審判の時: 求められる強力でグローバルなサイバーセキュリティへの対応

プレジデント – ブラッド スミス (Brad Smith)

※ 本ブログは、米国時間 12 月 17 日に公開された “A moment of reckoning: the need for a strong and global cybersecurity response” の抄訳です。

最近の深刻な国家レベルのサイバー攻撃により、試練の年の最後の数週間はいっそう困難であることが証明されました。最近のサイバー攻撃は、実質的にアメリカ合衆国、政府、そして、セキュリティ企業などの重要組織を標的にしており、サイバーセキュリティの状況が変化を続け、更に危険になることを示しています。この攻撃は審判の時をもたらします。私たちは拡大する脅威を直視し、サイバーセキュリティに対する強力で統制が取れた対応を行うために、政府と米国のテクノロジセクターと協力して効果的なリーダーシップを確立しなければなりません。

変化する脅威

この 1 年間は、以下の 3 つの注目すべき動向により、サイバーセキュリティの脅威が大きく変化した年でした。

1 に、国家レベルの攻撃の意思そして技術力が継続的により強固なものになっています。この点は、テクノロジ企業 SolarWinds が提供するネットワーク管理ソフトウェアに仕込まれたマルウェアによって、サイバーセキュリティ企業 FireEye が攻撃されたという先週のニュースにより、さらに明らかになりました。その後、複数の米国政府機関にも侵入が行われたこともニュースになりました。他の政府機関、さらには、民間企業や組織にも同様の被害が発生する可能性は十分にあります。FireEye の CEO ケビン マンディア (Kevin Mandia) が最初の攻撃の公表後に述べたように「我々は今、最強の攻撃能力を持った国家による攻撃を受けている」のです。

この攻撃への対応を支援したマイクロソフトのサイバーセキュリティ専門家である私たちも同じ結論に達しました。残念なことに、この攻撃は、米国政府の機密情報、そして、それを守る企業が使用するテクノロジツールに対する広範かつ有効な諜報活動でした。攻撃は継続中であり、政府機関、そして、マイクロソフトを含む民間企業のサイバーセキュリティ対応チームによる入念な監視と対応が続けられています。マイクロソフトのチームはこれらの攻撃のファーストレスポンダーとして機能しており、その監視活動により、この攻撃の範囲、先進性、影響がとてつもないものであることを認識しています。

さらに、より広範囲の影響によるさらなる懸念が生じています。第 1 に、何世紀もの間、各国政府が互いに諜報活動を行ってきたという事実がある一方で、最近の攻撃が広範な経済的影響があるテクノロジサプライチェーンのリスクを生じさせている点です。SolarWinds が 報告したように、攻撃者は、1 万 7,000 以上の顧客にインストールされたと考えられる同社の製品 Orion のアップグレード内にマルウェアを仕込んでいます。

この攻撃の初期段階の特性と、サプライチェーンの脆弱性への影響範囲は以下のマップに表されています。このマップは、マイクロソフトの Defender Anti-Virus が提供するテレメトリーに基づいています。これは、Defender を使っているお客様の中で、攻撃者のマルウェアを含む SolarWinds の Orion をインストールした人を示しています。明らかに、この攻撃はロシア国外の各国の首都に達しており、ほぼグローバルなレベルでのサプライチェーンの脆弱性をもたらしています。また、米国での脆弱性が特に深刻であることも示されています。

このマルウェアのインストールにより、攻撃者は、特定のユーザーを選択して、さらなる攻撃を仕掛けることができ、実際、そのようにしてフォーカスされた攻撃が行われてきたようです。調査 (そして攻撃) が継続する中、マイクロソフトは、攻撃者が標的にし、より高度な手法で情報を窃取した 40 社以上のお客様を判別し、警告してきました。

これらのお客様のおよそ 80 パーセントが米国内ですが、その他の 7 カ国でも被害が見られます。これは、北米では、カナダとメキシコ、欧州ではベルギー、スペイン、英国、中東ではイスラエルとアラブ首長国連邦です。被害を受けた企業の数と地域が拡大していくことは確実です。

さらなる分析により、これらの攻撃の対象範囲の広さも明らかになってきました。下のグラフに示されるように、初期の被害者は政府機関に限らず、セキュリティ企業、その他のテクノロジ企業、そして、非政府組織も含まれています。

