週間国際経済2021（15）　No.265　05/04～05/10

今週のポイント解説（15）　05/04～05/10

サイバー攻撃

１．アメリカ最大の石油パイプラインが停止

アメリカ石油パイプライン最大手のコロニアルが5月7日、サイバー攻撃を受けてすべての業務を停止したと発表しました。コロニアルはメキシコ湾岸からアメリカ北東部までの大動脈で、東海岸の燃料消費の45％のシェアを占めているそうです（5月9日付日本経済新聞）。コロニアルは「ランサムウエア」の攻撃を受けた可能性をあげています。

ランサムウエアとはRansom（身代金）、Softwareの造語ですが、制御システムにウイルスなどマルウエア（Malware）を感染させてファイルを暗号化させ、その復号にはキーワードが必要になる。その条件が身代金というサイバー攻撃だということです。

FBI（アメリカ連邦捜査局）は5月10日の声明でハッカー集団「ダークサイド」の犯行だと明らかにしました。5月15日付日本経済新聞の『真相深層』によれば、攻撃者が特定できても公表するとは限らない。公表すれば別のルートで攻撃されるイタチごっこになるため、泳がせておいて探ったり報復したりするのだそうです。

今回アメリカは公表し、バイデン政権はダークサイドがロシアにいると主張し、「ロシアには対処する一定の責任がある」と強調しました。でも「ロシア政府が関与した証拠はない」ということですから、批判するというよりどちらかといえば協力しようというニュアンスに聞こえます。6月には米ロ首脳会談が予定されていますしね。

さてコロニアルは5月12日に稼働を再開しました。早いですね。こうなると身代金が気になります。もちろんコロニアルは要求に応じないという姿勢を示し、バイデン政権（ペロシ下院議長）も応じるべきではないとしています。

でも13日になってブルームバーグ通信やウォール・ストリート・ジャーナルが500万ドル（約5億5000万円）近い身代金を払っていたと報じました。一方ワシントン・ポストによるとコロニアルは払う予定はないと報じるなど、真実は闇の中、映画みたいですね。

でも、こんなに短時間で「払えそうな金額」を要求して、被害者が身代金を払っていないと主張するなんて、ボロいですよね。こんなこと、いくらでも起こりそうです。でも社会インフラが人質になるなんて、他人事ではありません。

２．コロナ禍で増えている

5月11日付日本経済新聞によると重要インフラへのサイバー攻撃は昨年世界で468件と、19年の1.5倍だったそうです（IBM調査）。今年2月にはフロリダ州の浄水施設が狙われ、水道施設がハッキングされて化学物質が有害な濃度になったということがありました。記事は「モグラたたきの様相」と書いています。イタチとかモグラとかたいへんです。

もちろんサイバー攻撃が増加していることはよく耳にします。それにしても昨年来急増しているには訳がありそうですよね。思いつくのが昨年6月に自動車メーカーのホンダがマルウエアに感染して、海外の9工場が生産停止に追い込まれた事件です。このときの報道ではホンダがどう具体的に感染したかは明らかにされませんでしたが、一般論として、コロナ禍であわててテレワークに切り替えた企業はサーバー管理につけ込む隙があるということが論じられていました。

３．日本はデジタル後進国

こうなると心配なのは、デジタル後進国であることがバレた日本です。コロナ感染対策でも、各種給付金でもGo Toキャンペーンでも、ワクチン接種でも、日本のネットは不具合の連敗続きです。専門家は「どんなシステムにも不具合はある」と庇いますが、呆れた不具合や不具合への対応とか、ドタバタ感は半端ありません。

ぼくは昨年の夏、この心配について書いたことがあります（「残念なそして心配な日本のIT後進性⇒ポイント解説№231」）。日本の中央省庁全体で行政手続きがネットで完結できるのはたったの7.8％でした。民間（ビジネス環境ランキング）でも同じことが言えます。また世界に追いつかないというより、追い越されて差を広げられているのです。

最大の理由はIT投資に対する消極性です。これだけ社会がデジタル化しているというのに、OECDによれば日本企業は2000年から2017年までにIT投資を2割減らしたというから驚きです。同期間中アメリカは6割増、フランスは2倍になっているのに。

ぼくはそのブログで「IT化の遅れはセキュリティの遅れ」と書いていました。当時の日本経済新聞には「テレワークを拙速に導入したことでシステムに欠陥を抱える日本企業の情報が、ハッカーの間で大量に流通している」というセキュリティ企業の警告が載っていました。「テレワーク7割」と行政のトップはお尻を叩くのですが、企業のトップは尻込みするのです。無理ありません。

デジタル庁を立ち上げるとか菅さんも危機感を持っているようですが、根本的な問題は深刻な人材不足なのです。「やっている感」では克服できません。

４．日本のセキュリティが心配だ

もちろんサイバー攻撃はハッカー集団だけが起こすものではありません。国家機関によるものも多く報道されています。最近ではイランの核施設に対するイスラエルのサイバー攻撃が各国メディア、専門家によって指摘されていました。

すぐに連想するのは日本の原発です。原発稼働にはテロ対策施設が義務付けられていますが、九州電力川内原発に続き関西電力高浜原発も設置期限内に設置できなかったとして停止させられました。テロ対策といっても遠隔で原子炉を制御するための施設の設置とか、100メートル以上離れた場所に緊急制御室や冷却用ポンプを設置するという最低限の措置です。この程度のことが期限内に達成できない電力会社にサイバー攻撃への備えを求めるなんて、本当に心許ありません。

そしてサイバー攻撃といえば、オリンピックです。昨年10月にイギリス外務省が、ロシアのハッカー集団が2020年に開催予定だった東京五輪の妨害を狙っていたと発表しました。これを受けて橋本オリンピック担当大臣（当時）はこのことを「承知している」とし、さらに「平昌冬季五輪では6億回のサイバー攻撃があった」と指摘していました。

だいじょうぶですか？ランサムウエアにとって、オリンピックは格好の標的だといいます。身代金を払えば済むという問題ではなく、しばらく社会インフラが停止することも想定されます。コロナ医療やワクチン接種に混乱がなければいいのですが。とても不気味な話ですが、国会でもメディアでもオリンピックに対するサイバー攻撃への備えについて話題にも上りません。

サイバー・セキュリティについて、日本の根本的な問題は人材不足だと言われています。その日本はコロナ感染拡大という有事の中で、非日常的な巨大イベントを敢行しようとしています。ハッカー集団がこのタイミングをみすみす見逃すでしょうか。

アメリカのパイプラインから日本の原発そして東京オリンピックまで、連想するのは杞憂でしょうか。ぼくはそれがデジタル・グローバリゼーションのリアルな姿だと思うのですが。