サイバー・テロのウソとホントを見極めろ！

小久保重信

2002.09.06

　米国同時多発テロの発生から1年が経つ。この間，新たなテロに関するさまざまな憶測が流れ，人々はそのつど恐怖に襲われてきた。

　米国では，事件後直ちに通信傍受権などを盛り込んだ対テロ法案が成立し，その後のブッシュ大統領の対テロ政策もますます強化されているが，テロに対する不安はそう簡単にはぬぐいきれるものではない。とりわけ，「サイバー・テロ」はその実体がつかみにくく，人々にとって大きな脅威となっている。

　サイバー・テロとは，インターネットなどのコンピュータ・ネットワーク（サイバー・スペース）から仕掛けられるテロ行為。エネルギー，水道，交通，金融，行政といった社会インフラでは今やコンピュータ・ネットワークは必要不可欠。もしこれらが破壊された場合，人々の生命や財産に多大な影響を及ぼすと言われている。「被害が同時に複数の場所で発生する」「犯人にとっては時間や地理的な制約がない」といったことも，人々の不安を増幅させている要因である。

　ところが，そのサイバー・テロとは具体的にはどのようにして起こるのか，どういう規模の災害になるのか，対策の進捗状況はどうなっているのか，ということになるとあまりよく分からない。サイバー・テロは，実像の見えない“亡霊”のように，我々を恐怖に陥れているのである。

　こうしたなか米国で最近，サイバー・テロのうち何が現実に起こりうるのか，何がそうではない，ただのデマなのかを見極めようという取り組みが行われた。より現実的な目をもって検証にあたり，根拠のない噂話を排除し，そのリスクを正しく理解しようという試みである。

■“デジタル・パールハーバー”でシミュレート

　その試みとは，「デジタル・パールハーバー（Digital Pearl Harbor）」と名付けられた演習である（関連記事）。米Gartnerと米海軍戦争大学（United States Naval War College）がスポンサーとなって，7月24日から3日間にわたって，ロードアイランド州ニューポートの同大学で行った。

　同演習の参加者は，米国に対する大規模なサイバー・テロを共同で計画し，それぞれの業界の知識を用いて，最も効率が良い攻撃方法，異なる業界に対する攻撃がどのように影響し合うかを考察した。つまりテロリストの立場で，大規模なサイバー・テロを行うにはどのような攻撃形態が存在するかを考察し，それをシミュレータ上で実行したのである。その結果はGartner社がこの8月に公開したのだが，その内容は次のようなものだった。

　テロリストに扮した参加者は，米国内の社会インフラに対する大規模なサイバー攻撃に成功した。しかしそれを成功させるためには，2億ドルの費用と，高度な情報収集能力，5年間の準備期間が必要ということが分かった。ただしそれは，人口密集地域の通信網を機能不全に追い込むということに過ぎない。米国民の人命を奪うような破滅的な大事件を引き起こすことはできない――。

■サイバー・テロでは人命を奪えない

　サイバー・テロのリスク評価については，米メディアも同様の見解を示している。米国では，水道や電力施設といった社会インフラの機能に被害をもたらすサイバー・テロが懸念されている。しかし，「専門家の考えるサイバー・テロのリスクとは，データの損失についてのものであって，物理的なテロのように人命を奪うもののことではない」と米CNET News.comの記事は伝えている。

　もう少し詳しく見てみよう。サイバー・テロには2つの形態があるという。一つはデータに被害をもたらすもの。もう一つは社会インフラの制御システムに被害をもたらすものである。前者は，データを破壊したり盗んだりするもので，具体的にはクレジット・カード番号の盗難，Webサイトの改ざん／破壊，DoS攻撃（Denial of Service Attacks）などがある。

　後者は水道，ダム，電力，鉄道などの管制システムに攻撃を加えるものである。一般的にはこちらが人命に影響を与えると考えられている。しかし実際は，“たとえテロリストがこうしたシステムに侵入し，なんらかの操作を行ったとしても，人命を奪うまでには至らない”という。

　例えば米国では次のようなことが危惧されている。「サイバー・テロリストがインターネット経由でシステムに侵入し，上水道貯水池に塩素などの化学薬品を大量に混入する。それが家庭の蛇口に到達し大災害となる」――。しかしこれはありえない話しだという。水道水が街の水道管に到達するまでには，水質チェックが何重にもなされているからである。

　また，たとえ大都市圏で電気が止められても重要施設に致命的な影響を及ぼすことはない。例えば病院や刑務所といった施設では停電は織り込み済み。当然，自家発電装置を備えている。そもそも電力会社が強固な冗長構成をとっている。たとえ1つのシステムが突破されても，そのうしろには精巧に作り上げられたバックアップ体制が控えているという。