大局的な観点からこれらの攻撃を背景情報と共に評価することが重要です。これは、デジタル時代における「よくある諜報活動」ではありません。米国、そして、世界に重大なテクノロジの脆弱性をもたらす大胆な行為です。実質的には、特定の標的に対する攻撃というよりも、一国の諜報機関による世界の重要なインフラの信頼に対する攻撃です。最新の攻撃は、米国と他の民主主義国家を標的としたもののように見えますが、あらゆる国の人々にリスクがあり、どのような政府の国家に属するかとは関係なしに保護が必要であるという点は明らかです。

今までに何回も見てきたように、高度なソフトウェアが開発されるのはシリコンバレーだけではありません。2016 年に、ロシアのエンジニアは、ソーシャルメディアプラットフォームのパスワード保護の脆弱性を発見し、米国の選挙活動に介入し、偽情報により有権者の分断を招きました。2017 年には同様のことをフランスの大統領選挙においても行っています。マイクロソフトの Threat Intelligence Center と Digital Crimes Unit の調査によれば、これらの手法は、70 カ国以上、すなわち、世界の民主主義国家の大部分に被害をもたらしています。最新の攻撃事例は、サイバーセキュリティ保護の脆弱性を発見し、悪用する巧みな能力を実証する残念な事例になっています。

このような高度な国家レベルの攻撃では、人間の能力を AI (人工知能) で強化するというテクノロジトレンドとの関連が強まっています。今年におけるより深刻な状況として、個人に関する大規模な盗用データを AI により武器化し、テキストメッセージと暗号化されたメッセージアプリを使用して誤情報を拡散するケースが見られています。ロシアからの高度な攻撃と同様に、これらは脅威の一部として永続的に続くものであると見なすべきでしょう。

幸い、このような高度な攻撃に必要な人材に投資を行える国家政府の数は限定的です。9 月に公開された Microsoft Digital Defense Report では、サイバー攻撃に関与した 14 の国家レベルの攻撃者グループを調査しました。14 グループのうち 11 グループは 3 カ国からのものでした。

状況を大きく変化させている第 2 の動向は、新たな世代の民間企業、言わば 21 世紀の傭兵によるサイバーセキュリティ攻撃の民営化の進展です。この現象は、PSOA (private sector offensive actor: 民間セクター攻撃主体) という略語で呼ばれるようにまでになってしまいました。残念ながら、この略語は世界をより良い場所にするものではありません。

このセクターにおける典型例の企業の 1 つがイスラエルに拠点を置く NSO Group です。同社は米国において裁判中です。NSO は、Pegasus というアプリを開発し、政府機関に販売してきました。このアプリは、WhatsApp で呼び出すだけでインストールすることができます。デバイスの所有者は応答する必要すらありません。WhatsApp によれば、NSO は 1,400 台以上のモバイルデバイスをアクセスするために Pegasus を使用してきました。これらのデバイスにはジャーナリストや人権活動家が使用する物が含まれています。

NSO の事例は、高度な民間セクターのテクノロジと国家レベルの攻撃者との協力関係が強化されていることを示しています。トロント大学の研究組織 Citizen Lab は、NSO 関連だけでも 100 件以上の悪用ケースがあることを発見しました。これが唯一の事例ではありません。この新たな 120 億ドル規模のグローバルなテクノロジ市場に参入する企業の数は増加しつつあると見られています。

国家レベルの攻撃者にとっては、高度なサイバー攻撃のためのツールを開発することに加えて、他から購入するという新たな選択肢が得られたことになります。そして、過去 50 年間にわたりソフトウェアの世界で変わらないことが 1 つあるとすれば、それは、金銭は人材より豊富にあるということです。サイバー攻撃者を支援する業界セグメントの存在は 2 つの点で問題です。第 1 に、先進的な国家レベル攻撃者の能力をさらに強化します。第 2 に、金銭はあるが独自に攻撃手段を開発する術がない他の国家組織にサイバー攻撃の手段を与えてしまいます。要するに、サイバーセキュリティの脅威の状況に新たに重要な要素を加えることになります。

この試練の年において明らかになった、第 3 の深刻な事態。それは、サイバー攻撃と COVID-19 による相乗効果です。

数百万人もの人々の生命を危険に陥れているパンデミックは世界のサイバー攻撃の対象外であってほしいと望みたいところです。しかし、現実はそうではありませんでした。3 月の短い小康期間の後、サイバー攻撃者は、病院、そして、地方自治体、さらには、WHO (世界保健機構) などの公衆衛生当局にも標的を定めました。人類がワクチンの開発を進める中、マイクロソフトのセキュリティチームは、3 グループの国家レベル攻撃者が、COVID-19 のワクチンと治療に直接的に関与する著名企業 7 社を標的にしていることを発見しました。危機は常に人間の最良の面と最悪の面を露わにします。今回のパンデミックの危機も例外ではないことは当然かもしれません。

