片岡： 　今月の右脳インタビューは、伊東寛さんです。本日はサイバーセキュリティについてお伺いしていきたいと思います。

伊東： 　一般的なコンピューターシステムは、まず与えられた目的に対して、キチンと動くことが当然と考えられます。ついで、使いやすく便利なことが求められます。そしてトラブルが起きると皆に迷惑がかかるので、常に安定して動作するようになっていなくてはいけない。普通、システムの設計者は、ここまでは考えます。
しかし、誰かが悪意を持って何かをするだろうという意識は殆どなく、それゆえの弱点が沢山あります。例えば、極めて小さなコンピューターシステムといえるスマートフォンでは、マルウエア（悪意のあるソフトウエアや悪質なコードの総称）付きのメールを送ることで、システムをそれに感染させて、それを乗っ取ることができ、情報を抜き盗ったり、盗聴器代わりにすることができたりします。
こういうことは、以前、Androidスマホでは実際に試してみました。Androidスマホは古いOSのままのものも多数あり、つけ込みやすいのです。極端な場合、添付書類がマルウエアでそれを開くとダメだという一般的な標的型攻撃どころか、スマホのメールソフトそのものの脆弱性を攻撃することで、メールを開封しなくてもそれを受信するだけでスマホを乗っ取ることが可能であることさえわかりました。これはある特定の条件下ではありましたが…。
尤も金銭を目的とするのであれば、そんな面倒な脆弱性を突くようなマルウエアをわざわざ作るということをしなくても、単なる実行ファイル型のマルウエアを100人に送れば一人くらいクリックする人がいますし、Androidにはタダでアプリをダウンロードできるサイトがネットに沢山あって、そこでマルウエア付きのソフトウエアを配布することもできます。
これは例えば、電池の消耗率を減らすことができるとか、電波の感度を改善できるソフトがあるといって、それをダウンロードしてインストールすると、残念ですが、あなたの機種は適合しませんでしたと表示される。なあんだとユーザーは忘れてしまいます。しかし、その裏で、マルウエアがスマホにまんまと入ってしまうわけです。iPhoneの場合は、アップル社の審査がありますので比較的安全といえるかもしれませんが、危険が皆無であるとは誰も言えないと思います。
セキュリティに関するコツですが、あなたが誰で、何を持っていて、あなたが想定する敵は誰だろうということを考えてみましょう。
例えば怪人二十面相がお金持ちの家を次々と狙っている。怪人二十面相に狙われたら彼らも無事とはいかないでしょう。しかし、一般の人が、怪人二十面相がいるから、うちの家も警備を強化しないといけないと心配する。これはどうでしょうか？　実際には、怪人二十面相は一般人の家なんて狙わない。今、社会では、普通の家の住民までもが怪人二十面相にびくびくしているようです。身の丈にあったセキュリティをするというのは無駄なお金をかけないという意味で一つのコツだと思います。

片岡： 　尤も、普通の人たちがびくびくして必要以上に高いセキュリティソフトを買うから、マーケットも大きくなって巨費も投入できるし、ネットワーク全体としての安全性も増している面もあって、とてもお金持ちたちだけでは成り立たない…。

伊東： 　そうした面はありますね。
ところで、今、生体認証が流行っていますが、これによりセキュリティが向上しているかというと、どちらかというとダメだと思います。生体認証には利点の一方で弱点もあります。その一つが、誤認識が必ずあるということです。
誤認識には本人拒否と他人受用があります。本人が拒否されると困るので判定の閾値を下げると、他人が入れるようになってしまう。反対に他人に入れたら困るので閾値を上げると、本人拒否が起こりやすくなる。そこで、このような場合の救済手段として、別の認証手段を合わせて作るのが普通です。例えばiPhoneでも「生体認証がダメな時は、4ケタや6ケタの暗証番号を入れてください」と。
しかし、この別の認証手段、つまり救済手段を作るたびに、実はセキュリティ上、弱くなっているわけです。ドアが一つしかない家より二つの方がセキュリティは下がります。泥棒は二つあるドアのうち、弱い方を狙えば良いですよね。
また、生体認証の別の問題点ですが、木工ボンドで指紋をコピーするなどして指紋認証を突破できたとしましょう。そうするとメーカーは、「ご安心ください、次のバージョンは温度センサーが入っていてそのような方法では突破できません」となるでしょう。しかし、攻撃者はそれなら、その偽造指紋を温めてから認証をしようとします。メーカーは「今度は、紫外線領域でセンスしているので大丈夫です」と。攻撃者は、それなら…といつまでもこの鼬ごっこは続きます。
このように、問題が大きくなり始めると製品のバージョンアップをする。すなわち、次々と買い替え需要が発生するようになっていて、生体認証デバイスはずっと儲かりつづけるだろうということで投資が集まっている面もあります。
まあ、生体認証は確かに利便性は高いし一定のセキュリティも確保されるので、その辺のバランスをよく考えることでしょうね。

