私たちのメールやネット利用 どこまで取得?サイバー防御法案

メールのやりとりやWEBサイトの閲覧など、私たちが日々膨大に行っているインターネット通信。

この通信情報を政府が取得して分析し、サイバー攻撃を未然に防ごうという「能動的サイバー防御」の導入に向けた議論が進んでいる。

そもそもどのような通信情報が取得されるのか?通信の秘密との整合性は?

サイバー空間の監視のあり方がどう変わろうとしているのか、取材した。

狙われる“インフラ” 相次ぐ被害

「過去我々が経験していた範囲のさらにそれを超えてくる大きな攻撃がきたなというのが第一印象です」

取材にこう明かしたのは、日本航空の担当者だ。

年の瀬も押し迫った去年12月。

多くの利用者が各地の空港を訪れていた午前7時半ごろ、突然、運航に必要な複数のシステムで同時に障害が発生した。

調査の結果、会社のシステムをつなぐネットワークがサイバー攻撃を受け、外部から大量のデータが送りつけられていたことが分かった。

データの受信増加によってシステム間で必要な情報のやり取りが十分にできなくなってしまい、障害が起きたという。

この影響で、国内線と国際線では遅れや欠航が発生。システムを切り離すなどの対応を進め、およそ6時間後に復旧させた。

日本航空では、大量のデータを送りつけられるサイバー攻撃は以前からあり対策を重ねていた。しかし、それを超えるような攻撃があったことに、担当者は周到さを感じたという。

日本航空システムマネジメント部
福島雅哉 部長
「よく我々のことを見ているなという風には感じました。一番我々が多客期で困る時期にぶつけてきたということで、すごく計画的にやっているのではないかと。デジタル技術の進歩が早くて、現代のサイバー防御は非常に難しい課題になってきていると思います」

サイバー攻撃の脅威は、命を守る医療機関にも及んでいる。

徳島県西部の山あいで、地域医療の中核を担う町立半田病院。

2021年、病院のシステムがランサムウェアによるサイバー攻撃を受け、電子カルテなどが使用できなくなった。

救急を含む新規の患者は、2か月以上にわたって受け入れを停止。

この間、予約患者のみの診察を行ったが、個人情報は1つ1つ聞き取るという対応をせざるを得なくなったという。

その後、病院では対策として電子カルテをオフラインでもバックアップする仕組みなどを追加で構築。

1億円余りをかけて全体的なセキュリティーを強化し、システムへのアクセスもIDとパスワードに加えて、カードなどを使う多要素認証の仕組みに変更した。

しかし、事業者だけでの対策には限界があるとも感じているという。

つるぎ町立半田病院
須藤泰史 病院事業管理者
「いくら大丈夫っていうものを設けても、それを乗り越えて入ってきますので、本当のおおもとのセキュリティーの強化を国がやっていかないと、末端の小さな診療所や私たちみたいな小さな病院は持たないと思います」

「能動的サイバー防御」とは

年々高度化し、被害も深刻化しているサイバー攻撃。その数も急増している。

国の機関が観測したサイバー攻撃に関する通信数は、2024年は過去最も多くなった。

約13秒に1回、攻撃の試みが行われているという。

攻撃の対象は交通機関や金融機関、通信会社や病院など、さまざまな組織に及んでいる。

私たちのパソコンやスマートフォンのほか、ルーターなど身の回りのインターネットにつながるIoT機器が乗っ取られて、攻撃に悪用されるケースも確認されている。

こうした状況を受けて、政府が導入しようとしているのが「能動的サイバー防御」だ。来年度から順次始めることを目指している。

導入に必要な法案が国会に提出されて、衆議院で可決され、いまは参議院で審議が行われている。

サイバー攻撃を未然に防ぐため、取り組みには3つの大きな柱がある。

▽官民の連携
基幹インフラ事業者などと政府との情報共有を強化

▽通信情報の利用
サイバー攻撃の実態を把握するため、通信情報を取得・分析

▽無害化措置
サイバー攻撃による重大な危害を防止するために、警察・自衛隊が攻撃元のサーバーなどに侵入し無害化

「通信情報の利用」では、私たちが日々やりとりしている膨大なメールやWEBサイトの閲覧などのインターネット通信を必要に応じて本人の同意なしに取得し、分析されることなどが盛り込まれている。

対象となるのは▽国内から外国▽外国から国内▽国内を経由する外国間の通信。国内間の通信は含まれない。

サイバー攻撃関連の通信の99%以上が外国から発信されていることから、その通信を分析することで、攻撃の兆候を把握するのがねらいだ。

私たちの通信情報 どこまで分析?

分析される通信情報はいったいどんな内容なのか。

政府はIPアドレスや送受信日時、通信方式などの情報は分析対象とする一方で、メールの本文や添付ファイルなど「コミュニケーションの本質的な内容」にあたる部分は対象外としている。

収集した情報については、機械的な選別を行い、サイバー攻撃に関係がない情報についてはただちに消去するとしている。

ではインターネットを流れる膨大な通信を観測して、どうやって攻撃の兆候を見つけるのか。

情報セキュリティーの専門機関、JPCERTコーディネーションセンターの担当者に聞いた。

まずホームページの閲覧など一般的な通信で、どんな内容が見られるのかを再現してもらった。

通信内容をモニターできるよう設定したパソコンで、JPCERTのサイトを訪れた通信を観測すると、▽IPアドレス▽アクセスした日時▽どんなブラウザで閲覧しているかなどの情報が確認された。

