力や交通や流通といった社会インフラが存在するから悪意ある攻撃をされるとたちまち大きな被害がでるのである。
今回のオバマ大統領の「サイバーセキュリティ国家行動計画」をみても連邦政府内部でも同様にコンピューターシステムの老朽化が言及されている。そこに$30億という膨大な予算をかけ強化するとともにセキュリティの人材も確保、ノウハウの研究開発、新規人材の育成の端緒を作ろうというのだから、せめて政府のできる範囲でサイバー戦への対策を強化したわけである。以前に共産中国の習近平との二度にわたる会談で国内でのサイバー攻撃の被害がひどいというのは事実であったということである。今後は「疑わしきは罰する」スタンスで、他国からのサイバー攻撃が確証がもてなくても、自国のネットインフラ防衛のためにアメリカは、政府自らが主体となって何らかの「報復」行動をとってくるであろう。
ただ「ビットコイン」を使用したサイバー攻撃にはなすすべがないようである。FBIがお手上げ状態であるが、サイバー攻撃はいたちごっこ的な行動である。今後どのような対策がとられてくるか注視するとともに「超大国アメリカ」でもサイバー戦においては、絶対的優位にあるわけではないことを肝に命じなければならないだろう。
(参考文献:『サイバーインテリジェンス』伊東寛著 2015年9月祥伝社)
(参考文献:『サイバーインテリジェンス』伊東寛著 2015年9月祥伝社)
身代金はビットコインで払え FBIもお手上げのPCウィルス
史上最高の成功を収めるランサムウェア
土方細秩子 (ジャーナリスト)
2016年02月22日(Mon) http://wedge.ismedia.jp/articles/-/6169
ランサムウェア、と呼ばれるコンピュータウィルスが欧米で猛威をふるっている。ランサム、脅迫、と名付けられるだけあって、このウィルスは感染するとPC画面上に「⚪️時間以内にこの金額を振り込まないとPCネットワーク上のすべてのファイルを消去する」というメッセージをポップアップさせる。つまりPCの内容を人質にとった脅迫行為を行うのだ。
最善策は身代金を払うこと
FBIがランサムウェア対策について質問され「最善の策は身代金を支払うこと」と答えた、というのがあり、警察でもお手上げのようだ。
iStock
最初にオーストラリアで見つかり、企業などを相手取って「身代金」要求を繰り返してきたが、それが欧米全体に広がりつつある。通常は10万円程度のBitcoin(ビットコイン)での支払いを要求し、それに応じると解除コードが送られてくる。被害としてはそれほど高額ではないため、支払ってしまう企業が多い。コンピュータソフトウェア会社の試算によると、およそ44%の被害者がランサムウェアの要求額を支払っている、という。
3億ドル以上を稼ぐ
ランサムウェアは「史上最高の成功を収めるウィルス」と呼ばれる。その数は2015年には前年比で倍になり、典型的なランサムウェアであるCryptolocker3.0と呼ばれるウィルス単独で15年には3億ドル以上を稼ぎ出した、という試算があるほど。
ところが、米ハリウッドの病院に侵入したランサムウェアは悪質で、システムを乗っ取りなんと360万ドル相当を要求している。
被害にあったのはハリウッド・プレスバイテリアン・メディカルセンターで、1週間以上前に同病院のコンピュータシステムがウィルスに感染。システムはダウンし、職員は紙とペンで業務を進めているものの、患者の過去の記録にアクセスすることもできず、病院内の電話システムも正常に作動しないため、必要部署に「走って伝言」という前時代的な業務を強いられている。
病院やヘルスケアシステムは、過去に何度もハッカーのターゲットとなってきた。しかし目的は患者の個人情報の盗み取りで、今回のような金銭目当てのハッカーが病院を襲ったのは初のことだという。
病院関係者は「病院がターゲットにされたわけではなく、数多く送られるランサムウェアがたまたま病院のシステムに入り込んだだけ」と説明する。しかし人の生命を預かる場所で、簡単にウィルスが侵入、患者に多大な影響を与えていることに、関係者は大きなショックを受けた。
病院の機器の中にはX線、CTスキャンなど、コンピュータと連動するものが少なくない。そのためこうした機器が使えず、外来患者を断ったり入院患者を他の病院に転院させる手続きが取られた。その悪質さと要求金額の大きさから、やはりウィルスは病院をターゲットに仕組まれたもの、との見方も強まっている。
結局、病院側は犯人と交渉し、患者優先の意味からも1万7000ドル相当のビットコインを支払ってシステムを取り戻した。支払い方法はウィルス画面に指示があり、それに従ってビットコインを振り込む、という方法がとられた。送金アドレスのみが存在し、銀行口座のようなものはないため、アドレスから個人の特定は不可能、しかも送金後にアドレスを削除してしまえば追跡が不可能だと言われている。このように犯罪に使われることが多いため、ビットコインへの批判も噴出している。
警察が身代金を払ってデータを取り戻す
ランサムウェアを予防するには「独立したバックアップシステム」を常時用意する以外にはない。米では昨年、マサチューセッツ州とメイン州の警察までランサムウェアのターゲットとなり、結局身代金を支払ってデータを取り戻した、という事件があったほど。サイバー警察をもってしてもランサムウェアに乗っ取られたPCを回復させることは難しいのだ。
しかし今回のランサムウェア騒動で明らかになったのは、PCシステムのウィルスに対する脆弱さだけではない。米国の健康保険の仕組みのどうしようもなさも浮き彫りになった。
米国の健康保険はオバマケアでも扱いはブルークロスなどの巨大保険会社だ。保険は金額によって内容が異なり、最も安いものは受けられる診療内容に制限がある。例えば主治医のもとで異常が見つかったとしても、精密検査を行うには保険会社の承認が必要、さらに検査を受ける機関も保険会社から指定されるのだ。
そのため、ハリウッドの病院の患者の中には「車で1時間もかかる病院に振り替えられ、非常に迷惑している」という声がある。患者の転院もしかりで、加入している保険内容により受け入れる病院とそうでない病院があるため、手続きは煩雑を極める。
病院のような公共性のある施設へのウィルス攻撃は多大な影響を及ぼす、と今回の事件は世間に広く知らしめた。これに味をしめた類似犯が今後増加しないか懸念が広がっている。
《維新の嵐》 医療機関であれば、確かに院内情報を「人質」に確実に「身代金」がとれることでしょうが、ヒューマニズム的な感覚からいえばあまりにむごい行為でしょう。間接的に患者さんの命を人質にとっているのと同じではないでしょうか?PCウイルスによる標的型攻撃は、日進月歩で進化?というより「悪質化」しつつあります。利用できる大きな利益になる資本がある限り、戦争そのものが「悪」であるという風潮が定着化すればするほど、匿名希望のサイバー攻撃は激化し、宣戦布告のない「情報戦争」の世界大戦状態になってきています。抜本的な対処方法はないかもしれませんが、リスクを最小に抑えるための方針はとれますね。いいものも悪いものもすべて灰にした上に占領軍まで汚染させてしまう核兵器は既に時代遅れの兵器かもしれません。
平成25年6月11日「サイバー準備室設置と世界のサイバー情勢」 伊東寛氏
0 件のコメント:
コメントを投稿