「宇田川源流」【GW特集　IT時代の日本】　事件簿　自治体のＩＴ機器調達、政府の認定品に限定へ…中国製品による個人情報窃取やサイバー攻撃に対処

「宇田川源流」【GW特集　IT時代の日本】　事件簿　自治体のＩＴ機器調達、政府の認定品に限定へ…中国製品による個人情報窃取やサイバー攻撃に対処

今年のゴールデンウィークの特集はAIに関してみています。ゴールデンウィークの後半は、AIの事件簿に関してみています。前回は「AIが不法行為をしたらどうするのか」ということを見てみました。基本的に「不法行為をしたらどうするのか」ということに関して、事件が起きたらどうするのかということではなく、その時にどのような責任をするのかということを考えておかなければならないということになります。

そもそも、Aiというか、あえて「ロボット」という言い方をしますが、日本の場合は「鉄腕アトム」や「ドラえもん」など、人間に好意的であり、なおかつ人間に対して協力的なロボットが中心になります。まさに、人間とロボットは友達という形になります。しかし、外国では基本的には「ターミネーター」のように人間に敵対するようなロボットが中心になります。これは日本と外国との間に「ロボット」というものに対する考え方の違いが非常に多くあるということになるのではないでしょうか。日本の場合は、このロボットだけではなく、昔話では「鬼」や「幽霊」等も人間と一緒になってしまい友達になるということになります。「泣いた赤鬼」などの昔話の中に派、そのような話が少なくないともいます。

これは、日本は多神教で「一元論」であるということが意味しています。災害などが掟も「同じ神様が怒った」というように解釈し、天国と地獄のように二つに分類されるというようなモノではありません。一方欧米などの一神教は「神様側と悪魔側」というような二元論的な発想になり、人間以外そして神様以外の者は「悪」ということになるのです。そのような基本的な思想があり、その内容がまさに、このようなAIに対する考え方に反映しているということになるのです。

さて、今回はそのようにITが使われているということになり、そのことから、ITが中心になるとサイバー攻撃などの対象になるということになるのです。

★　サイバー攻撃

　サイバー攻撃とは、コンピュータやネットワーク、あるいはそれを通じて管理されている情報や社会インフラに対して、不正に侵入・操作・破壊・窃取などを行う行為の総称です。単なる技術的な不正行為というよりも、現代では国家安全保障や経済活動、個人の生活にまで直結する広い意味を持つようになっています。

　その本質を一言で言えば、「情報の価値を狙った攻撃」です。かつての犯罪は物理的な対象、たとえば金庫や現金を直接奪うものでしたが、デジタル社会では情報そのものが価値を持つため、その情報を盗む、改ざんする、あるいは使えなくすること自体が攻撃になります。

　攻撃の手口は多様ですが、基本的な流れには一定の共通性があります。多くの場合、攻撃者はまず侵入口を探します。これはシステムの脆弱性であることもあれば、人間の心理的な隙であることもあります。例えばメールを使って偽のリンクをクリックさせる手口は、技術的な突破というより、人間の判断を誤らせることを狙っています。このように、サイバー攻撃は必ずしも高度な技術だけで成立するものではなく、「人間とシステムの接点」を突くことが非常に多いのです。

　侵入に成功すると、攻撃者はその内部で権限を拡大し、より重要な領域へと移動していきます。そして最終的に、情報を盗む、システムを停止させる、あるいは遠隔から操作可能な状態を維持するなど、目的に応じた行動を取ります。この一連の流れは、一度で完結する場合もあれば、長期間にわたって潜伏し続ける場合もあります。後者は特に国家レベルの攻撃で見られ、気づかれないまま情報が継続的に流出するという特徴があります。

　攻撃の目的も一様ではありません。金銭的利益を狙うもの、企業や政府の機密情報を盗むもの、社会的混乱を引き起こすものなどがあります。例えばランサムウェアと呼ばれる手口では、データを暗号化して使えなくし、その復旧と引き換えに金銭を要求します。一方で国家間の対立に関連する攻撃では、発電所や交通システムといった重要インフラを標的にすることもあり、これは単なる犯罪を超えて準戦争行為に近い性質を持ちます。

