ハッカーとダークウェブ ～サイバー攻撃からインフラを守る～

新型コロナウイルス感染拡大を契機に、eコマース、テレビ会議、オンラインゲームが一気に普及しました。一方で、残念ながらサイバー犯罪は増加の一途を辿っています。米国連邦捜査局（FBI）によると、米国内でサイバー攻撃の被害者から報告された苦情件数は、パンデミック前の3倍以上の1日4,000件近くに達し、「オンライン上の脆弱性が増大している」としています。また、マッキンゼーの調査では、このままサイバー攻撃が増加し続けた場合、被害額は2025年までに年間10兆5,000億ドルまで増加すると予測しています。これは2015年の300%増加に相当します。

サイバー攻撃は、その数が増えるだけでなく、より巧妙化しています。詐欺メールで偽サイトに誘導する単純なフィッシング詐欺は、マルウェアやランサムウェアを巧妙かつ組織的に仕込む攻撃へと変化しています。ハッカーはどの国からでも攻撃でき、ほとんど追跡されることはありません。自動化botを使って攻撃を強化し、ネットワーク全体をフリーズさせ、乗っ取るケースも増えています。

実際、ハッキングは儲かるキャリアとなっています。1990年代には、政治的な動機を持つハッカーは単独でサイバー攻撃を仕掛けていましたが、今や組織化され、営利目的で潤沢な資産を有する標的を選ぶようになりました。彼らは「ハクティビスト」と呼ばれます。2021年5月にサイバー攻撃によって操業停止に追い込まれた、米国最大規模のパイプライン運営会社であるコロニアル・ガスパイプラインはその一例です。

ハッカーと言えば高度なスキルを持つプログラマーのイメージですが、その姿は大きく変わり、高度な技術を持たなくとも対価を払えば簡単に攻撃を行えるようになっています。多くのハッカーはダークウェブで提供されているRaaS（Ransomware as a Service）の月額定額課金（サブスクリプション）を払うことにより、開発済みのランサムウェアを利用することが出来ます。私たちが動画配信サービスの月額料金プランを利用するのと同じビジネスモデルです。

決して信頼せず、常に検証せよ　（Never trust and always verify）

幸いなことに、攻撃に対する防御力も向上しています。攻撃に対する最大のセキュリティリスクは「人間」なのです。人間は実際に悪意が無いにせよ、不注意で忘れっぽく、時に手を抜きます。現代のサイバーセキュリティは 「ゼロトラストセキュリティ」の原則、すなわち、すべてのユーザーやデバイスなどを「信頼できないもの」とする考えに基づいて運用されるようになってきました。

これまでは、企業は自社のシステムや情報資産と、外部との境界を明確に区別していました。外部のハッカーが侵入しようとすると、アラートが発出され、対策が実施されます。企業はこうした「境界型セキュリティモデル」に頼っており、ネットワークベースのツールやファイアウォールを使用して、ネットワークの境界を監視しています。しかしながら、境界型セキュリティモデルは、外部の攻撃者をネットワークから締め出すのには有効ですが、内部の「悪者」に対しては脆弱です。

対照的にゼロトラストセキュリティでは、ネットワーク内外に関わらず、あらゆるユーザーまたはデバイスが攻撃者ではないことを二段階認証などで証明する必要があります。今日、リモートワークが一般的に普及し、職場と家庭の境界線が曖昧になり、働く場所や時間が分散化している中、セキュリティリスクが増大しています。ゼロトラストセキュリティによる高度な保護により、脅威を排除することができるのです。

このような厳格なプロトコルは、安全性が高いものの、負荷も大きくなります。すべてのネットワークまたはシステムのアクティビティを監視するからです。ユーザーを認証し、どのシステムにアクセスし、どのデータをダウンロードするのか、すべて監視します。こうしたデータを収集して検証するには、高度で大容量のシステムが求められます。

三菱重工グループは、発電所のような重要インフラや工場、船舶や無人機などの防衛装備品や基地のような重要設備をサイバー攻撃から守るためのセキュリティソリューションである「InteRSePT（インターセプト）」を開発しました。InteRSePTは三菱重工グループが得意とする防衛・宇宙分野のソリューションですが、社会インフラなどの民需領域への導入も進めています。

「ふるまい」を監視する

InteRSePTは、工場の運転制御システムやドローンの管制システムなど、対象となるネットワーク上のアクティビティを監視し、疑わしいネットワーク通信またはネットワークデバイスを検知し、アラートを発します。ネットワークを監視する製品は数多くありますが、InteRSePTが際立っている点は、対象システム専用のルールに基づいて、システムやデバイスの「ふるまい（挙動）」を分析できる点です。例えば、正常に稼働しているネットワークデバイスが異常な指令をプラントに送信した場合、それを分析して異常な「ふるまい」を検知し、アラートを発します。

InterRSePTは対象システム毎にカスタマイズされたルールに基づき、「ふるまい」の異常を検知します。こうしたことが可能なのは、三菱重工グループが長年、様々な顧客と協働してパートナーを深く理解し、課題解決してきた経験に基づいています。また、グループ全体の経験、知見を結集できることも三菱重工グループの強みです。例えば、TOMONIサービスは、グループ内の発電プラントのノウハウを基に開発されたソリューションで、発電所のシステムのデータ分析と遠隔監視サービスを提供しています。

協働に基づく緊密な関係があるからこそ、三菱重工グループのセキュリティ対策設計には優位性があるのです。実際、InteRSePTは日本政府の機関で運用されており、民間企業でもいくつかの実証試験を実施しています。また、三菱重工の自社工場でもこのシステムの展開を進めています。

主要な電力会社やインフラオペレータ、メーカーはサイバー対策を着々と強化していることから、ハッカーは大企業のサプライチェーンを構成する中小企業へと標的を移し始めました。残念ながら、中小企業の多くは最先端のセキュリティ対策を行う余裕がありません。

そこで、三菱重工グループでは低価格帯のInteRSePTの開発に着手しています。現在、ノートパソコン上で動作し、ブリーフケースに入るサイズのポータブルモデルと、ドローンや無人機などに組み込むことができる小型モデルのコンセプトスタディを行っています。

サイバーセキュリティは、巨大なチェスゲームに似ています。ハッカーと防御側が互いに出し抜こうとしのぎを削っています。防御側は常にハッカーの次の動きを予測し、防御を高度化してレジリエンスを高めています。今この瞬間もハッカーとの戦いは続いています。我々が屈することは決してありません。