無頭の悪意　―サイバーテロ・ウィニー・ゾンビPC―

　インターネットが世界規模で普及しはじめた1995年あたりから、サイバーテロが話題にのぼるようになった。サスペンス映画の小道具としても、今やすっかりおなじみである。

　サイバーテロにはさまざまな定義があるが、おおよそのところ、政府機関や重要施設のコンピュータ・システムをインターネット経由で攻撃し、社会的混乱を引きおこす行為をさす。人によっては、企業やインターネット上の掲示板に対する攻撃まで含めることがあるし、コンピュータウィルスやワーム、トロイの木馬なども、被害がいちじるしい場合はサイバーテロと見なされることがある。物理的なテロの準備や犯行声明に、インターネットやコンピュータを使うだけなら、サイバーテロには含めないのが普通だ。

　コンピュータ先進国であるアメリカは、サイバーテロに敏感で、1999年には「情報システム保護のための国家計画」を策定し、14億ドルの予算を投じて対策に乗りだしている。日本でも内閣官房情報セキュリティ対策推進室や、警察庁セキュリティポータルサイトが調査と啓蒙活動をおこなっている。重要施設の集中する東京都では、2002年から「サイバーテロ対策協議会」を設置し、電力、ガス、水道、情報通信、航空、鉄道、金融機関など40の事業所が参加している。

　だが、喧伝される割りには、サイバーテロの実態はもう一つ見えてこない。これまでサイバーテロとされた事件をいくつかあげてみる。

　1999年9月、アメリカ軍はベオグラードの中国大使館を誤爆して大損害をあたえたが、この事件に憤った中国人ハッカー集団は、ホワイトハウスをはじめとするアメリカの政府機関のウェブサイトを攻撃し、閲覧不能にして留飲を下げた。

　2001年4月にアメリカ軍偵察機と中国軍機が接触事故をおこした際は、「ポイズンボックス」を名乗るアメリカのハッカー集団が「チャイナキラー」作戦と称して中国のウェブサイトを攻撃し、閲覧不能にしたり、トップページにいたずら書きをしたりした。中国側ハッカーは五四運動の記念日にあたる5月4日を期して反撃し、アメリカのウェブサイトに報復した。

　2003年3月のイラク戦争では、「自由サイバー義勇軍」を名乗るアメリカのハッカー集団が、アメリカに批判的な報道をおこなうアルジャジーラのウェブサイトを狙い撃ちにし、閲覧者を反イスラム的なサイトに飛ばしたり、トップページに挑戦的な文言をいたずら書きしたり、閲覧不能にした。

　日本もサイバーテロの標的になっている。2003年1月、小泉首相が靖國神社を参拝すると、文部科学省などの政府機関や日本企業のウェブサイトに、主に中国のハッカー集団が攻撃をくわえた。2004年8月の二度目の参拝時には、靖國神社のウェブサイトに攻撃が集中した。閲覧不能にされただけではなく、靖國神社のメールアドレスを詐称した中国語迷惑メールが大量に発信され、靖國神社のメールサーバがエラーメッセージでパンクしてしまった。中国の掲示板では靖国神社のサイトをつぶせという檄が飛びかい、攻撃用のツールが配布されているそうで、攻撃は2005年になっても執拗につづいている。

　政府機関ではないが、デジタル著作物の権利保護のために活動する社団法人「コンピュータソフトウェア著作権協会」（ACCS）のウェブサイトはたびたび攻撃にさらされており、インターネット上の住所であるURLを変更したこともある。

　イラク戦争の開戦数ヶ月前から、アメリカ軍は、メールアドレスをもっているイラク人に対し、家族を守るために国連査察団に協力せよとか、フセイン大統領から離反せよといった内容の同報メールを定期的に送りつけた。イラク当局から見れば、これもサイバーテロであろう。

　フセイン政権時代のイラクには国営プロバイダしかなかったので、こうした「迷惑メール」が届きはじめると、プロバイダの管理者は会員の接続を切断し、その間にメールボックスから「迷惑メール」を削除してまわったという。

