元海外特殊部隊員のキャリアのスタート
寺岡篤志氏(以下、寺岡):では、「スペシャル対談 元海外特殊部隊員に記者が直撃 狙いは? 国家間サイバー攻撃に企業も巻き込まれる将来」ということで始めさせていただきます。
まず、話者の2人について紹介いたします。ハンドルネーム「大佐」ということで、元海外で特殊部隊の大佐を務められ、狙撃手でもあり、レッドチームとしてもご活躍されて。現在は企業経営のほか、個人でもホワイトハッカーとして活躍されている大佐さんにお越しいただいています。
今お話ししている私は、日本経済新聞の記者の寺岡と申します。過去7年ぐらいセキュリティ関係に携わっておりまして、特にここ2年ぐらいはほぼセキュリティ専業の記者をしております。話者はこの2人なんですけども、私がファシリテーターを務めさせていただきます。
先ほど簡単に大佐さんをご紹介させていただいたんですが、これだけだと「なんだ、この経歴は?」という視聴者の方が多いと思うので、お話しできる範囲でちょっと深くおうかがいしていきたいなと思います。あらためてよろしくお願いします。
大佐氏(以下、大佐):お願いします。
寺岡:まず、海外の特殊部隊におられたということですけれども、日本の方という前提で、外国人部隊にいたわけではないんですよね。
大佐:はい、ではないです。
寺岡:どういったきっかけでこういうご経歴になられたのかを、可能な範囲で教えていただけますか?
大佐:そうですね、スカウトされて行くことになりました。特殊部隊に行く前に何をしていたかは、ちょっと今は言えないんですけれども。
寺岡:サイバーセキュリティのお仕事もされたと思うんですけど、狙撃手もやられていたと。
大佐:そうです。もともと幼少期にはセキュリティではなく、(狙撃という)攻撃側をやっていたわけですけれども。まあそこから筋肉を使うようなことをずっとしていたので。
寺岡:(笑)。物理的なほうもですね、なるほど。
大佐:(キャリアの)スタート地点はもちろんサイバーだったんですけど。仕事の種類の延長線というか、実際に近接でもやらないといけないことが多かったので、途中で狙撃手になりました。狙撃手を一定期間やった後に、またサイバーのほうに戻ってレッドチームを指揮していたという状態ですね。
レッドチームとブルーチームの役割
寺岡:おそらく多くの方はなんとなく聞いたことはあるかなと思いますが、念のため、レッドチームではどんなことをされるのか、多少解説いただいてもよろしいですか?
大佐:わかりました。大きく分けると、「レッドチーム」と「ブルーチーム」の2つがありまして。ブルーチームは今だと民間企業のほうにも適用し始めているんですが、もともとは両方とも軍事用語でした。
わかりやすくテロを例として挙げると、基本的には、どういうテロを行うかの内容を考えて、そして行い得るかを立案・計画して、シミュレーションで実行するのがレッドチーム。
それに対して対策を立てたり、もしくは図上戦術のかたちで実際にデモンストレーション・仮想シミュレーションを行う時に、どこまで対策ができているかというのを、守る側のオペレーションとして回すのがブルーチームという話ですね。
だから、テロ対策の警備をするのがブルーチーム、テロ側がレッドチームというイメージで見てくれるとわかりやすいと思います。
寺岡:いわゆるオフェンシブセキュリティの専門家でいらっしゃったのかなと思うんですけれども、やはり実際に外部への攻撃を担当されていることはあったんでしょうか?
大佐:はい、あります。
国家間情勢が不安定な中でのセキュリティ対策
寺岡:なるほど。やはりそういったミッションもご経験されているというわけですね。やはりオフェンシブという意味では、現場でものすごい修羅場をかなりくぐってこられたのかなと拝察いたします。現在はご自身で起業されて、セキュリティなどで携わっていらっしゃるということでよろしいですか?
