サイバー攻撃、あるいはサイバー防衛というと、コンピュータとネットワークで構成するサイバー空間で完結する問題である、という印象がある。しかし、そのコンピュータやネットワークを造ったり運用したりするのは生身の人間であり、現実社会とまるっきり無縁のところで展開されているバトルというわけではない。

偽造電子部品という大問題

近年、アメリカの軍や国防総省だけでなく、議会や政府説明責任局(GAO : Government Accountability Office)なども巻き込んで騒ぎになっている事案として、偽造電子部品の問題がある。

これは、軍で使用しているコンピュータやネットワーク機器そのもの、あるいはそこで使用している個々のパーツについて、本来のメーカーが仕様通りに製作したものではなく、他のメーカーが偽造した贋物を掴まされるという問題だ。単に贋物というだけでなく、仕様通りに造られていないとか、品質が粗悪だとかいう問題がくっついてくることもある。

ウェポン・システムで使用する電子部品が贋物だったり粗悪品だったりすれば、国の護りに直結する大問題になりかねない。また、単に贋物というだけでもレッキとした契約違反ということになりかねないし、それ以前に信義の問題が問われるところだ。

サイバーセキュリティや国家安全保障という観点からすると、この問題は別の「爆弾」をはらんでいる。つまり、コンピュータやネットワークのセキュリティに危害を及ぼしかねない品物が入り込むリスク、という問題だ。

たとえば、ネットワーク機器が某国で造られた怪しい偽造品で(怪しくない偽造品というのはあまり聞いたことがないが)、そのファームウェアに余分なコードが付け加えられていたとする。具体的にいうと、トラフィックの内容をこっそり掠め取って、どこか別のところにも複製を転送する仕組みになっていた、なんていうことになったらどうするか。

ことにネットワーク機器の場合、重要なデータが次々に通り過ぎていくだけでなく、そこから掠め取ったデータを別のところに転送するのも容易である。なにせネットワーク機器だけに、ネットワークにつながっていることが前提になるわけだから。

あるいは、ワームやトロイの木馬がファームウェアに仕込まれていた、あるいはそういったものをばらまくような仕組みになっていた、という可能性も、完全に否定はできないだろう。

PC本体にしても、事情は同じだ。この場合、オペレーティング・システム、あるいはアプリケーション・ソフトが標的になる可能性が考えられる。初期状態から怪しいソフトウェアが潜り込んでいたのでは、ユーザーにソフトウェアのインストールを禁止しても意味がなくなってしまう。

当節では、コンピュータを購入した時点でさまざまなソフトウェアがインストール済みになっているのが普通だから、サプライチェーンの段階で偽造品が紛れ込んだり、ソフトウェアに細工をされたり、といった事態がまったくないと断言するのは難しい。

ミートスペースにも注意が必要

こうなってくると、ネットワークにさまざまな防護措置を講じたり、インターネットから物理的に切り離したセキュアなネットワークを構築したり、といった具合にさまざまな対策を講じていても、そういったセキュリティ対策が別の方面から突き崩されてしまう危険性につながる。

ネットワーク経由のサイバー攻撃であれば、攻撃者と被害者は物理的に離れていて接触を持たないことが多いだろう。それがそもそも、サイバー攻撃のメリットだという話は以前に書いた。

ところが実際には、サイバー攻撃だからミートスペース(現実社会、リアルワールドのこと)を無視していいか、ミートスペースと無縁なのかというと、そういうわけにも行かない。

IT業界に限ったことではないが、サプライチェーンがグローバル化している現在、海の向こうから怪しい製品が送り込まれて来る可能性は排除できない。そして、それがサイバー攻撃の手段のひとつだった、ということがあっても不思議はない。

ましてや、軍用でもその他の用途でも、COTS(Commercial Off-The-Shelf) 化が進んで、既製品のコンピュータやネットワーク機器やソフトウェアをそのまま利用するシステムが増えている昨今だ。そこでサプライチェーン経由の攻撃が仕掛けられたら、どこでどんな被害が持ち上がらないとも限らない。

もちろん、メーカー各社はそういったことが起こらないように注意を払い、努力もしているはずだが、「絶対大丈夫」と安心しきってしまえるのかどうか。米軍の偽造電子部品問題にしても、メーカーが意図的に、悪意をもって偽造電子部品を潜り込ませてしまったわけではなかろう。

攻撃する側にしてみれば、そういった対策をかいくぐり、いかにして怪しい贋物を潜り込ませるか、というところで脳漿を絞るのは目に見えている。そうなると今度は、サプライチェーンに関わる人・組織・体制の問題にもなってくる。まさにミートスペースの事案である。

執筆者紹介

井上孝司

IT分野から鉄道・航空といった各種交通機関や軍事分野に進出して著述活動を展開中のテクニカルライター。マイクロソフト株式会社を経て1999年春に独立。「戦うコンピュータ2011」(潮書房光人社)のように情報通信技術を切口にする展開に加えて、さまざまな分野の記事を手掛ける。マイナビニュースに加えて「軍事研究」「丸」「Jwings」「エアワールド」「新幹線EX」などに寄稿しているほか、最新刊「現代ミリタリー・ロジスティクス入門」(潮書房光人社)がある。