　以上はウェブサーバーとメールサーバーに対する攻撃だが、これがテロかというと、いささか肩すかしの感がなくはない。

　ウェブサイトに対する攻撃、特に言論機関のウェブサイトを閲覧不能にする攻撃は、業務の根本を脅かす重大な妨害行為だが、人が死んだり、惨事が起きたりするわけではない。

　実のところ、デモ隊が大使館や新聞社に押しかけ、交通を妨害したり、塀に落書きしたりするのと変わらないともいえる。いや、デモなら、門扉や塀に物理的な損害が生じたり、時には怪我人がでたりするし、規模が大きくなれば、社会不安がうまれるが、ウェブサイトに攻撃をくわえても、一時的に閲覧できなくなるだけで、機械が壊れるわけではない。いたずら書きは修正プログラムをこまめに適用し、セキュリティホールをふさいでおけば防ぐことができる。アメリカ軍のメール作戦にしても、飛行機からビラをばらまくのと五十歩百歩で、過大評価は禁物だ。

　もっと派手な、映画に出てくるようなサイバーテロはないのだろうか？

　2003年5月、韓国の国軍機務司令部は、北朝鮮はミリム大学という特別な機関で、毎年、百人のハッカーを養成し、サイバー戦能力を増強しつつあると警告した（HotWired）。

　ミリム大学の卒業生はハッカーのエリート教育を受けているというのだが、アメリカ国防総省と国務省は、そうした情報は確認できないとしている。北朝鮮のネットワーク技術のレベルを疑問視する声もある。囲碁のソフトなどでは北朝鮮でも優秀な製品ができているが、ゲームのプログラミングと、ネットワーク技術はまったく別の分野である。将軍様の命令一下、一斉にキーボードを叩きだすサイバー戦士軍団が存在したとしても、どこまで脅威となるだろうか。

　サイバーテロ関係ではこの種の未確認情報は多いが、実際に物理的な被害が出たとサイバーテロは、これまで一件も確認されていない。

　もっとも、惨事を引きおこす可能性のあった事件なら、ないことはない。1994年におきた、アリゾナ州のセオドア・ルーズベルトダムの水門制御システムに対する侵入事件である。

　満水時にダムの水門を開けていれば、放流水が下流を襲い、洪水を引きおこしていたかもしれないが、水門を開けるには、水門制御システムに関する専門知識をもっていなければならない。ZD-NETによれば、侵入犯にはそこまでの知識はなく、単にシステムに侵入するだけで終わったというITmedia）。

　それでも、重要施設のコンピュータ・システムに、ネット経由で侵入したのは事実だったので、この話は関係者の間で語りつがれた。そして、語りつがれていくうちに、どんどん尾ひれがついていったらしい。

　2002年6月27日に、ワシントンポスト紙は「アルカイダによるサイバー攻撃の恐れ」という記事を掲載したが、ここでもルーズベルトダム事件が引きあいに出されている。

　ワシントンポストを批判したZD-NETの記事は「まるで子供の伝言ゲームだ」という、事件を担当した検事の言葉を伝え、セキュリティの専門家は「ハッキングよりも爆弾を仕掛ける方が簡単」だと異口同音に語っていると述べている。

　記事では、侵入事件の犯人は12歳の天才ハッカーで、ルーズベルトダムの貯水量は489兆ガロンとなっていたが、実際の犯人は27歳の男で、貯水量は千分の一の4980億ガロンだった。

　ワシントンポストの記事は他にも疑問が多い。「アルカイダはインターネットを虐殺の道具にしようとしていると専門家が警告」というセンセーショナルなリードがつき、中近東と南アジアに住む何者かが、サンフランシスコ一帯の自治体や重要施設のコンピュータ・システムの情報を手にいれようと、ウェブサイトを探しまわっている形跡が見つかったというのだが、アルカイダの関与を積極的に示唆するような材料は、なにも示されていない。

　ウェブサーバーやメールサーバーは、インターネットに接続しなければ、役割を果たすことができないが、発電施設や電力施設、水利施設を管理するコンピュータシステムはインターネットに接続する必要はなく、専用回線で運用されている。どこかの端末機から、うっかりインターネットにつながっている可能性はなくはないが、仮にインターネットから侵入できたとしても、フェールセーフ機構を欺いて惨事を引きおこすには、そのシステムに精通している必要がある。ZD-NETの言うように、結局、テロをおこなうには、爆弾をしかけた方が早いのだ。

