JBpress (横山 恭三)
2024年2月20日
防衛省だけでなく外務省も深刻なハッカー攻撃を受けていた
2月5日付け読売新聞は、次のように報じた。
「外交上の機密情報を含む公電をやりとりする外務省のシステムが中国のサイバー攻撃を受け、大規模な情報漏洩が起きていたことがわかった」
「米政府は2020年に日本政府に警告して対応を求め、日本側は主要な政府機関のシステムを点検し、対策の強化を急いでいる。複数の政府関係者が明らかにした」
米政府の警告とは次の2件である。
・2020年秋頃、マット・ポッティンジャー大統領副補佐官とポール・ナカソネNSA(米国家安全保障局)長官(米サイバーコマンド司令官兼務)が来日。
・2021年11月、アン・ニューバーガー米国国家安全保障担当副補佐官が来日。
本事案の発端は、2023年8月7日付け米紙ワシントン・ポストが、複数の元米政府高官の話として、中国人民解放軍のハッカーが日本の防衛省の機密情報を扱うネットワークに「深く、持続的にアクセスをしていた」と報じたことである。
この時は防衛省の名前が挙げられたが、外務省の名前は挙げられなかった。ところが、今回は読売新聞のスクープとして外務省の名前が挙げられた。
筆者は、なぜこれまで政府は外務省の被害を発表しなかったのか、失態あるいはミスをオープンにしたくなかったのでないかと疑念を抱かざるを得ない。
今回の読売新聞の報道で、日本の政府機関のサイバー防衛体制は、被害に気づいてから対処を取るならまだしも、被害に気づかず、米国から警告を受けても、迅速に適切な対応が取れずにいることが明らかになった。
「被害に気づかず」という点が致命傷である。
平時に自衛隊の兵器システムにマルウエアが挿入され、それに気づかずにいると、いざ有事というときに兵器システムが稼働しない。
稼働しないならまだしも、発射したミサイルがブーメランのように発射地点に戻ってくることも起こり得る。
さて、中国人民解放軍のハッカーの防衛省の機密情報を扱うネットワークに侵入した事案について、筆者はクローズ系コンピューター・ネットワークに対する中国人民解放軍ハッカーの侵入方法を中心に纏めて記事にしている。
詳しくは、拙稿「近代史上最悪となった、中国による防衛省ネットワークへの侵入事件」(2023年8月21日)を参照されたい。
以下、初めに情報の公開と透明性について述べ、次に外務省の通信ネットワークに使用されているVPNの脆弱性について述べ、最後に中国ハッカーの外務省の機密ネットワークへの侵入方法について述べる。
1.情報の公開と透明性
(1)2023年8月7日付け米ワシントン・ポスト紙の報道内容のポイント
①米国は幾度も要人を派遣して日本に警告した。
・2020年秋頃ポッティンジャー大統領副補佐官とナカソネNSA長官(米サイバーコマンド司令官兼務)が来日。
・2021年11月ニューバーガー米国国家安全保障担当副補佐官が来日。
②米国は、防衛大臣および首相にも直接警告した。
③日本の対応は遅くかつ不十分であったので、トランプ前政権からバイデン政権に移行した時期に、ロイド・オースティン国防長官が日本側に、サイバー対策を強化しなければ情報共有に支障をきたすと伝達した。
④ポッティンジャー大統領副補佐官とナカソネNSA長官は東京を訪れ、日本側に、中国軍によるネットワーク侵入は「日本の近代史上、最も深刻なハッキング(the most damaging hacks in that country’s modern history)」だと語った。
⑤米サイバー軍は、侵害の範囲を評価し、中国のマルウエアをネットワークから除去するのを支援するために、サイバー捜査チームを東京に派遣することを提案した。
この米サイバー軍の「ハントフォワードチーム」*1は数年にわたり、ウクライナ、北マケドニア、リトアニアなどの国々のパートナーが外国の侵入を探り出すのを支援してきた。
しかし日本人は警戒していた。「彼らは自分たちのネットワークに他国の軍隊が関与することに不快感を感じていた」と元米軍関係者は語った。
*1=米サイバー軍の「ハントフォワードチーム」をウクライナや同盟国に派遣し、重要なインフラシステムの脆弱性をあぶり出したり、その防御方法を教えることを「ハントフォワード作戦」と呼ぶ。ウクライナ戦争下のウクライナが爆破など物理的な電源消失以外のサイバー攻撃による電源消失などの被害を出していないのも、このハントフォワード作戦の成果であると言われる。
(2)日本の政府関係者の発言
ア.防衛省事案
2023年8月8日、浜田靖一防衛大臣は午前の記者会見で「サイバー攻撃で防衛省が保有する秘密情報が漏洩した事実は確認していない」と述べた。