大佐:両方ですね。もちろん軍事の部分に触れることも。
寺岡:それも請け負いをされるというか。
大佐:はい。やってますし、民間企業向けのこともやってますね。
寺岡:やはりオフェンシブセキュリティの観点からアドバイスをされたり。
大佐:そうですね。濃度を薄めて、「オフェンシブ『セキュリティ』」という言葉を付けたほうが、たぶんみなさんは安心すると思って。
寺岡:(笑)。なるほど。実際にはオフェンシブの色合いがより強いのかもしれませんが。
大佐:セキュリティという括りの中で、オフェンス・ディフェンスというふうにしたほうが、「こいつ、やべえやつだな」という濃度は多少薄まるんじゃないかと期待はしたいところですけれども。
寺岡:(笑)。そういう意味では、レッドチーミングみたいなご活動を、企業からの委託でやられたりとかも。
大佐:そうですね。もちろん企業だけではなく、ここのタイトルにもあるように、やはり国家間の情勢が今、西側と東側というふうに二元論的に分けるだけじゃなくなっています。もっとグラデーションで細かく分かれて、かなり情勢としては不安定になってきているので。
レッド・ブルー両方ができるので、その部分で意見提供をしたり、実際に作戦立案したり。もちろん実行も、内容によりますけれども多少は(行っています)。
民間企業が巻き込まれた、国家の関与によるサイバー攻撃
寺岡:ありがとうございます。お聞きしたいことはいくらでもあるんですけども、せっかくですので具体的なお話にも進んでいきたいかなと思います。
まず最初のテーマは、「国家背景の攻撃 VS 企業」ということで、ちょっと設定させていただきました。ディープな「国対国」の話も非常に興味深いんですけれども、今回聞いてくださっているのは企業の方が多いのかなと思いますので、あえて企業を交えた話ということで、ぜひおうかがいしてみたいです。
どんなものがあったかを一応ちょっとおさらいします。いろんな事例も思い浮かぶので、とりあえず生成AIに聞いてみたら、この3つが挙がってきました。国家背景の攻撃で、民間企業に攻撃が仕掛けられたという意味ですと、やはり走りは2009年、Googleが仕掛けられた「オーロラ作戦」というものが非常に有名かなと思います。
これも中国から仕掛けられた攻撃であると米国政府に指摘されておりまして、いわゆる中国の人権活動家の方々などの情報を得ようとしたのではないかと指摘されていますね。
それから、2014年のソニー・ピクチャーズエンタテインメント。これは北朝鮮に関する映画が、非常に当該の国を侮辱するものではないかということでお怒りになられてですね。サイバー攻撃を仕掛けたのではないかという分析がされています。これは日本の方にも非常に馴染み深いものかなと思います。
そして2017年、ウクライナへの攻撃で使われた「NotPetya(ノットペトヤ」という有名なマルウェア。これは世界にも拡散してしまいましたけれども、これによって電力会社が攻撃を受けて、停電などにつながったことがありました。
直近ではご存じの通り、ロシアによるウクライナ侵攻でまた電力会社が攻撃を受けたり、特に大きな影響があったのが衛星通信ですね。(米衛星通信大手の)Viasatというところに攻撃が仕掛けられて一時通信が止まったとか。
あるいは米国でも、先日Microsoftのサービスに対して中国から攻撃が仕掛けられたのではないかといった指摘がありました。
「ターゲットを選ぶ時」のハッカー側の思考とは?
寺岡:ここでちょっと、ぜひ大佐さんにおうかがいしたいことがあります。実際に外部へのハッキングにも関わられたということを踏まえて、こういった民間企業を狙う時は、どのようなモチベーションがあるのか。
大佐:(笑)。
寺岡:どういう思考過程でターゲットを選ぶのか、あくまで一般論という前提でおうかがいができればなと思うんですけれども、いかがでしょうか?