これらの 3 つのトレンドをまとめて考えてみると、年初と比較してサイバーセキュリティの状況がはるかに悪化していることがわかります。確固たる意思を持った国家レベルの攻撃者がより高度になっています。国家レベルの攻撃者を幇助する民間企業の存在により、リスクは増し、他の政府組織にも広がりつつあります。そして、パンデミック関連組織ですらも攻撃者の対象外となることはありません。

私たちは、より危険な世界に生きています。ここではより強力かつ統制の取れた対応が必要です。

新たな年に向けたより効果的な戦略

簡単に言えば、私たちには、国家レベルの、そして、グローバルな、サイバー攻撃からの効果的な防御戦略が必要です。戦略には複数の要素が必要になりますが、おそらく最も重要な点は、政府機関とテクノロジセクターが協力する必要があるという認識を持つことです。

新たな年は、最近のアメリカ第一主義を新たにし、サイバーセキュリティ保護に不可欠な一致団結した行動を起こすための良い機会となるでしょう。米国は、単独で、第二次世界大戦、冷戦、さらには、自身の独立戦争を勝ち抜いたわけではありません。独裁主義国家が民主主義国家に対してサイバー攻撃をしかける世界では、複数の民主主義国家が協力関係を築き、情報とベストプラクティスを共有し、サイバー攻撃からの保護だけではなく、防衛手段や対応手段についても協力していくことが今まで以上に重要です。

過去の攻撃とは異なり、サイバーセキュリティの脅威への対応には政府機関と民間企業による協業も必要となります。データセンターや光ケーブルなど、今日のテクノロジインフラの大部分は民間企業により所有・運用されています。これらは保護すべきインフラであると共に、多くのサイバー攻撃が最初に発見される領域でもあります。そのため、効果的なサイバー防衛には世界の国家間の協力だけではなく、主要なテクノロジ企業との協力も必要になります。

この協力関係を成功させるためには、以下の 3 点が適切に行なわれなければなりません。

第一に、脅威に関する情報の共有と分析を大きく前進させる必要があります。9/11 から 20 年目となる来年は、9/11 調査委員会が「ショックではあるが驚くべきことではない」と呼んだ悲劇的な日の教訓を思い出す必要があるでしょう。調査委員会の報告書に繰り返し登場するこのテーマは、複数の政府機関が互いのデータを組み合わせて、集合的な知識を構築することができていなかったという点です。ゆえに、調査員会は最初の提言において「戦略的情報の統一」そして「“need to know” から “need to share” へ」という点にフォーカスしています。

新しいバイデン-ハリス政権と米国同盟国に対する最初の質問があるとするならば、それはまさに「サイバーセキュリティの脅威に関する情報共有は 9/11 以前のテロリストの脅威に関する情報共有と比較して進歩していますか?」となるでしょう。

今回の攻撃に対して、連邦政府機関に対してマイクロソフト以上の支援を行ってきた企業は恐らくないでしょう。職員の方々による努力と、そのプロ意識には感銘する一方で、現時点における政府機関間の情報共有はあるべき姿からほど遠いものと言わざるを得ません。多くの場合、政府機関の活動は調停が取れておらず、明確な国家のサイバーセキュリティ戦略に基づいたものとも言えません。連邦政府機関の一部は迅速な情報提供を求めますが、情報を活用する組織とファーストレスポンダーとの間の情報共有は限定的でした。国家レベルの重要性があるサイバー攻撃において、迅速で効果的な対策を取るための情報共有とコラボレーションの優先度を高める必要があります。多くの点で、私たちは、9/11 調査委員会による重要な教訓の一部を忘れるというリスクを冒しています。

現状の問題点が表れている例として、連邦政府内のある組織への攻撃に関する情報を、マイクロソフトが連邦政府内の他の組織に開示することが、契約によって禁止されていることがあります。“need to share” を奨励するのではなく、情報共有を契約違反として扱っているのです。これでは、9/11 調査委員会の提言を完全に無視していることになります。