中国軍による防衛省・自衛隊の情報通信システムへのアクセスの有無は明言しなかった。
「個別具体的な対応を明らかにすると防衛省・自衛隊の対応能力などが明らかになるからお答えできない」
「これまでサイバー攻撃によって任務の遂行に影響は生じていない」
こう話し、「サイバーセキュリティは日米同盟の維持・強化の基盤であるので、しっかり取り組んでいきたい」と語った。
(出典:日本経済新聞2023年8月8日)
イ.外務省事案
①林芳正官房長官は、2024年2月5日午前の記者会見で次のように述べた。
「報道については承知をしておりますが、情報セキュリティに関する事案につきましてはその性質上、お答えは差し控えたいと思います」
「なおサイバー攻撃により外務省が保有する秘密情報が漏洩したという事実は確認されていないものと承知をしております」
(出典:TBS NEWS DIG 2024年2月5日)
②2024年2月5日付け読売新聞は、外務省はサイバー攻撃があったことを含め、詳細を明らかにしていないと報じた。公電を所管する外務省情報通信課は読売新聞の取材に、「本件については、情報セキュリティ上の理由から回答を差し控える」と答えた。
③2024年2月8日の予算委員会で、上川陽子外相は、中国のサイバー攻撃で外務省の公電情報が漏洩した問題を巡り、次のように述べた。
「情報セキュリティは、米国をはじめとする関係国と情報共有を進め、連携を強化していく上でも極めて重要な基盤だ」
「安全保障分野での対応能力の向上は大変重要な課題だ」
(出典:読売新聞2024年2月9日)
(3)情報公開制度
国や行政機関においては、公文書を開示するなど情報公開制度が定められている。
情報公開制度は、「行政機関の保有する情報の公開に関する法律」(情報公開法)に基づき、行政機関の保有する情報の一層の公開を図り、国民に対する政府の諸活動を説明する責務(アカウンタビリティ)を全うし、公正で民主的な行政の推進を目指すものである。
ただし例外はある。
例えば国や公共の安全に関する情報、審議・検討に関する情報、個人や法人に関する情報、事務・事業に関する情報の一部は開示すると支障が生じるものがあるため、不開示情報となっている。
国家安全情報とは、公にすることにより国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあると行政機関の長が認めることにつき相当の理由がある情報である。
(4)透明性
「透明性とは、政策の意図、立案、実施について公開されていることであり、良好な統治の最も重要な鍵である」(OECDの定義)
透明性が高まれば、政府・政治家が国民全体の利益をないがしろにして仕事を行うことが困難になるとともに、国民の政治参加が高まる。ひいては、国民の政治に対する信頼が高まる。
独立行政法人経済産業研究所の鶴光太郎上席研究員は、「政府の透明性(パート1) ―国の『かたち』を変革する突破口」の中で次のように述べている。
「行政機関に関連する公文書を求めると、多くの部分が黒塗りになって子細が不明の文書が出てくることがある。このような黒塗り公文書など英米で聞いたことも見たこともない」
「米国では公文書は機密度によって分類される。機密度の高い"Top secret"、"Secret"、"Confidential"に分類され一般に公開されないのは、国家安全(National Security)に関する文書のみである」
「軍事機密や安全保障関係の文書がそれにあたる。その他に"Restricted" とか"Official (Official use only)"などと分類される文書もある」
「前者は個人情報を含むなど国民一般に知らせると弊害もありうるので利用が制限される文書で、後者は例えば行政内人事の決定に関する審議など、行政内部のみに関係し国民に知らしめる必要がない文書である」
「これら例外はあるがその他の多くは原則公開可能な公文書で、また公開に制限がある場合でも、その制限の理由は明示的である」
「一方、わが国の黒塗り公文書は情報公開法の不開示の理由の適用に関する曖昧性が関係している」
(5)筆者コメント
米国は、外務省の機密情報の漏洩が起きていると言い、日本は外務省から情報が漏洩した事実はないと言う。
国民はどちらを信じればいいのであろうか。
母国である日本を信じたいが、どう見てもサイバー諜報能力が高い米国の方を信じたくなる。
一般に情報漏洩が発覚するのは、相手側に潜入させた味方のスパイからの通報であることが多い。
サイバー空間では、相手側のサーバーにアクセスなどしないと情報漏洩は判明しないであろう。