大佐:基本的には戦略が最初にあるので。外交、それから外務について、今どういうかたちでその国とコミュニケーションを取っているかという情報を基に、軍事戦略を立てます。
だいたいの国は、基本的に軍事的な(部門)、日本だと防衛省だと思うんですけれども。それから国防省だったり、それに類する捜査当局、それからロシアだとFSB(ロシア連邦保安庁)やGRU(ロシア連邦軍参謀本部情報総局)といったところが情報作戦を組むわけですね。
その情報戦略を組んだ上で大きくラダーを分けていくと、「戦略」「戦術」「作戦」「実行」という、大きく4段階のフェーズに分かれるわけなんですけれども。戦略レイヤーの目的が何なのかというと、もちろん国ごとに秘匿されている機密情報ですし、外部のところは推察しますけれども、それが合っているかどうかは正直わからないです。
ただ、戦術目標、戦術レイヤーでの目的を設定した上でハッキング。それからワームをまいた後、ランサムウェアで身代金攻撃をするというのは、金融的な側面、それから軍事的な側面、情報の側面が複数にまたがって実行するので。
実は一つひとつはぜんぜん違うバックグラウンドが存在するので、今まとめてお話しするのは難しいんですけれども。
例えば「オーロラ作戦」にしても、ソニーにしても、「NotPetya」もその前の「Petya」もそうですし。「NotPetya」は最近「GoldenEye」と呼ぶことが多いので、「NotPetya(GoldenEye)」みたいに書いておくとわかりやすいかもしれないんですが。すべからくだいたいMicrosoft製の製品の脆弱性を突くことが多いんですね。
「オーロラ作戦」は……すみません、これは作戦レイヤーの話ですけれども、Internet Explorerを突きましたし、「NotPetya」や「WannaCry」もそうなんですけれども。
SMB(Windowsのネットワークでファイル共有やプリンター共有などを行うためのマイクロソフト独自の通信プロトコル)のエクスプロイト(不正アクセスなどに悪用される攻撃用プログラム)があって。少し前に、NSA(米国家安全保障局)が開発したエクスプロイトコードが流出して、それを利用しているのがほとんどだったりします。
民間企業側が被害を予測するのは困難
大佐:目的があって、目標があって、作戦がある中で、説明が難しいところなんですけれども、国家間目的の中に民間企業が巻き添えになる。次の順序としては、まずは絶対にインフラレイヤーと金融レイヤーを狙って、その後軍事レイヤーは並列で走るので。
コアとして重要なのは、ロシアはクリミアの問題とかも並列して続いていましたから、その周辺でウクライナに対して電力問題を起こすのに加え、「NotPetya」のばらまきの75パーセントぐらいは。
その時に、会計ソフトや金融系のExcelソフトの暗号化もセットで狙っているので、わかりやすい表面上の「被害が一番出ましたよ」じゃないところで戦術目的が介在していることが多いです。
なので、民間企業は巻き添えにはなるものの、国家戦略の中で自分たちがどう被害を食らうかを推察するのは、なかなか難しい問題ではあったりします。
寺岡:なるほど。なかなか推測が難しいですね。そういう意味で、やはり表には出てこないといいますか、ケーススタディも難しいでしょう。
大佐:技術的なケーススタディでいけば、もちろん可能です。ただ戦略目的からの推察というふうにすると、なかなか難しかったりはしますね。ああ思い出した、「EternalBlue」だ。
寺岡:「EternalBlue」ですね。懐かしい言葉ですね。
大佐:懐かしいわ。
寺岡:なかなか私もちょっと忘れていました(笑)。
大佐:SMBの脆弱性ですね。
攻撃者は情報収集に1〜3年かけて、作戦を立案している
寺岡:はい、(米国家安全保障局から脆弱性攻撃プログラムが)盗まれた件ですね。やはりインフラや金融関係をご指摘されてましたけども、第一目標ではないこともあるということですか? ここは注目されることがあるわけですか?
大佐:いや、第一目標じゃない場合もあります。重点拠点を意図的に狙い続けるというのは、国自体にもよるんですけれども、もちろん重要防護拠点でもあるので(攻撃するのが難しい場合があります)。
やはり防護体制がしっかりしていたり、ネットワークにつながらないようなかたちで、オフラインで隔絶している環境を何層にも分けて準備していたり。
守る側も重要拠点ということは認識していますから、かなり重点的に防護するわけなので、狙う順序としては確かに正しいんですけれども、難度が高い場合は後回しにすることもあります。
寺岡:なるほど。それは「将を射んと欲すればまず馬を射よ」みたいな考え方なんですかね?