バイデン-ハリス政権は、この状況に対して迅速かつ決断力を持って対応する必要があります。最初に実行できるステップとして、Solarium Commission の提言、および、National Defense Authorization Act の規定に従って、国家サイバーセキュリティ長官を任命することがあるでしょう。

効果的な進歩を達成するためには 9/11 調査委員会の提言よりも一歩進んだ対策が必要です。サイバーセキュリティの脅威情報は、他の一般的な国家安全保障関連の情報よりもさらに分断されています。これは、情報が複数の政府機関だけではなく、複数の民間企業にも分散しているからです。マイクロソフトのような大企業内ですら、Threat Intelligence Center が複数のデータセンターやサービスを横断してデータを集約して分析することの重要性を認識しています。そして、大規模な脅威が発生した場合には他のテクノロジ企業と情報そして分析結果を共有していく必要があります。

近年、サイバーセキュリティの情報共有に関して、いくつかの重要な対策が取られており、この点については米国政府の多くの担当者による貢献に感謝しています。しかし、政府機関と民間セクターの情報共有のための、一貫性のある国家戦略という点ではまだまだ不充分です。国家の機密情報、そして、国民のプライバシーを守る必要があるのは確かですが、情報を最も有効に活用できる者に対して、脅威関連の情報を提供し、分析するための新たなシステム的アプローチを設けるべき時が来ています。

2 に、国家による無謀な行為を禁止する国際的ルールを強化し、サイバー攻撃のエコシステム構築を防止する国内法を定める必要があります。国家レベルの攻撃に対応した国際的基準や法規は存在しますが、そのギャップを継続的に埋め、サイバー空間において明確で強制力のある法的義務を定めていくことが重要です。

2020 年の教訓をベースにして重要な特定領域を優先的に扱うべきです。たとえば、SolarWinds とその顧客に対して行なわれた、正規ソフトウェアを改竄してソフトウェアのサプライチェーン全体に脅威をもたらすような攻撃を明確に禁止する規定を含めるべきです。国際社会は、昨年に国連の支持を得た、United Nations Group of Governmental Experts による 2015 年の報告書、そして、GCSC (Global Commission on the Stability of Cyberspace) による複数の利害関係者による支持に基づき、この方向性で進んでいます。米国政府と同盟国は、この種のサプライチェーンに対する攻撃は国際法で許容される範囲外であることを明確にすべきです。

同様に、医療機関やワクチン開発企業に対する攻撃を禁止する有効な制度の採用が必要です。(最近開催された Oxford Process では既存の国際法が実現できる保護を明らかにする重要な成果が発表されています。) そして、国際法には、民主主義や選挙のプロセスを強力な保護することが定められているべきです。この点は、サイバー空間の信頼性と安全性のためのパリ・コール (Paris Call for Trust and Security in Cyberspace) の原則にも反映されています。この決定には、1,000 以上の調印者がおり、サイバーセキュリティ関連の国際的合意のために招集された複数利害関係者のグループとしては最大のものとなっています。

さらに、政府は、サイバー攻撃を幇助する民間企業の拡大を防ぐために新たな対策を取るべきです。今まで述べてきたように、これらの企業は実質的に国家レベルの攻撃を幇助するエコシステムを構築しています。できるだけ速やかにこのようなエコシステムを消滅させるための方策を採るべきです。

バイデン-ハリス政権が手始めに行なえることの 1 つとして、NSO Group の控訴審への対応があります。NSO は、許可なくモバイルデバイスにアクセスしたことで U.S. Computer Fraud and Abuse Act に違反したと判断を下した地裁判決を不服とし、控訴しています。同社の主張は、同社が行った行為は海外の政府顧客の代理としての行為なので、海外政府と同様な免責を得られるというものです。NSO の訴訟戦略は、ただでさえやっかいな問題をさらに悪化させるものです。このため、マイクロソフトは他の企業と共にこのような法解釈に反論するために訴訟に参加しています。バイデン-ハリス政権も同様の視点から支援すべきです。

NSO の法的アプローチは悩ましいですが、新たなサイバー攻撃のエコシステムを抑止するために必要なことを明らかにしてくれるという点では有用とも言えます。国内法は、政府機関の非合法なサイバー攻撃を、企業が支援すること、そして、投資家が故意にそれに資金提供することを明確に禁止するべきです。