筆者は、日本は情報が漏洩したかどうかを確認する技術的な手段・能力を保有していないと見ている。日本は漏洩に気づいていないだけでないかと勘繰ってしまう。
さて、防衛省や外務省などの政府機関のネットワークにアクセスがあったかどうかは、不開示情報ではないと筆者は思っている。
不開示情報とは漏洩した機密情報の内容である。ネットワークにアクセスがあったことを公表しても日本の安全を害することはないであろう。
また、筆者は、日本はセキュリティインシデントの情報を積極的に公開し、マルウエアの解析等に国内外の民間のセキュリティ会社の協力を得るべきであると考える。
なぜならば、日本には、米国の国家安全保障局(NSA)および国家標準技術院(NIST)並びに英国の政府通信本部(GCHQ)に匹敵するサイバーセキュリティについて権威のある政府機関が存在しないからである。
どうして、日本の政府機関のサイバー能力は低いのか。
その理由の一つは、外国のネットワークに侵入する権限を持っていないからである。
守りが固い外国政府のネットワークに実際に侵入することによって、初めて自らのサイバー攻撃および防御能力を高めることができると筆者は思っている。
ところで、なぜ米政府関係者は、ワシントン・ポスト紙にリークしたのであろうか。
米国が、様々な手段で日本に対する中国によるサイバー攻撃に関して警告しても、日本の対応が遅くかつ不十分であったからである。
このままでは、米軍情報を日本側に提供すると中国に漏洩する恐れがあると米側が考え、日米同盟の強化の要である情報の共有に支障が出ることを憂慮して、日本を奮起させるためにマスコミにリークしたものと思われる。
2.外務省の通信ネットワークに使用されているVPNの脆弱性
読売新聞によると、外務省の公電には、日本の外交官が外国政府などから得た極秘の情報も含まれているので、外部からの傍受を防ぐため、インターネットではなく閉域ネットワーク「国際IPVPN」で送受信し、特殊な暗号が用いられているとされる。
しかし、近年、VPNの脆弱性を狙ったサイバー攻撃が多発していることも事実である。
(1)VPNとは
VPNとは、「Virtual Private Network」の略語で仮想的にプライベートネットワークを構築する通信技術の総称である。
VPNが登場する以前は、複数の拠点間をネットワークで繋ぐ必要性が生じた場合、拠点間を接続するために専用線を敷設したが、安全性は非常に高い半面、コスト面において大きなデメリットを抱えていた。
ところが、企業のIT利用の加速とブロードバンドサービスの普及に伴い、インターネット上にプライベートネットワークを仮想化(Virtual)して構築するVPNが誕生した。
これにより低価格で安全なネットワークが構築できるようになり、急速に普及してきた。
VPN接続は、本社や拠点となるオフィスに専用のルーターを接続し、公衆回線などを通じて通信を行う。
この際に、セキュリティ対策の一つとして「トンネリング」技術が用いられる。
トンネリングとは、データ送信者とデータ受信者の間に、トンネルのように閉鎖された仮想通信路を構築する手法である。そのため、VPNで通信すると、情報漏洩やウイルスの侵入を防ぎやすくなる。
トンネリングには、「カプセル化」「暗号化」「認証」といった仕組みが利用される。
これは、発信者や受信者、データ内容などを解読されないようにカプセルに包み込み、鍵をかけてやりとりをするイメージである。
特定のユーザにのみ送受信可能な認証機能が備えられているため、第三者の解読は不可能になる。
(2)VPNの種類
VPNには、主なものとして「Internet-VPN」と、「IP-VPN」の2種類が存在する。
Internet-VPNは、誰でも使えるインターネットを利用しており、様々な人のデータと混在して通信されるため、データは安全なのか、傍受はされないのかなど不安は残る。
また、インターネットを利用したInternet-VPNは、速度や安定性の面で不安があった。
そのため、拠点間の通信において安全性と安定性を向上したい企業のニーズに応える形としてIP-VPNが誕生した。
IP-VPNは、通信業者が保有する閉域ネットワークを利用して通信することで、通信速度や品質も安定することが特徴である。
「閉域」というのは、物理的に分離されていることもあれば、論理的に分離されていることもある。
いずれにしても、一般のインターネットには接続できないように設定されているので、インターネットのように他の通信と混線はしない上に、設備を共有しているため、専用線と比較すると、安全な回線を安定した速度で利用しながらリーズナブルな価格で導入できるメリットがある。