大佐:そうですね。あとはその国のビジネスの仕方とか、どれだけサプライチェーンが脆弱かにも影響は受けるので。
寺岡:そういったサプライチェーンなどの事前の情報と言いますか。インフラのどの部分を担っているのかとか、やはり偵察なども事前の作戦立案では非常に重要ではないかなと思うんですけれども。
これもある程度、いわゆるサイバーセキュリティ部隊が、ハッキングなどを経て情報を得るものなのか、あるいはいわゆるヒューミント(人的諜報)なのか。
大佐:両方ですね。ただ、やはり情報収集はだいたい1年から3年かけます。
寺岡:やはりそれぐらいのロングスパンなわけですね。
大佐:少なくとも1年ぐらいは準備しますね。
サイバー攻撃者を隠れ蓑にすることもある、国家側の戦略
寺岡:なるほど。直近の傾向として、やはり犯罪者を介した攻撃が指摘されることが多いのかなと思います。直接的に国家が支援していたり、国の軍隊とか情報部隊が養っているハッカーによる攻撃ももちろん脅威なんですけれども。表に出てきやすいものとして、サイバー犯罪者が攻撃をしてくる。
国家的意図の薄さにも、いろんなものがあると思うんですけれども。例えばコロニアル・パイプラインも日本でも大きく報道されたので、みなさまご記憶にあるかと思いますが、2021年にパイプラインが止まって、ガソリンスタンドが動かなくなるなど非常に大きな問題となりました。
この時バイデン大統領は、「ロシアが犯罪者を放置しているから起こるんだ」というような理論で批判をされていました。その後、「そんなことはないんだ」というつもりなのか、ロシア側が実際そのグループを逮捕するというような案件もありましたけれども。
そのように一部の方たちは、「これは『State Backed』ではない。背景にあるわけではないけれども、国家が放置している『State Ignored』なんじゃないか」という言い方をされていたり。
あるいは、最近よく言われている「ハクティビスト」という集団ですね。日本にも「Killnet」という集団が、DDoSの攻撃を昨年の秋に仕掛けてきましたけれども。
こういったいくつかの集団に関しては、やはりロシア政府とのつながりが指摘されていて、金銭的支援を得ているのではないかと。本当に指示を受けているのか、あるいはお金が単純に背景にあるのかとか、いろんな考え方があるかなと思います。
まだ国家的背景は指摘されてませんけれども、やはりインフラで日本が狙われた事例として、名古屋港がランサムウェアにより停止するという案件も起きました。このように犯罪者を使う攻撃もいわゆるカモフラージュで、実際には国家の戦略とかが裏に隠れているケースもあるものなのでしょうか?
大佐:ぜんぜんありますよ、むしろめちゃくちゃあります(笑)。
寺岡:実際に国家がダイレクトに攻撃する時と、「いや、これはちょっと飼っている犯罪者にやらせよう」という時は、仕掛ける側としてはどういうふうに考えたり、判断しているんでしょう。
大佐:これは話しすぎると僕、犯罪者みたいにならないですか?
寺岡:いや、どうですかね(笑)。
大佐:(笑)。
国家が絡むサイバー攻撃の裏事情
寺岡:「こういう考え方をするものですよ」という一般論を、おうかがいできればと思うんですけど、いかがでしょう?
大佐:やはりIPアドレスを逆探知しまくると、ある国のIPアドレスでしたというのはザラにありますし。それこそイランの時のやつでアメリカ政府が、というのは有名な話じゃないですか。
寺岡:「Stuxnet(スタクスネット:米国とイスラエルが共同で、イランの核施設にある遠心分離器を制御するシステムを攻撃する目的で作ったとされるマルウェア)」ですね。
大佐:はい。「Stuxnet」もアメリカだし、それこそ「EternalBlue」だってNSAが開発元じゃないですか。だから製造が直接的に軍事機関がどうこうというのは、やはり実際あるんですよ。ウクライナ侵攻前に衛星をというのも当然国策ですし、イチ犯罪集団が勝手にやるほうがむしろ少ないので(笑)。
寺岡:そういう意味では多かれ少なかれ、つながりはあるだろうと。
大佐:うん。少なかれじゃないですね。国によります。
寺岡:国によりますか(笑)。なるほど。
大佐:本当に国によります。だから「国によっては」というカッコ書きつきですけれど、「多かれ」ですね。
寺岡:なるほど。やはり多く指摘されるのはロシアかなという感覚ではありますが、それに限らず。
大佐:国名を出すと非常に微妙なんですけれども、ロシア、バングラデシュ、中国、北朝鮮、ベラルーシ……いっぱいあるな。でも、政府自体が支援するというのはぜんぜんあります。
攻撃に使う部分がどうしても取り沙汰されるんですけれども、防御に使う動きももちろん並列してあるわけなので。いわゆるクレンジングというやつですが、悪いことをした人間も司法取引をしたりとか。
