サイバー戦争の兵法

「兵は詭道なり」— 孫子「兵法」
ベトコン、毛沢東、KGBも学んだという孫子の兵法は、世界中の軍事戦略に大きな影響を与えています。「正々堂々と」立ち向かうことよりも勝つことに対する彼の重点は、今世紀の紛争の多くに影響しており、まさに私達は従来の二項対立的な戦争から格段にあいまいな、誰と戦っているのかまたはどのような作戦が実行されているのか必ずしも明確でない戦場に移行しています。
諜報、代理戦争、偽情報作戦、ゲリラ戦術などによる非対称戦が新たな常態となったのです。
「彼を知り己を知れば百戦殆(あや)うからず。彼を知らずして己を知れば、一勝一負す。」
ほとんどの動的行為は要因が特定でき、比較的単純な方法で対抗することができます。現実の世界では、物理的な境界と衛星画像があれば、自分が標的とされた場合に攻撃がどこから来るものかたいていはっきりと知ることができます。しかしサイバー世界ではそうとは限りません。
2015年4月に発生したTV5Mondeの事例を考えてみましょう。サイバー攻撃がフランスのテレビ局をシャットダウンに追い込み、ハッキング集団Cyber Caliphate(イスラム国)が即座に犯行を表明しました。しかし、詳しく調べて見るとこれはテロリストによる攻撃ではまったくありませんでした。実はこの背後にはロシアがいたと見られており、これは「偽旗作戦」と呼ばれる手法でした。
また、極右グループProud BoysになりすましたフィッシングEメールにより、2020年の米国大統領選挙を前に恐怖と不安、疑いが広がった事例もありました。そしてこれは後にイランを背後に持つアクターの仕業であることがわかりました。しかし、2019年にはロシアのハッカーグループTurla がイランの情報機関をハッキングし、イランのインフラを使って中東および西側に対して作戦を展開していたことが明らかになりましたが、これを考えると本当の背景はますますわからなくなります。
「戦わずして人の兵を屈するは善の善なる者なり。」
このようにアトリビューションが武器として使われるようになると、攻撃された側が相応のアクションを取ることがきわめて難しくなりました。ロシアがまったく関与を否定しているのに、SolarWindsをめぐってどうやって戦争をすることができるでしょうか?Microsoft Exchange攻撃に関して、中国が自分たちへの非難は「悪意ある中傷」にすぎないと言っている場合、どうやって責任を取らせることができるでしょうか?これは否認と欺瞞の戦術であり、この戦術はこれまできわめて効果的であることが実証されています。
攻撃はあるところから来ているように見えても、実は別の場所から来ていることがあるのです。さらに、マルウェア自体もカモフラージュされていることがあります。マルウェアはそのタイプによって異なる目的があり、異なるグループにより使用されるためこれは顕著です。たとえば、ランサムウェアは金銭的動機が主であり、組織犯罪でしばしば使われています。
つまり、ランサムウェアを偽装したディスク抹消マルウェアがイランによって送られ、イスラエルのシステムを破壊した場合、これはイランが金銭的攻撃を装って、実際には政治的行為であり、究極的には戦争行為と見なされる攻撃を隠しているということなのです。
サイバー空間は日々ますます匿名化しています。ルールやシグネチャを使ってTTPを監視することにはほとんど意味がありません。インフラは簡単に変更できるからです。現在のセキュリティシステムではアトリビューションの問題に答えることは根本的に不可能です。「このIPアドレスを追跡したら、攻撃がAPT27であることがわかった」というような簡単なことではないのです。私達が言えることはコードとジオロケーションがこの脅威アクターで見られたものと似ているということだけですが、それは偽装かもしれないのです。
国家組織はこの匿名性を利用して偽のアイデンティティの下、偽装した武器により作戦を展開します。
「故に、能なるもこれに不能を示し、用なるもこれに不用を示し、其の無備を攻め、其の不意に出ず。」
おそらく米国は世界で最も大きな攻撃的サイバー能力を持っているでしょう。ファイブアイズの国々がインターネットをクラッシュさせる、あるいは大都市の明かりを消そうと思えば、そうすることはできるでしょう。しかしこの攻撃力によって間違ったアトリビューションのリスクも高まります。危険な地域で偽旗作戦を行えば、きわめて破壊的なイベントが連鎖的に発生する可能性もあります。無実の第三者に対して間違って紛争を激化させるようなことは米国政府が最も避けたい事態です。
人間を介した諜報(ヒューミント)はアトリビューションについて信頼できる唯一の方法ですが、無謬ではありません。内部情報にアクセスできる諜報員は得難く、政府が確信を持って攻撃の属性を特定できたとしても、その知識をどこから得たかについては明らかにしたくない場合もあります。
さて、こうした状況下で、どのような対処が可能でしょうか?
「勝つべからざるは守るなり。勝つべきは攻むるなり。」
バイデン大統領の「レッドライン」発言は正しい方向への一歩であると言えます。どのようなアクションがどのような結果を招くかについてはもっと透明性が必要です。しかしこうした決意も、これまで説明した理由により限界があります。ロシアのランサムウェアギャングとロシア政府がどこまで関係があるのか、どうやって確かめられるでしょうか?
単純に聞こえるかもしれませんが、こうした事態を防ぐ最も効果的な方法は攻撃が発生する前にそれを阻止することです。この戦いにおいては防御能力が鍵です。サイバー世界の平和は当分訪れそうにありませんが、サイバーレジリエンスは優位性を獲得する上できわめて重要となるかもしれません。