外務省の公電の送受信に使用されているのはIP-VPNである。
(3)VPNのセキュリティリスク
サイバー攻撃者に狙われるリスクはVPNのどこに存在するのか。
VPNへのサイバー攻撃では、認証に利用するVPNのアカウント情報や、VPNの脆弱性が悪用されている。
不正に入手した正規のVPNのアカウント情報を使いネットワークや組織内部に侵入を図る、もしくはVPNの脆弱性を攻撃し内部に侵入するというもので、安全なはずのVPNが攻撃の侵入口になってしまうのである。
(4)VPNの脆弱性を突かれた不正アクセス事例
本項は、読売新聞「名古屋港システム停止、脆弱なVPN狙われたか…最新「修正プログラム」適用せず無防備状態」(2023/07/27)を参考にしている。
2023年7月、名古屋港のコンテナ管理システムが、「ランサムウエア」によるサイバー攻撃を受けて全面停止した事件で、ウイルスはVPNを経由して送り込まれた可能性が高いことが分かった。
システムに使われていたVPNは、不正アクセスに対する脆弱性が指摘されていたが、対策が講じられていなかった。
国土交通省関係者などによると、被害に遭ったのは約100社の事業者が加盟する名古屋港運協会のシステムで、米フォーティネット社製のVPN機器「フォーティゲート」を使用していた。
同社は2020年6月、この機器に新たな脆弱性が発見されたことを公表し、セキュリティの穴を塞ぐための修正パッチを提供していた。
だが、協会側は同省の聞き取りに「直近で修正パッチを適用したのは2023年4月だった」と報告しているといい、新たな欠陥に対し無防備だった可能性がある。
この脆弱性について、内閣サイバーセキュリティセンターは関係省庁を通じ、重要インフラ事業者に対し迅速な対応を求める通知を出していた。
協会に加盟する港湾運送事業者は物流分野で重要インフラ事業者にあたるが、協会は該当しておらず、同省からは連絡をしていなかったという。
3.中国ハッカーの外務省の機密ネットワークへの侵入方法
(1)全般
筆者は、今回、外務省の機密ネットワークへ侵入したハッカーは中国人民解放軍のハッカーであると思っている。
前述したように、外務省の公電の送受信に使用されているのは閉域ネットワーク「国際IPVPN」であるとされる。
また、外務省および在外公館のネットワークも当然、情報系ネットワークと機密情報を取り扱う基幹系ネットワークが分離されていると思われる。
すなわち、公電はクローズド系ネットワークで取り扱われていたと思われる。
公開情報がほとんどないため、以上は筆者の推測である。もし、外務省のネットワークがクローズ系ネットワークでなければ、民間のハッカーでも簡単に機密情報(公電)を窃取できるであろう。
(2)クローズ系ネットワークに対するサイバー攻撃の事例
クローズ系とは、インターネットおよびインターネットに接続されている機器には接続されておらず、外部から直接アクセスすることが不可能な通信ネットワークのことを指す。
クローズ系はインターネットに接続されていないので安全であると思われがちであるが、過去には様々なサイバー攻撃が発生している。
以下、よく知られたいくつかのサイバー攻撃事例について述べる。
本項では、サイバー攻撃事例のポイントのみを紹介する。事例の詳細は、拙稿「近代史上最悪となった、中国による防衛省ネットワークへの侵入事件」(2023年8月21日)を参照されたい。
ア.感染したUSBメモリーを用いたサイバー攻撃
(ア)バックショットヤンキー作戦(2008年)
外国スパイが米軍の1台のラップトップコンピューターにフラッシュドライブを差し込んだ。
このフラッシュドライブの「マルウエア(悪意あるコード)」が「非機密情報伝送ネットワーク(NIPRNET:Unclassified but Sensitive Internet Protocol Router Network)」および「機密情報伝送ネットワーク(SIPRNET:Secret Internet Protocol Router Network)」の国防総省システムに検知されないまま拡散し、大量のデータが外国政府の管理下にあるサーバーへ転送された。
(イ)スタックスネット事件(2009年)
2009年、マルウエア「スタックスネット(Stuxnet)」が、イランの核施設の制御系システムにUSBメモリーを通じて感染。
周波数変換装置が攻撃されたことにより、約8400台の遠心分離機のすべてが稼働不能に陥った。
イ.インサイダーによるサイバー事件