　実際に、サイバー攻撃が現実世界に大きな影響を与えた例としては、ワナクライ攻撃 があります。この攻撃では世界中の企業や病院が同時に被害を受け、医療サービスが停止するなど、直接的に人命にも影響しかねない事態が起きました。また、国家が関与したとされるサイバー攻撃としては、Stuxnet があり、これはイランの核施設に対して物理的な破壊を引き起こしたことで、サイバー攻撃が現実の装置に直接影響を及ぼすことを示しました。

　さらに近年ではAIの発展により、サイバー攻撃の性質も変わりつつあります。AIを使って大量の偽情報を生成したり、個人に合わせて巧妙な詐欺メールを作成したりすることが可能になり、「情報操作」と「サイバー攻撃」の境界が曖昧になっています。これにより、単にシステムを守るだけでなく、人間の認識や判断を守ることも重要な課題になっています。

　このようにサイバー攻撃は、単なる技術的問題ではなく、「情報社会における力の行使」の一形態です。そしてその特徴は、攻撃者がどこにいるのか特定しにくいこと、比較的低コストで大きな影響を与えられること、そして防御が完全には不可能であることにあります。そのため、対策も単に技術を強化するだけでなく、人間の行動や制度、さらには国際的なルールづくりまで含めた総合的なものが求められているのが現状です。

近年のサイバー攻撃は、単なる犯罪というよりも、国家・経済・社会インフラに直接影響を与える出来事として扱われるようになっています。その特徴がよく表れているいくつかの事例を、流れの中で見ていくと全体像がつかみやすくなります。

　まず象徴的なのが、2017年に世界中で同時多発的に被害を出した ワナクライ攻撃 です。この攻撃はランサムウェアと呼ばれるもので、感染したコンピュータのデータを暗号化し、復旧と引き換えに金銭を要求する仕組みでした。特に衝撃的だったのは、その規模と影響範囲で、イギリスの医療機関では診療が停止し、患者の受け入れができなくなるなど、デジタルの問題が現実の生命に直結することが明確になりました。この事件は、古いシステムや更新されていないソフトウェアがいかに脆弱かを示すと同時に、サイバー攻撃が「社会全体を止める力」を持つことを示しました。

　これと並んで語られることが多いのが、同じ年に発生した ノットペトヤ攻撃 です。形式的にはワナクライと同じくランサムウェアのように見えましたが、実際には金銭目的というより破壊を主目的とした攻撃で、ウクライナを中心に世界中の企業に甚大な被害を与えました。特に国際物流企業がシステム停止に追い込まれたことで、サイバー攻撃がグローバル経済の流れを物理的に止めてしまう可能性が現実のものとして認識されました。この攻撃は国家関与が疑われており、「サイバー戦争」という概念を強く印象づけた事例でもあります。

　その後、より巧妙で長期的な攻撃として注目されたのが、2020年に発覚した ソーラーウィンズ事件 です。この攻撃では、企業が使用していたソフトウェアの更新プログラム自体に不正なコードが仕込まれ、正規のアップデートを通じて多数の政府機関や企業に侵入が広がりました。特徴的なのは、攻撃者がすぐに破壊行為を行うのではなく、長期間にわたって潜伏し、情報収集を続けていた点です。これは「気づかれないこと」そのものが戦略になっている攻撃であり、従来の防御の考え方を大きく変えるきっかけとなりました。

　一方で、社会インフラそのものを狙った攻撃として象徴的なのが、2021年の コロニアル・パイプライン攻撃 です。アメリカの主要な石油パイプラインがランサムウェアによって停止し、実際に燃料供給が滞るという事態が起きました。これはサイバー攻撃が単なる情報の問題ではなく、エネルギーや物流といった物理的な生活基盤に直結することを示した重要な事例です。結果として、政府レベルでインフラ防御の重要性が強く認識されるようになりました。