不逮捕特権ではないんですけれども、基本的には司法取引ですよね。そういう捜査当局に対して協力することによって、過去の罪を消しましょうと。
寺岡:なるほど。飼いならすと言いますか。
大佐:そうです、そうです。なんだったら黒いまま、いわゆる政府とのつながりがない状態で、「政府の意図を汲んでやりなさい」のほうが都合がいい場合もあるので。
企業側が守りを固めるためのアドバイス
寺岡:企業としては、こういった攻撃者からどうやって身を守るか。純粋な犯罪行為が仮にあったとして、その場合は当然“投資性”と言いますか、どれだけコストをかけるかが犯罪者側からすると問題になってくる。やはり攻撃手法にある程度限定的なものも出てくる可能性があると思います。
仮に国家の背景が色濃い場合は、目的達成というのが非常に色濃くあって。予算や人材、あるいは使える脆弱性も、ふんだんではないでしょうけど、相手によっては、ゼロデイ(発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃)を使っても惜しくないということで徹底してきたり。
そういう意味では、非常に難しい相手かと思います。技術的な違い、高機能・高度さ、それに対してどのように企業が守りを固めるべきかもおうかがいしたいんですが、いかがでしょうか。
大佐:守りで言うと、本当にテンプレートみたいな話にはなるんですけれども、持っている資産の優劣をつける。これは情報資産も含めてですけれども、どれが重要でどれが重要でないのかは、国の範囲でいけば、例えば特定防衛秘密とか。いわゆる秘密にもランクがあるわけですね。
そういうものを、企業としてはまず整理しましょうと。自分たちが持っている資産の整理ですね。セキュリティ・クリアランスとも言うんですが、自分たちの資産を整理する前にそもそも可視化が進んでない企業さんもいらっしゃるとは思うので。
寺岡:「ちゃんと持っているかどうかわからない」という企業さんもいらっしゃると。
大佐:そうです。一番最初でいくとですね、まず可視化しましょう。そして整理して、「優先順位をどういうふうにつけていいかもわからない」という企業は、それがわかっている人のサポートを得て、優先順位づけをしましょうと。
その後は、「今やっている対策は何ですか?」というのを整理しましょう。その対策が十分であるか・不十分であるかを見極めましょう。その対策が十分であると自分たちが理解した上で、本当に十分かどうか。
それこそレッドチーミングができる企業とか、一部分で言えばペネトレーションテストとかフィッシングメールに、ちゃんと従業員のリテラシーが足りているのかどうかは、一番最後にちゃんとチェックしましょう。そして、今言った一連の流れを継続的に確認しましょう。
家に例えるなら“雨漏りしやすい場所”が狙われやすい
大佐:テンプレではあるんですけれども、これがやらないといけないことではあります。なぜなら作る側もアップデートするからですね。時代や顧客のニーズ、市場環境全般の変化が正直20年前、30年前に比べると圧倒的に早くなっているので。
企業側も即時対応ができるようにというかたちで、例えばアジャイル開発とか、さまざまなものづくりにしろサービス提供にしろ、「PDCAを早く回すんだ」って、いろいろな思考フレームワークみたいなものが乱立していると思います。
すべからく言っていることとしては、時代の変化も顧客のニーズの変化も早くなっているので、企業はそれにチューニングを合わせるために逐次回転させていきましょう、対応していきましょうという話です。そういうふうに世の中全体がぐっと傾いていると思うので。
正の側面で言うと確かに良いことなんですけれども、負の側面としては、その対策も同じだけの速度でやっていかないと、ひずみがより大きくなるということですから。そういった部分での対策もやっていかないといけないですよというのが、一般的な対応の考え方にはなりますね。
寺岡:up-to-dateが非常に重要ということですね。私もいろんな海外のベンダーさんとお話をしていて、日本企業も非常にセキュリティ意識は高くなってきているけれども、やはり一部の企業でそういう部分が問題となっているとよく耳にするので、非常に重要なお話かなと感じました。
大佐:1つだけ補足すると、めちゃくちゃわかりやすいのは、家で考えると雨漏りが最も起きやすい場所は常に接合部です。
みなさんが自分の会社や個人の家でもいいですけれども、増設もしくは改築を繰り返している家だと考えてみると、改築部分や増設部分が最も雨漏りをしやすい部分です。雨漏りを起こしたい人たちは、そういう部分を常に探しているので、そこに意識を向けることが特に大切かなと思います。
寺岡:そうすると、ベンダーさんが違うと、よりそういった危険性が高くなりそうですね。
大佐:キメラみたいなシステムがめちゃくちゃあるんでね。
寺岡:(笑)。非常に重要なお話をいただいたかなと思います。