(ア)ウィキリークス事件(2010年)
2010年11月28日、国際的な内部告発サイトのウィキリークスは、米国の外交文書(「大使館機密公電」)220点をウエブサイトで公開した。
(イ)スノーデン事件(2013年)
2013年6月、米中央情報局(CIA)や国家安全保障局(NSA)での職務経験のあるIT技術者エドワード・スノーデン氏は、世界最強ともいえる情報組織NSAから国家機密を大量に持ち出し、『ガーディアン』紙などのメディアを通じて世間に公表した。
(ウ)米国防総省の機密文書流出事件(2023年)
東部マサチューセッツ州の空軍州兵、ジャック・テシェイラ1等空兵(21)は、2022年~2023年1月の間に、100件を超える国家機密文書を交流サイト(SNS)に流出させた。
(エ)警視庁公安部資料流出事件(2010年)
2010年10月28日、警視庁公安部資料114件がルクセンブルクからインターネット上に流出した。
ウ.不正工作された電子機器によるサイバー攻撃
1980年代初頭、長大なパイプラインの運営に欠かせないポンプとバルブの自動制御技術をソ連は持っていなかった。
彼らは米国の企業から技術を買おうとして拒絶されると、カナダの企業からの窃盗に照準を合わせた。
CIAは、カナダ当局と協働して、カナダ企業のソフトウエアに不正コードを挿入した。
KGBはこのソフトウエアを盗み、自国のパイプラインの運営に利用した。当初、制御ソフトは正常に機能したものの、しばらくすると不具合が出始めた。
そしてある日、パイプの一方の端でバルブが閉じられ、もう一方の端でポンプがフル稼働させられた結果、核爆発を除く史上最大の爆発が引き起こされた。
(3)中国ハッカーの外務省の機密ネットワークへの侵入方法
情報が公開されていないため、筆者の推量であるが、今回の外務省に対するサイバー攻撃では、次のような可能性が考えられる。
外務省の機密情報を扱うネットワークがクローズ系であるとしても、ネットワークのどこかに意図しない穴があり外部ネットワークと接続しており、外部のハッカーが「国際IPVPN 」の脆弱性またはコンピューターのOS(基本ソフト)もしくはソフトウエアのセキュリティホールを狙ったサイバー攻撃により、情報を漏洩させた。
あるいは、インサイダー(合法的なアクセス権を悪用する者)が、機密情報をUSBメモリー等で外部に持ち出し、中国のスパイに提供した可能性も考えられる。
いずれにしても外務省が情報を公開しなければ中国ハッカーの侵入方法は分からない。是非とも、外務省にはできる限りの情報を公開してもらいたい。
また、いかなる組織も、セキュリティインシデントが発生した時は、できる限りの情報を公開して、再発防止に努めることが、組織のサイバー能力の向上に繋がると筆者は思う。
おわりに
ソフトウエアの不完全な設計のため、ソフトウエアには脆弱性(セキュリティホール)が存在することは避けられない。
開発元はユーザーから脆弱性の報告を受けると、速やかに修正用のパッチを公表するが、どうしてもパッチの公表までタイムラグが生じる、あるいは、ハッカーが開発元より先に脆弱性を見つける場合もあるなどの理由から、ゼロデイ攻撃に発展してしまうケースがある。
ゼロデイ攻撃とは、プログラムの脆弱性の修正パッチ公表前に、その脆弱性を悪用して行われるサイバー攻撃のことをいう。
ゼロデイ攻撃を受けてしまうと、不正アクセスをされてパソコンや社内のシステムを乗っ取られたり、マルウエアに感染させられてデータが盗まれたり破壊されたりするなどの被害が発生することは避けられない。
ところで、オーストラリア通信電子局は、2014年2月に、35項目の軽減戦略をリスト化した「標的型サイバー侵入に対する軽減戦略―軽減戦略の詳細(Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details)」を発表した。
オーストラリア通信電子局は、これら軽減戦略のうち上位4項目の軽減戦略(軽減戦略トップ4)を実装することで、少なくても85%のサイバー攻撃が防御できると試算している。
軽減戦略トップ4は以下のとおりである。
①アプリケーションのホワイトリスト化
②アプリケーションへのパッチ適用
③オペレーティングシステムの脆弱性に対するパッチの適用
④管理者権限の制限
筆者は、オーストラリア通信電子局(ASD)が推奨する「軽減戦略トップ4」を各組織が実装することを推奨する。
これらの措置により、各組織は、比較的小さな時間・努力・経費で組織のセキュリティ能力を強化することができるであろう。
※コメント投稿者のブログIDはブログ作成者のみに通知されます