　さらに最近の特徴として、攻撃の対象がより広範で日常的なものに広がっている点が挙げられます。例えば2023年に大きな問題となった MOVEit脆弱性攻撃 では、企業がファイルをやり取りするためのソフトウェアの脆弱性が突かれ、多数の企業や政府機関から個人情報が流出しました。このような攻撃は特定の企業だけでなく、そのサービスを利用している多くの組織に連鎖的な被害をもたらすため、「一つの弱点が全体を崩す」構造が問題になります。

　これらの事例を通して見えてくるのは、サイバー攻撃が単なる技術的な侵入ではなく、社会の構造そのものを突く行為へと変化しているという点です。医療、エネルギー、物流、行政、そして個人情報といった、社会を成り立たせるあらゆる要素が攻撃対象になり得ます。そしてもう一つ重要なのは、攻撃の主体が必ずしも明確ではないことです。国家、犯罪組織、個人が入り混じり、責任の所在が曖昧なまま被害だけが広がるという特徴があります。

　こうした状況から、サイバー攻撃はもはや一部の専門家だけの問題ではなく、国家安全保障や企業経営、さらには個人の生活にまで関わる「常に存在するリスク」として認識されるようになっています。つまり、現代社会はサイバー攻撃と共存せざるを得ない段階に入っていると言っても過言ではありません。

★　中国や北朝鮮からのサイバー攻撃

　日本で政府調達や自治体のIT機器に関して一定の基準を設けている背景には、特定の国の製品そのものを一律に排除するというより、「どの国であれ国家レベルの関与が疑われるサイバー活動が現実に存在する以上、サプライチェーン全体のリスクを管理する必要がある」という発想があります。その中で、中国や北朝鮮は国際的にもしばしば名前が挙がる主体です。

　まず中国に関して言えば、特徴は「長期的で体系的な情報収集型の活動」が多いと指摘されている点です。いわゆるサイバー諜報に近く、企業の技術情報や政府の政策関連情報など、経済や安全保障に関わるデータを狙うケースが中心です。代表的な事例としては、2015年に発覚した 米国人事管理局情報流出事件 があり、数千万件規模の個人情報が流出しました。この事件は、単なる金銭目的ではなく、長期的な情報蓄積を目的とした活動の典型例とされています。

　また中国関連の活動では、特定のソフトウェアや通信機器、あるいはサプライチェーンを通じた侵入の可能性が議論されることがあります。これは「製品そのものに問題がある」というより、「製造や運用の過程に国家の影響が及ぶ可能性があるのではないか」という安全保障上の懸念に基づくものです。そのため各国では、重要インフラや政府機関で使用する機器については調達を制限したり、審査を厳格化したりする動きが広がっています。

　一方で北朝鮮の場合は、性質がかなり異なります。こちらは経済的な制裁を受けている国家であるため、サイバー攻撃が資金獲得の手段として強く位置づけられていると指摘されています。象徴的な事例としては、2014年の ソニー・ピクチャーズハッキング事件 があり、これは政治的メッセージと報復の意味合いが強い攻撃でしたが、その後はより直接的に資金を狙う攻撃が増えています。

　例えば、2017年の ワナクライ攻撃 は北朝鮮系の関与が指摘されており、世界中で混乱を引き起こしました。また近年では、暗号資産取引所への攻撃やオンライン金融サービスへの侵入など、現金化しやすい対象を狙う傾向が強くなっています。ここでは国家の戦略と犯罪的手法がほぼ一体化している点が特徴です。

　この二つを比較すると、中国は比較的「見えにくく長期的な浸透型」、北朝鮮は「比較的直接的で資金獲得を伴う攻撃型」と整理されることが多いですが、現実には両者とも手法は多様化しており、単純な分類だけでは捉えきれません。

　日本の対応として、政府認定の機器に限定するという方針は、こうした国家関与の可能性があるサイバー活動に対して、「入口の段階でリスクを減らす」という考え方に基づいています。サイバー攻撃は一度侵入されると発見や排除が難しいため、そもそも信頼性が確認された機器やソフトウェアだけを使うことで、攻撃の足がかりを減らそうという発想です。