人身売買、麻薬、テロリズムなどの他の社会的に有害な行為にたとえて考えてみましょう。政府は、ドラッグの取引などの不法行為そのものを禁止する手段を取ると共に航空会社にドラッグの輸送を禁止させる、投資家に取引の支援を行なわせないなどの補助的対策も取る必要があります。

民間企業によるサイバー攻撃幇助を抑止するためにも同様のアプローチが必要です。たとえば、米国内外の投資家が故意にこの種の非合法な行為を援助することがない制度が必要です。そして、米国政府は、この種の企業を生み出している他国との議論を積極的に進めていくべきです。その他国とは、イスラエルのことであり、独裁国家に悪用される可能性がある強力なサイバーセキュリティのエコシステムを有します。

最後の点として、私たちはサイバー攻撃に関する国家の責任追及を強固に進めるべきです。最近になり、政府機関と民間企業は、国家によるサイバー攻撃の責任を公に追及すべく強固な姿勢を取ってきました。この流れを継続し、さらに押し進めていくべきです。政府機関は、この種の攻撃が現実世界に大きな影響があることを明らかにし、安定性の維持と緊張緩和を目指すべきです。

2017 年と 2018 年に、米国に先導されて世界の民主主義国家が重要なステップを取りました。ランサムウェア WannaCry と NotPetya に関する公式の発表において、複数の政府が、これらの攻撃がそれぞれ北朝鮮とロシア政府によるものであると表明したのです。このように攻撃者を公に特定することは国家レベルの攻撃に対する有効な対応策になっています。米国は、2018 年の中間選挙ではさらに強力なステップを取り、2020 年の大統領選挙では海外からの投票の改竄に対して確固たる対応策を採りました。

民間セクターでも、2016 年にマイクロソフトの私の部門が、公には明らかにはしていないものの、ロシアによる米国選挙戦に対するサイバー攻撃を防ぐために法的措置を取って以来、状況は大きく変わりました。それ以降、マイクロソフト、Google、Facebook、Twitter といったテクノロジ企業は国家レベルのサイバー攻撃に対して、直接的かつ公に対応し、発言してきました。さらに、145 社以上のグローバルなテクノロジ企業が、Cybersecurity Tech Accord に調印し、オンラインでの平和と安全を推進するための 4 原則に対するコミットメントを行なっています。その原則には、市民や民間企業に対するサイバー攻撃に反対することが含まれています。

今後数カ月間は、米国、そして、他の民主主義国家やテクノロジ企業にとって重要な試練の時期となるでしょう。今後数週間には、最近の攻撃の発信元の動かぬ証拠が出てくると思われます。また、従来型の諜報活動に最新テクノロジを応用したというだけではなく、デジタルなサプライチェーン、そして、重要な経済活動、市民活動、政府活動を危機に晒す無謀な行為であることも、さらに明らかになるでしょう。重大な不法行為はしかるべき結果を伴うことを示すために、一致団結した対応が求められます。

過去数年間の様々な事例から共通に学べる教訓があるとするならば、それは、継続的な学習と新たなイノベーションの融合、コラボレーションの強化、そして、常に勇気を持って対応することです。過去 4 世紀の間、世界中の人々は海外の脅威からの保護を政府に依存してきました。しかし、デジタルテクノロジは、政府だけでは有効な対策が取れない世界を作り出しました。民主主義を守るためには、政府とテクノロジ企業が新しい重要な方法で協業し、情報を共有し、防衛力を強化し、攻撃に対応していかなければなりません。2020 年も終わりに近づく中、新たな年はこれらの領域すべてで前進するための新たな機会を提供してくれるでしょう。

編集者注記: 12/17/2020, 7:50pm PT

SolarWinds の問題の影響に関するニュース報道の後に、マイクロソフトは以下の声明を発表しています。

「マイクロソフトは、国家レベルの攻撃に利用されている SolarWinds 製品の侵害について、マイクロソフトが侵害された可能性を示唆するメディア記事が公開されていることを認識しています。他の SolarWinds 製品の顧客と同様、マイクロソフトは、攻撃者のインディケーターを調査しており、悪意のある Solar Winds バイナリがマイクロソフトの環境に存在していることを確認し、隔離と除去実施しました。マイクロソフトが運用するサービスおよび顧客データへのアクセスを示す証拠は確認されていません。現在調査中のマイクロソフトの調査では、マイクロソフトのシステムが他者への攻撃に利用されたという証拠は全くありません。」

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

Tags: , , ,

関連記事