ビットディフェンダーの調査によると、企業はサイバー戦争の集中砲火に巻き込まれることを懸念している。一方で業界関係者は、ありふれたサイバー脅威と「国家が何をしているか見てみろ」という脅威との差がますます小さくなっていると警告している。
ビットディフェンダーの最新レポート「10 in 10」では、サイバーセキュリティを担当する約6,000人の経営幹部を対象に調査が行われ、[PDF] そのうちの「5分の1以上」が、サイバー戦争は同僚に真剣に受け止めてもらうよう説得しなければならない最も難しいテーマの1つであると述べていることがわかった。
同社のグローバルサイバーセキュリティ研究者、リヴィウ・アルセーヌ氏はThe Register紙に対し、「彼らはサイバー戦争を直接標的にされるという意味で恐れているのではなく、むしろ電力網やインターネットを破壊するサイバー戦争の巻き添え被害者になるという意味で恐れているのだと思います。彼らはこうした攻撃に備える必要があるのです」と語った。
たとえば Bitdefender のような人が助けてくれるのは良いことですよね?
サイバー戦争とは、簡単に言えば、現実世界への影響を及ぼし、コンピュータを混乱させることです。例えば、停電を引き起こすことを目的とした電力網*へのサービス拒否(DoS)攻撃や、イランの核兵器開発計画を数年遅らせた悪名高いマルウェア「スタックスネット」の感染などが挙げられます。また、敵対勢力のサイバー攻撃能力を低下させることを目的とした攻撃、つまりサイバー・オン・サイバー攻撃も含まれます。
こうした戦争が民間組織に波及するあらゆる側面が、国家にとって懸念されるほど深刻な問題となるわけではない。アルセーヌ氏は次のように述べた。「昨年、サイバー戦争が物理的な攻撃に発展した興味深い事例を覚えています。イスラエル政府はサイバー攻撃に直面し、攻撃者の居場所を追跡し、ミサイルの位置を特定しました。…CIO(最高情報責任者)は巡航ミサイルの攻撃を心配しているわけではないでしょう!しかし、彼らはサイバー攻撃によって作戦が妨害される可能性、つまり銃撃戦に巻き込まれる可能性を懸念しているのです。」
これは、CIO と CISO の懸念に関する Bitdefender のより広範な調査結果とある程度一致しています。
核攻撃を受けたり、デジタル略奪者によって棚が空っぽになったりするのでしょうか?
自社が直接標的にされた場合、脅威情報会社の調査回答者の37%が最も懸念しているのは「顧客情報の損失」であり、3分の1は「金融情報の損失」についても懸念している。CIOは、サイバー戦争が民間企業に及ぼす潜在的な影響は、主にさらなる悪用のための有用な情報を得るために行われていると考えている。
会社の破滅(「事業中断」)を懸念しているのはわずか30%で、4分の1強は収益や市場シェアの喪失を懸念して頭を抱えている。奇妙なことに、5分の1の回答者は、雇用主に対するサイバー戦争の最も重大な結果の一つとして「法的罰金」を挙げている。
報告書:トランプが承認した後、CIAはほとんど監視なしで秘密のサイバー戦争を実行していたと米国政府関係者が語る
続きを読む
国家レベルの脅威となる可能性のある主体に対峙する緊急性を伝える上で問題となるのは、「サイバー戦争」という用語を適切な形で定義することです。サイバーセキュリティ・エキスパート・コンサルタントのロブ・プリチャード氏はThe Register紙に次のように語っています。
「スタックスネットやソニーのような事例を考えてみてください。あれは副次的なものではなく、標的となったのです。スパイ活動の手段としてのハッキングの進化、そしてそれがかつては敵対的な国家活動の対象となっていた組織よりも幅広い組織に突如として影響を与えたことを振り返ると、ある程度の類似点を見出すことができると思います。」
北朝鮮の国家支援を受けたハッカー集団「ラザルス・グループ」が実行したとされるスタックスネットとソニー・ピクチャーズへのハッキングに関する自身のテーマに熱意を示しながら、プリチャード氏は次のように続けた。
「これは防衛側にとっても不意打ちでした。業界が通常のコミュニティから外れ、様々な業界自体が巻き込まれた状況で、どうやって機密の脅威について説明すればいいのでしょうか?中国のサイバースパイ活動は甚大でしたが、もしあなたがどこかのテクノロジー企業だったら、10年以上も前に中国にスパイされていると本当に信じたでしょうか?」
元英国陸軍の上級情報将校フィリップ・イングラム氏も、ノトペティア攻撃を指摘した。これは国家同士がサイバー兵器を配備した攻撃で、その感染は世界中に波及し、その被害者の中には当初ウクライナ政府を標的にしたロシア人の心の中にはおそらく全くなかった人々がいただろう。
アルセーヌ氏も同意見で、エル・レグ紙に対し、自身の経験から、世界的なリモートワークへの突然の移行の影響を受けた組織の約半数が「不意を突かれた」と語った。彼はこれをサイバー戦争への備えに例え、「彼らはこうしたセキュリティ上の欠陥に気づいていない。これまでの状況は、油断していた」と述べた。
保護と生存:イーサネット版
サイバー戦争は必然的に核戦争と比較されます。その影響は、実際の攻撃と比較するとおそらく予期できない形で、意図された標的よりもはるかに多くの人々に及ぶからです。
イングラム氏は次のように語った。「2017年、世界の石油生産量の10%を占めるサウジアラムコに対するシャムーンウイルス攻撃では、3万台以上のコンピューターが物理的に破壊されました。これは、イランの核濃縮施設を攻撃したスタックスネットマルウェアへの報復攻撃と考えられています。これらの攻撃はすべて小規模で集中的なものでした。しかし、予期せぬ広範囲にわたる巻き添え被害を引き起こしました。本格的なサイバー紛争が勃発した場合、インターネットに接続されたあらゆるものに及ぶ潜在的な影響は恐ろしいものです。」
同様に、アーセン氏は、シャドウ・ブローカーズの脆弱性暴露を、サイバー戦争ツールがいかに広く世界に流出したかを示すもう一つの例として挙げ、次のように述べた。「NSAのサイバー戦争ツールが流出した後、それらは兵器化され、数十万台のコンピューターにWannaCryを感染させました。当初、NSAはこの脆弱性を兵器化し、軍用レベルのサイバー兵器として利用しました。必然的に、政府だけでなく、あらゆる組織に利用されました。また、あらゆる規模や業種の組織にも影響を与えました。」
企業自身が攻撃を受けるという恐れは、確かに存在し、十分な根拠があるとはいえ、全体としてはそうではない。むしろ、全面的なサイバー戦争という文脈において、業界全体が懸念しているのは、国家が配備したマルウェアやデジタル兵器が、偶然(Wannacryのように)であれ、あるいは意図的に(Shadow BrokersによるNSA攻撃のように)であれ、最終的に自分たちに攻撃を仕掛けられるのではないかということだ。
警鐘が十分に大きくならないように、これがすでに起こっていることを認識することが極めて重要だとアルセーヌ氏は警告した。「国家のために働くのと同じスキルを持った個人、または同じスキルを持つ人々によって実行されるAPTスタイルの攻撃が、民間部門にまで浸透しているようだ。」
Si vis pacem, para bellum – 平和を望むなら、戦争に備えよ。®
ブートノート
* サイバー戦争のシナリオを思い描くとき、ほとんどの人が最初に思い浮かべるのはリスだが、悲観的な見出しや憶測にうんざりしたサイバーセキュリティ研究者による2017年の調査によると、現実にはリスは国家の電気の完全性に対するはるかに大きな脅威となっている。