アナリストの佐々木勇人さんは、こうした通信から効率的にサイバー攻撃に関連するものを見つけ出すためには、機械選別のしかたが重要だと指摘する。

実際にコンピューターウイルスに感染したパソコンがどのように通信を行うのかも、実験環境で検証してもらった。

正常な通信では冒頭のコマンド部分が短く表示されていたが、ウイルスに感染した不正な通信には、意味が読み取れない長い文字列が含まれていた。

見つけ出したこうした特徴的な文字列をもとに、通信を機械的に選別すれば、効率的に攻撃の兆候を発見することができ、被害の防止や感染端末の早期発見につながる可能性があるという。

JPCERTコーディネーションセンター
佐々木勇人さん
「正規の通信と不正な通信をどう切り分けて抽出するのかの手順はこれから決めると示されていますが、そこが課題の1つになると思います。運用としては専門家の知見を使って、不正な通信の特徴と合致するものを堅実に拾っていく作業が基本になると思いますが、これまで取りこぼしていた被害の発見や攻撃の全容解明につながるかもしれません」

侵入して無害化措置も

さらに政府は、こうしてつかんだ兆候をもとに、警察や自衛隊のサイバー専門部隊が攻撃元のサーバーなどに侵入し、「無害化」する措置も行うとしている。

「能動的サイバー防御」に関する政府の有識者会議のメンバーで、サイバーセキュリティーが専門の横浜国立大学の吉岡克成教授に無害化の手順のデモンストレーションをしてもらった。

実験環境で、ウイルスに感染して乗っ取られたルーターを用意。

ルーターが外部に攻撃の通信を始めたあと、別の端末からルーターに侵入した。

攻撃に悪用されないように、ウイルスに関連するプログラムを削除。今回のデモでの作業は短時間で完了した。

ただ実際には攻撃者が無害化を妨害するために、侵入できないようにするなどさまざまな手を打ってくることが考えられ、無害化がどこまでできるかは未知数だという。

吉岡教授は無害化措置を適切に運用できたか検証していくことで、これまでにない効果的な対策ができるようになる可能性があると期待している。

横浜国立大学吉岡克成 教授
「これまでは仮に攻撃に悪用されている機器だとしても外部のシステムなので、それにアクセスをして勝手に中の処理を変更することは基本的にはできないものでした。それが我々の生命にかかわるような重大な攻撃、例えばインフラに対して行われるなどといった時に、迅速に対策を行って攻撃を未然に防ぐことができる。明らかに今までできなかった種類の対策ができるようになる可能性を持っているので、期待感を持っています」

その上で、適切な方法で実施できるのか、事前や事後に検証を重ねていくことも必要だと指摘した。

「無害化を行う時に、どこまでの処理をすると正規の機能を阻害せずに、悪意のある部分だけを止めることができるのかどうかというと、それを完全に区別するのは難しい場合もあると思います。正規の機能を阻害してしまうという可能性も秘めているものなので、やはり慎重に判断し、手段の適切性もよく検討したうえで実施する必要があります」

“通信の秘密”との整合性は

サイバー攻撃の対抗手段として期待される一方で、導入にあたって国会審議などで論点になっているのが憲法で保障された「通信の秘密」との整合性だ。

政府は「通信情報の利用は、国などの重要な機能がサイバー攻撃で損なわれるのを防ぐという高い公益性がある場合にかぎり行う。『通信の秘密』に対する制約は『公共の福祉』の観点から必要やむをえない限度にとどまる」などとしている。

国民はどのように感じているのか。

NHKは4月4日から3日間、全国の18歳以上を対象に、コンピューターで無作為に発生させた固定電話と携帯電話の番号に電話をかけるRDDという方法で世論調査を行った。

調査の対象となったのは4101人で、34%にあたる1393人から回答を得た。

「能動的サイバー防御」を導入するための法案について賛否を聞いたところ「賛成」が43%、「反対」が26%、「わからない、無回答」が32%だった。

「賛成」と答えた人に理由を聞いたところ
▽「個人や事業主の個別の対策ではサイバー攻撃を防ぎきれないと思うから」が58%
▽「海外からのサイバー攻撃が増えているから」が29%

「反対」と答えた人に理由を聞いたところ
▽「導入してもサイバー攻撃を防ぐことはできないと思うから」が45%
▽「『通信の秘密』の権利が侵害されると思うから」が41%だった。

政府は、通信情報の利用を適正に行っているかの審査や検査を行うため、独立した機関を設けるとしている。

また、これまでの法案の審議で、「通信の秘密」を不当に制限しないことを明記することや、政府が取得した通信情報の件数などを独立機関が国会に報告することを義務づける修正も行われた。

個人情報の保護に詳しい専門家は、「通信の秘密」への配慮を評価する一方で、政府による適正な運用を注視していく必要があると指摘している。

中央大学 宮下紘教授
「政府が取得する通信情報の範囲が広がりすぎないように、常にブレーキに足をかけながら進んでいく必要があると思います。一番大切なことは安全とプライバシーのバランスをいかに図っていくかということです。このバランスを1歩間違えると国民の情報を常に監視してしまうような国に進んでしまう。運用状況についてしっかりと国民に説明責任を果たしていくこと、これによって信頼感を生み出すことが非常に重要になってくると思います」

サイバーセキュリティー政策の大きな転換となる能動的サイバー防御。

効果的に運用していくためにも、政府には、通信情報の取得状況や無害化措置の実施状況などを可能な範囲で開示し、丁寧な説明をしていくことが求められる。

(取材:社会部記者 須田唯嗣 科学文化部記者 絹川千晴 福田陽平)

スペシャルコンテンツ