　警察庁の情報通信局技術対策課は、サイバーテロの特徴として、以下の四項目をあげている。

• 高い匿名性
• 無痕跡性
• 被害の不特定多数性
• 時間的場所的無限定性

　サイバーテロは見えにくく、とらえにくい。この見えにくさ、とらえにくさが、社会の情報化に対する不安とあいまって、サイバーテロの虚像を何百倍、何千倍にもふくらませているといえるだろう。

　インターネットから侵入した謎の天才ハッカーが発電所を爆発させたり、ダムを決壊させたり、大停電を引きおこしたりといったサイバーテロは、多分、映画や小説の中だけの話だろう。

　しかし、サイバーテロによるインフラ破壊の懸念がまったくないということではない。サイバーテロによって機能が麻痺するインフラは、確かに存在する。ほかでもない、インターネットそれ自体だ。

　今やインターネットは重要な社会基盤となっていて、昨年はインターネット企業が野球球団を保有したことが話題になった。日本政府は1998年から電子政府の実現を目標とするe-Japan計画を進め、実用になるかどうかは別として、大半の行政手続がインターネット経由でおこなえるようになっている。ｉモードのような携帯電話サービスも、今ではインターネットと一体化している。

　メールもウェッブも自分には関係ないという人も、電話は使っているはずだ。当初、インターネットは電話網に寄生していたが、IP電話が誕生し、急速に普及した結果、今では電話網の方がインターネットに寄生する形になっている。また、外出先から携帯電話でエアコンや炊飯器のスイッチを入れたり、冷蔵庫の中味を確認できるネットワーク家電の普及もはじまりつつある。日本に住む限り、もはやインターネットと無関係に生活することは不可能になりつつある。

　インターネットが麻痺するとは、どういうことだろうか？

　いくつかの方法が考えられるが、まず、DNSサーバーをダウンさせてしまうケースである。

　インターネットにつながっているコンピュータは kantei.go.jp のように、固有の名前（ドメイン名）で区別されている。メールアドレスも、ウェブサイトのURLも、ドメイン名をもとに決められているが、ドメイン名はあくまで人間向けであって、コンピュータどうしはIPアドレスという番号で区別しあっている。

　首相官邸のホームページのURLは www.kantei.go.jp だが、ウェブブラウザにこのURLを打ちこむと、ブラウザはDNSサーバーに問い合わせて、kantei.go.jp のIPアドレスが 202.32.34.69 だという情報をもらい、この 202.32.34.69 というIPアドレスでホームページのデータをリクエストするのである。

　DNSサーバーが機能を停止してしまうと、そのDNSサーバーを使っているコンピュータはなにもリクエストが出せなくなる。ホームページの閲覧も、メールの送信も不可能になる（こうした事例は実際にある）。

　DNSサーバーどうしは相互に結合し、常に最新のデータを交換しあっているが、データの一貫性をたもつために、全世界に13台だけ、ルートDNSサーバーと呼ばれる特別なDNSサーバーが設置されている。もし、13台すべてがダウンすると、インターネットは大混乱におちいる。これは仮定の話ではない。ルートサーバーを標的とする同時多発攻撃がおこなわれ、13台のうちの7台がダウンしかけるというきわどい事件が、2002年10月に起こっている。

　こうした攻撃は、ハッカー自身のコンピュータからおこなわれることは、ほとんどない。

　インターネットはよく匿名のメディアだと言われるが、実際はそうではない。ラジオ局やテレビ局は、視聴されているかどうかにかかわりなく、電波塔から一方的に電波を発信するが、ウェブサーバーの場合は、閲覧者から、どのページを閲覧したいというリクエストを受けとって、はじめてデータを閲覧者のIPアドレスに送りだすのである。閲覧者にはデータをリクエストしている意識がないかもしれないが、ブラウザにURLを打ちこむこんだり、リンクやボタンをクリックすることが、リクエストにあたる。

