FT サイバー防衛 決定的な欠点
多国間連携の不在 無法者の暗躍招く
4ヵ月前、米マイクロソフトがサイバー犯罪との闘いで偉業をなし遂げた。同社のデジタル担当の探偵たちが世界中のコンピューターに有害な働きをするマルウエアを仕込んだ「ポットネット」 (いわゆる偽サーバー)を特定し、米連邦捜査局(FBI)などと協力して遮断したのだ。同社の次席法務顧問、トム・バート氏によると、恐ろしいことに、彼らは1200万台――そう、実に1200万台――ものパソコンがマルウエアに感染していたことを発見した。
読者が「素晴らしい」と叫びたくなったとしても、無理はない。何しろ、ボットネットは見つけるのがひどく難しいため、特に悪質な脅威をもたらす。また、マイクロソフトのデータによると、サイバー攻撃全般が爆発的に増加しており、世界の企業に年間4000億jの損害を与えている。
□ □
ただし、問題が1つある。マイクロソフトとFBIは、あのポットネットを作ったサイバーハッカーたちを裁判にかけたいと思っている。だが、このポットネットは完全に米国領土から運営されていたわけではなく、感染した1200万台のパソコンは、中国、イン、ドからチリ、米国に至るまで世界各地に点在しているため、一連の事件は法的なグレーゾーンに陥ってしまう恐れがあるのだ。
「シンガポールにポットネットがあり、ブルガリアのハッカーたちがそれを使って、米国の誰かに被害を及ぼす状況を考えてみてほしい」。バート氏は16日、ワシントンで開かれた本紙(フィナンシャル・タイムズ)の会議でこう語った。「司法管轄権は誰にあるのか。どの法律が使われるのか」。
それは誰にも分からない。サイバースペースでは、10年前の国際金融システムと同様に、膨大な数の犯罪行為が見落とされてしまう恐れがある。国家の規則が動きの速いデジタル世界に適していないからだ。
世界中の投資家と政治家はこの点に留意し、懸念すべきだ。過去2年ほどで、欧米諸国の政府と企業はサイバー犯罪に対する防衛策の構築で大きな前進を遂げた。例えばワシントンでは米国土安全保障省が公益企業向けの「自動情報共有」プログラムを立ち上げつつある。同省のスーザン・スポルディング次官によると、その狙いは、ある米国公益企業に対し「敵対勢力が何かを仕掛けたとき」、他の企業が注意喚起されるのを確実にすることだ。
実際には、そうした情報共有はまだ不完全だ。国家安全保障担当のジョン・カーリン司法次官補は、「大多数の企業は小さな侵入事件を(互いに)報告しない」と認める。だが、状況は4年前よりはましだ。当時、企業と国の安全保障に関わる組織との間の不信感が非常に強く、米商工会議所は義務的な情報共有プログラムの立ち上げに協力することを拒んだ。
現在、企業と政府が防衛策を強化する中で、決定的に欠けている要素が処罰だ。親や規制当局者なら誰でも知っているように、罰則なしで悪事を阻止するのは難しい。サイバー攻撃による被害額が4000億jにも上っているのに、裁判にかけられたサイバー犯罪者は驚くほど少ない。
犯人を特定し、捕まえるのが難しいことが一因だ。ロシア、中国で、となればなおさらだ。また、マイクロソフトが直面している問題で、国境を越えた法的な枠組みがめちゃくちゃになっているという課題もある。
□ □
常識的に考えれば、国連などの多国間組織が慣習法を作るか、少なくとも相互承認を進める必要があると考えるだろう。だが現実には今、賢明な協調体制を築くのは難しい。特にエドワード・スノーデン事件――米国家安全保障局(NSA)の契約社員が米国のインターネット監視の度合いを暴露したことで、プライバシーを巡る欧米間の論争が激化した――のような出来事が議論を困難にしている。「(協力を得るための)状況はむしろ厳しくなっている」とバート氏は言う。
だから当座の間、米当局者らは自国で開発した手段を駆使している。例えばカーリン氏によると、米国の安保当局者らは最近、イスラム過激派の大きな陰謀の先陣をきって、米小売企業にサイバー攻撃を仕掛けたあるハッカー容疑者を、マレーシアから送還させることに成功した。
だが米国の強引な法的措置は、長期的に効果ある策とはならない。こうした一方的措置は反発を招く恐れがあるからだ。また多くの欧米企業は、サイバー犯罪に対する防衛策を講じることはできても、報復できないため身動きがとれない。
だから、人がサイバースぺースを新たな「ワイルドウエスト(開拓時代の米国西部の無法地帯)」と呼ぶ時、彼らは半分しか正しくない。悪者は安い銃を無限に持っているが、一般市民にはバリケードしかないからだ。マイクロソフトのような企業が例のポットネットを作った連中を刑務所に入れる方法を見つけるまで、この状況は変わりそうにない。もしそれができれば、さらに目覚ましい偉業となるだろう。(3/18日付)