■割に合わないサイバー・テロ

　「テロリストにとってサイバー・テロは費用対効果が低い」という見解もある。電力や水道事業者のシステムに侵入することは可能かもしれない。しかしこういったシステムを外部から操作することは非常に困難という。相当の専門知識が必要になるほか，テロリストは非コンピュータ系のフェールセーフ・システムも破らなければならない。彼らにとっては，水道施設に物理的に毒物を混入したり，発電所や送電施設を物理的に破壊する方がはるかに容易なことだという。

　「テロリストにとって，コンピュータ・システムをハッキングするより，爆弾を落とす方がやさしい」――。これが米政府やセキュリティ専門家の見解とのことである。

　鉄道についても同様のことが言えるようだ。鉄道のサイバー・テロについては次のようなシナリオが懸念されている。「テロリストがインターネットを使って鉄道管制システムに侵入。有害物質を積んだ貨物列車を衝突させ，大規模な環境破壊を引き起こす」――

　しかし，そもそも鉄道業界は早期からコンピュータ・システムを導入しており，その規模も巨大。それゆえに鉄道会社各社の安全対策は，仮想／現実の両面で広範囲に及んでいるという。

　「我々にもハッカーの被害はいくらかあった。しかしそれが深刻な問題となったことは一度もない。鉄道会社のシステムが完璧であるとは言えない。しかし我々はすでに“ぜい弱”とは，はるかにほど遠いところまで来ている。サイバー・テロの問題を物理的なテロよりも重大とは考えてない」（米国鉄道協会上級副会長のNancy Wilson氏）

　つまり，社会インフラ事業者の懸念は，より脅威である物理的なテロの対策に向けられている。「セキュリティ対策に大金を投じる場合，そのほとんどのお金は物理的テロの対策に使う」（米大都市水道協議会：Association of Metropolitan Water Agencies，エグゼクティブ・ディレクタのDiane VanDe Hei氏）というのが各業界の一致した見解のようである。

■より現実的な脅威とは・・・

　では具体的な脅威について，米国のセキュリティ専門家はどのように考えているのだろうか。また今，どのような対策がとられているのだろうか？

　米メディアによると，専門家がサイバー・テロによって被害を受けやすい社会インフラとして挙げるのが“インターネットそのもの”だそうだ。

　例えばここ最近の大きな被害を見てみると，2001年9月に発見された「Nimda」，2000年に米Yahoo!，米eBay，米CNNなどのWebサイトを襲ったDoS攻撃，そして「LoveLetter」ウイルスなどがある。いずれも，人命を奪うほどの大惨事ではないが，決して軽視できるものではない。Nimdaは，とりわけ金融機関のシステム／ネットワークに被害を及ぼしており，その実質的な損害と生産性の損失は合計30億ドルにも上るという。

　こうしたテロに対処するため各業界は今，それぞれに協力体制を敷いて対策をとっている。その一例にISAC（Information Sharing and Analysis Center：セキュリティ情報交換分析センター）がある。ISACとは，インフラのぜい弱性を排除することを目的として，情報セキュリティ関連の情報を共有・分析する施設である。米国ではクリントン政権下の1998年，国家の重要な情報ネットワークを防護する政策として，各業界に対してこのISACの設置が促された。

　現在ISACは，化学，電力，エネルギー取引，金融，食品，ガス／石油，水道，交通，通信，IT（情報技術）といった業界で設置され，各業界内でそれぞれに情報共有が進んでいるといった状況である（注1）。

注1：このうち，IT業界では，米IBM，米Microsoft，米Ciscoなど19社が集まって昨年1月に「IT-ISAC」を発足させた（関連記事）。

■レトリックがサイバー・テロの定義を曖昧にする

　こうしたさまざまな考察や取り組みによって，サイバー・テロの具体的なリスクが明らかになってきた。しかし世の中にはまだまだ，数多くの“ウソ”が存在し，それが人々を混乱させているとCNET.news.comの記事は伝えている。それによれば，この7月にも，テキサス州選出のLamar Smith下院議員が次のような発言を行ったという。

　「経済を麻痺させ人命を危機にさらすには，わずかなキー・ストロークとインターネットがあればよい」。また同氏の決まりの文句は「マウスは弾丸や爆弾と同じくらい危険」だそうだ。

　こうした発言は米政府のサイバー・セキュリティ強化政策への支持を意図したものだが，記事では「このようなレトリックがサイバー・テロの定義を曖昧なものにし，何が現実で，何がそうではないのかを分からなくしている」と指摘している。