日本航空やNTTドコモ、三菱UFJ銀行などの金融機関が年末年始に相次いでサイバー攻撃を受けた。
重要インフラに被害が生じれば、国民生活や経済活動に大きな混乱を招きかねない。政府は被害を未然に防ぐ「能動的サイバー防御」導入のための法整備を急ぐべきだ。
「基幹インフラ」標的に
日航では利用客の搭乗手続きや荷物の預け入れに不具合が生じ、国内線、国際線とも一部の便で遅れが発生。NTTドコモでは通販サイトの検索機能など一部サービスが利用しづらくなり、三菱UFJ銀行では個人向けインターネットバンキングへのログインがしにくくなった。このほか、みずほ銀行やりそな銀行もサイバー攻撃を受けた。
いずれも大量のデータを送付して障害を発生させる「DDoS攻撃」によるものだ。人員が手薄になりがちな年末年始を狙ったものだとみていい。DDoS攻撃は、自分たちの政治的主張をアピールしようとするハッカー集団によるものが多い。しかし今のところ、犯行声明や復旧の見返りとしての金銭の要求などは確認されていない。警察は早急に発信元を特定し、実行犯を摘発しなければならない。
経済安全保障推進法では、サイバー攻撃で機能が停止すると国民生活や経済活動に大きな影響を及ぼす恐れのある「基幹インフラ」として15業種を列挙している。年末年始に攻撃を受けた航空、金融、電気通信は全て含まれる。今回はそこまで大きな被害はなかったが、業者がサイバーセキュリティーの強化に努めるべきなのは当然だ。
ただ、それだけで被害を防ぐことはできない。対策強化には能動的サイバー防御の導入が欠かせない。これは政府が平時から通信を監視し、重大攻撃の危険性があれば、警察や自衛隊が攻撃元サーバーへ侵入し、無害化措置を講じる仕組みだ。
政府の有識者会議は昨年11月にまとめた提言で、通信監視について「攻撃が顕在化する前から行われる必要がある」と明記し、これを可能にするための法整備を提唱した。憲法21条に定められ、監視との整合性が問われてきた「通信の秘密」を巡っては「公共の福祉のために制限を受ける」と明記した一方、独立する第三者機関が監督する重要性も併記した。政府・与党は今月召集の通常国会で関連法案を成立させなければならない。
官民共に危機感高めよ
近年は重要インフラがサイバー攻撃の標的となるケースが目立つ。2021年10月には徳島県の公立病院で電子カルテを利用できなくなり、約2カ月にわたって診療の制限を余儀なくされた。23年7月には名古屋港のコンテナ管理システムがサイバー攻撃を受け、コンテナの搬出入作業が3日間停止する事態となった。
ハッカー集団が狙うのは重要インフラの機能停止だけではない。警察庁は、中国政府が関与しているとされるハッカー集団「ミラーフェイス」が、先端技術の情報窃取のため、日本の政府機関や企業などに仕掛けたサイバー攻撃が19年以降210件確認されたと発表した。官民共に危機感を高める必要がある。