片岡： 　ある意味で、社会構造によって生まれ続ける弱点ですね。

伊東： 　資本主義はこうやって成り立っていますから。
OSも、最初はバグがあったり、論理的な見落としがあったりするなど、いわゆる脆弱性がありますが、徐々にパッチが当たって安定してきます。しかし、やがて次のバージョンが出てきて、古いものはサポートされなくなります。
新しいものは確かにOSとしての機能・性能は上がっていますが、また新たな脆弱性があるのは確かです。これもやがてパッチが当たるのでしょうが、そうするとまたさらに新しいバージョンの発売が。その繰り返しです。
我々の社会にとっては、これは問題点ではなく前提です。そういう経済形態である以上、これをダメだというのではなく、その中で、どうやって生きていくのか、どうやって安全を確保していくのかということを考えることも必要です。
そして、サイバー犯罪による被害が出たときに、もう少し、皆が危機感を持つ。「我々の社会は思った以上に不安全だから安全社会にしていかなければならない」と、もっともっと声を出し、そしてそのコスト負担も仕方ないという雰囲気を作っていかなければならないのです。また元々経済とセキュリティは目的が違い相反する世界ですから、政治がきちんと方向を定めて動くことも必要です。声をあげなければ、社会がどんどん不安全な方向に行って、犯罪者が利益を上げるばかりです。
これは、金融機関のシステムも例外ではなく、いつ破られてもおかしくない。外国では実際に破られている例があります。日本でも実は被害にあったが、内部でこっそり処理した金融機関があるかもしれません。尤も犯罪者から見れば、銀行を潰してしまうと損ですから、気が付かないように少しずつお金を抜く方がいいので、あまり目立った被害ではないのかもしれませんが…。
そういえば、よくシステムが外部と繋がっていないから安心だといいますが、私はあまり関係ないと思います。
年金機構の事件では、現場の作業が面倒だからと、本来、基幹システム上にあって、ネットに繋がっている業務系システムに乗せてはいけなかったデータをコピーして業務系にのせてしまっていたとのことです。つまり、システムは外とつながっていなくてもデータの方を動かしてしまうこともあるわけです。
また絶対にやってはいけないのですが、自分が管理しているシステムが故障して夜中に呼び出されたら面倒だと、管理者が勝手に、そのクローズシステムとオープンシステムの間を繋いで、家からリモートで監視や操作をできるようにしているということが全くないとは言えません。

片岡： 　悪意ある攻撃を考えないことにすれば、“安心して”そうした事ができてしまう。面倒だからという場合も、或は、そうやってメンテナンスコストを下げて無理に受託をするということもありそうです。発注者や監督者はそうした可能性も見ておかねばなりませんね。

伊東： 　さらに内部犯行もあります。内部犯行を考えれば「クローズドだから安心です」というのはナンセンスでしかないとお分かりでしょう。現実に、必ずどこかで内部犯行は起こっていますし、起こさせることも可能です。システム管理者の子供を誘拐したり、ハニートラップを仕掛けたり。人間的な穴というのは必ずあります。

片岡： 　システム会社やセキュリティ会社はターゲットになりやすいのでは。

伊東： 　それもあるかもしれませんが、もっと危ないと思うのはアンチウィルスソフトの会社ですね。パターンファイル（ウイルス定義ファイル）の代わりにパターンファイルに見えるマルウエアを配布してしまう…。オーナーやエンジニアが、ある日突然、そうするという可能性もあるし、彼らがそう強いられてしまう可能性もあります。そうなるとたくさんのPCがマルウエアに感染し、ある時刻に一斉に動き出して大変なことになります。
またアプリケーションやツールの正規バージョンアップなども同様の危険性がありそうです。例えば、実際に韓国の著名な動画再生ソフトは、サイトが乗っ取られ正規のアップデートにウィルスが混入されました。
たくさんあるサイバー犯罪を抑止するためには、本当はトレースバックできるようにしていくといいのですが…。あるいは、個人が特定できるような認証がないとインターネットに入れないようにして、入った瞬間にその情報が紐づけされていくようにすれば、犯罪はかなり減るのでしょうが、いっこうにそうした動きはなく、より利便性の向上ばかり追求している感すらあります。
ともかく、今のままだと犯罪者は凄く有利です。それどころか、サイバーの世界は残念ながら、悪いことをしている方が儲かってしまう悪の世界です。是正するためには、技術上の問題と費用の問題と法律上の問題があるのですが、どれもがインターネットが世界に跨っているので、解決していくのは、とても難しい状況です。

片岡： 　テロなどのように直接的にインフラなどを狙う場合は如何でしょうか。

伊東： 　攻撃対象ですか？　例えば電車もありますが、飛行機の管制システムの方がやりやすいでしょうね。乗っ取って位置情報をずらしてしまえば大惨事です。現実の世界でも実際に似たようなことが沢山起こっています。