　ただし重要なのは、この問題を単純に「特定の国の製品だから危険」と捉えると現実を見誤る可能性があるという点です。実際のサイバー攻撃は、ソフトウェアの脆弱性、人的ミス、サプライチェーンの複雑さなど、さまざまな要因が重なって成立します。そのため、どの国の製品であっても完全に安全ということはなく、最終的には運用体制や監視、教育などを含めた総合的な対策が不可欠になります。

　つまり、中国や北朝鮮の事例は確かに重要な参考になりますが、それは「特定の脅威」を示していると同時に、「現代のサイバー空間では国家と非国家の境界が曖昧なままリスクが広がっている」という、より大きな構造を示しているとも言えます。そして日本の政策は、その構造に対してどこまで現実的に対応できるかを模索している過程にあると見ることができます。

まず前提として、「日本もスパイされる可能性があるのか」という問いに対しては、残念ながら答えは明確で、可能性は常にあります。しかもそれは特定の国に限られるものではなく、国際社会においてはある意味で常態に近い現象です。問題は「あるかないか」ではなく、「どの程度のリスクとして管理できているか」という点に移ります。

　第一次トランプ政権におけるHuaweiに対する制裁は、ドナルド・トランプ政権下で強く打ち出されましたが、その背景にあるのは単純な企業批判ではなく、「通信インフラという国家の基盤に外国の影響が及ぶことへの警戒」です。通信機器は単なる製品ではなく、情報の流れそのものを支配し得るため、そこに外部からの干渉の余地があると、安全保障上の問題として扱われます。

　ただし、ここで重要なのは、この種のリスクが中国に特有のものではないという点です。歴史的に見れば、情報収集活動、いわゆるスパイ行為は多くの国が行ってきましたし、現在も続いています。たとえばアメリカ自身も情報収集能力の高さで知られており、同盟国に対しても情報活動を行っていたことが明らかになったケースがあります。ロシアやその他の国々も、それぞれの目的に応じてサイバー空間を含むさまざまな手段で情報収集を行っています。

　現代の特徴は、その手段が大きく変わったことです。かつては人的なスパイ活動が中心でしたが、現在ではサイバー攻撃や通信インフラ、ソフトウェアの更新経路、さらにはクラウドサービスなど、日常的に使われている技術の中に情報収集の可能性が組み込まれる形になっています。つまり、「特別な場所で行われる活動」から「日常の延長線上で行われる活動」へと変わっているのです。

　日本も例外ではありません。むしろ、日本は技術力や経済規模、地政学的な位置から見て、各国にとって関心の対象になりやすい国です。そのため、政府機関だけでなく、企業や研究機関も情報収集の対象になり得ます。特に先端技術や防衛関連、重要インフラに関わる分野では、意図的な攻撃や情報取得の試みが行われる可能性は現実的に存在します。

　一方で、この問題を「特定の国の製品は危険で、それ以外は安全」と単純化すると、かえって対策を誤る危険があります。実際には、どの国の製品であっても設計上の欠陥や運用上のミスがあれば、そこが攻撃の入り口になります。サプライチェーンが国際的に複雑に絡み合っている現代では、一つの製品が複数の国の技術で構成されていることも珍しくありません。そのため、「どこで作られたか」だけでなく、「どのように設計され、検証され、運用されているか」が重要になります。

　結局のところ、日本にとっての現実的な課題は、「どの国が敵か」を単純に決めることではなく、「どのような構造で情報が流れ、その中にどのようなリスクがあるか」を継続的に管理することです。そのために政府が調達基準を設けたり、重要インフラに対する規制を強化したりしているのは、特定の国を排除すること自体が目的というより、「不確実性の高い部分をできるだけ減らす」ための措置と理解する方が実態に近いでしょう。

　つまり、日本もスパイ活動の対象になり得るし、それは中国に限らず複数の国からの可能性を常に含んでいます。そしてそのリスクは、特定の企業や製品の問題にとどまらず、グローバルに接続された情報社会そのものの構造から生まれている、というのが現代の状況です。