片岡： 　例えば、イランがサイバー攻撃で米の最新鋭のステルス型無人偵察機を乗っ取り、回収した（2011年）といわれていますね。

伊東： 　そもそも、2003年にも米軍需企業が情報をとられ、そっくり同じような飛行機が中国で作られていたと言われています。つまり製造段階のデータがとられてしまっていたわけです。今や中国に情報を継続的にとられているというのは周知の事実です。ただ、具体的にどれがとられているのか、わからないのが問題です。
これに関し、米国もただ手をこまねいているわけでもなく、昨年、サイバー攻撃によるスパイ容疑で中国人5人を訴追しました。あれはどうやって調べたのか?　例えばハニーポットというものがあるのですが、侵入者がシステムに入ってきたときにその目を引くようなファイルやホルダ―を作っておいて、彼がそれを持ち帰ると、それには仕掛けがあり、犯人の位置を知らせたり、こちらから遠隔操作のソフトを送り込んで、最終的には逆に犯人のシステムを乗っ取ってしまったりすることができるようです。勿論、犯人のシステム内部も見て、揺るぎない証拠も得る。そういう手法を使ったのではないかと思います。
余程の確証がなければ、あのオバマ大統領は訴追まではしなかったでしょう。また、これはある意味で米国が手の内をさらしたということでもありますので、既に米側が乗っ取ったシステムや犯人らしき人物に対して中国側も対処し、米国にとっても利用価値がなくなっているということかもしれません。

片岡： 　日本もサイバー問題により積極的に対処するために、昨年サイバーセキュリティ基本法を施行しましたね。

伊東： 　はい。一歩前進です。しかし問題がないわけではありません。外国からの国家意思を伴うサイバー攻撃に対しては、今後、どこの省庁が所管するのか明確化していくとなっています。言い換えると、現状、どの省庁が担任するかあまり明確ではない。自衛隊のサイバー部隊は、自衛隊の業務遂行能力を守ることが任務ですので、日本社会を守ることはできない。そうすると、NISC（内閣サイバーセキュリティ センター）が音頭をとるという構図になっているわけですが、先般拡充されたとはいえ、日本全部を守るには、まだまだ規模も小さく、彼らも大変だと思います。

片岡： 　そもそもサイバーでは、攻撃者の特定も国家意思の有無も判定が難しく時間もかかるのではないでしょうか。

伊東： 　だから難しい。攻撃されても、敵が、国家なのか、産業スパイなのか、犯罪組織なのか、ハッカーなのか、或は思想を持った活動家なのか最初はわからない。でも、プロファイリングをしていくと、だんだんわかってくるのだと思います。しかし、一般の社会における犯罪捜査のようにお前が犯人だろうといえるところまでは、まだできません。サイバー技術はそこまでなっていない…。

片岡： 　捜索し難い国を経由されてしまったら…。

伊東： 　まさにそこで、インターネットの基本的な弱点が是正されていません。今の段階では、真犯人をトレースバックできないので、犯人を完全に捕まえる方法がなく、犯罪者はやりたい放題です。トレースバックができれば、かなり犯罪に抑制がかかるはずなのですが…。これはインターネットの致命的な弱点です。

片岡： 　サイバーの世界では、攻めやすさ、守りやすさでは、どの程度の差があるのでしょうか?

伊東： 　リアルな戦争では、攻撃側は守備側の反撃を受け、必ず損害が発生していきます。それで、守備側を押しつぶしていくためには攻撃側は3倍は必要であるといわれています。つまり白紙的には守備側が有利といえます。
しかし、サイバーの世界では、守備側には攻撃がいつどこから来るかもわからないうえに、攻撃側はある攻撃が失敗しても無損害で、さらに無限に攻撃を続けられます。守備側は、どんなに守っていても、どこかに見落とした穴があれば、そこからやられてしまう。つまり、サイバーの戦いでは攻撃側が圧倒的に有利で、大げさに言えば、防御側は100倍くらい必要ではないかも言われています。

片岡： 　一気に大規模な攻撃をすれば…。

伊東： 　さらに、サイバー攻撃の特徴は、攻撃射程が無限大で、効果が瞬時に起こることです。例えば核ミサイルだと、ロシアから米国に核ミサイルを撃つと30分かかる。その間に、米国は「本気か」とホットラインでロシアに確認できます。どちらも偶発戦争は避けたいのですから…。また30分あれば、迎撃したり、飛行機を上げたり、ミサイルを撃つこともできる。しかし、もし未来に、サイバー全面攻撃というものがあったら、守備側は一瞬にして全システムダウンですから、反撃するシステムも生き残っていない可能性がある。勿論、誰がやったのかもわからない。つまり、サイバー戦争の時代は抑止がかかりにくく、戦争がより起こりやすくなっている。非常に危ない世界になってきています。

片岡： 　貴重なお話を有難うございました。　＜完＞

インタビュー後記

セキュリティ会社の中には、顧客の依頼で、ハッキングや侵入、重要資産の持ち出し等を実際に行い、内部からは見えないリスクや穴を洗い出し、訓練するところもあります。そうした疑似体験からはじめてみるのもいいのではないでしょうか。
さて、今やサイバー犯罪市場は100兆円を超えるという説もあるほどで、個別の企業は勿論、社会基盤や信用をも脅かしています。当然、非常に優秀な人材や莫大な資金、テクノロジー（時には国家との連携も）が次々と流れ込む構造ができてきており、発展を続けています。

聞き手　片岡　秀太郎