　ウェブサーバーやDNSサーバーに対する攻撃は、処理能力の限界を超えた大量のリクエストを一度に送りつけることによっておこなわれる。これをDoS攻撃（サービス拒否攻撃）という。

　サーバー側の運用記録（アクセスログ）には、いつ、どこのIPアドレスから、どのようなリクエストがあったか、すべて記録されるので、自分自身のコンピュータから攻撃すると、身許がばれてしまう（IPアドレスだけでは個人は特定できないが、プロバイダ側の記録と突きあわせると、個人にたどりつける）。侵入の場合も同じだ。

　ハッカーは不正行為をおこなう際は、他人のコンピュータを乗っ取り、その他人になりすまして攻撃したり、侵入したりする。物理的なテロをおこなうには、それなりのリスクを負う覚悟が必要である。自爆テロのように、鉄の意志の必要なテロもある。だが、ネット上の不正行為は、ささやかな悪意があれば十分だ。

　乗っ取られるコンピュータは、セキュリティの甘い一般家庭のコンピュータが多い。昔は手作業で乗っ取っていたらしいが、現在ではコンピュータウィルスやトロイの木馬、ワームなどの有害プログラムが使われる。

　初期のコンピュータウィルスは愉快犯的で、感染すると侮辱的なメッセージを出したり、データを抹消するといった派手な症状を呈したが、最近はコンピュータに感染すると、バックドアという侵入口を作ったり、ゾンビプログラムとかボットと呼ばれる遠隔操縦プログラムを埋めこむものが増えている。ゾンビプログラムは定期的に指令サーバーと交信して、指令を受ける。ゾンビプログラムを埋めこまれたパソコンはゾンビPCとか、ボットPCと呼ばれる。ゾンビプログラムは遠隔操作で更新することができる。頻繁に更新していれば、ワクチンソフトでもなかなか検知できない。

　ゾンビPCとして長く使うためには、症状は目立たない方がいい。ゾンビPCにあらわれる症状は、動作が重くなったり、計算パワーを必要とするソフトウェアの動作が不安定になる程度のものだ。パソコンが高性能化した結果、ほとんどの時間、計算能力は空費されており、裏で犯罪行為に加担させられていても、なかなか気がつかない。特に危険なのはネットワーク家電である。2004年12月に、某社の最上位ＤＶＤレコーダーにワームが感染し、ゾンビ化した事例が確認されているが、家電製品の感染はパソコンよりもさらに発見しにくい。

　ゾンビPCは、さまざまな犯罪行為に使われる。2002年9月に、ケーブルＴＶでインターネットに接続していた愛知県の会社員のパソコンがゾンビにされ、ＮＡＳＡの侵入に使われるという事件が報道されたが（朝日新聞2002年9月14日夕刊）、セキュリティ意識が低いと、知らないうちにネットワーク犯罪者にされてしまう危険がある。

　常時接続が普及したとはいえ、家庭のコンピュータは常に電源がはいっているわけではないので、ハッカーは数百台から数千台、時には数万台のゾンビPCを用意している。指令サーバーによって管理されるゾンビPC群はゾンビネットとか、ボットネットと呼ばれている。

　警察庁は2005年1月に「ボットネット（botnet）に注意」というレポートを公開したが、11月25日からの10日間、20のボットネットを監視したところ、総計23万5千台のゾンビPCの活動を確認し、そのうちの1万8千台は日本国内に存在すると推定されるという。

　DoS攻撃は、多数のゾンビPCを使って、厖大なリクエストを同時多発的に送りつけるDDoS攻撃（分散サービス拒否攻撃）に進化した。英国では賭博サイトにＤDoS攻撃をかけると脅し、金を要求するサイバー恐喝事件が起こっており、日本にもそのうち上陸するかもしれない。

　ゾンビプログラムには、パソコンの持ち主の個人情報やパスワードを転送したり、高価なソフトウェアのCDキーを盗みだす機能もそなわっているが、一番収益が上がるのは、迷惑メール（スパム）の発送代行業のようだ。ゾンビPCは迷惑メールの中継サーバーとして使われる。

　現在、迷惑メールは、全メールの75%を占めている。迷惑メールが、正当なメールの三倍も出されているわけで、迷惑メールは社会問題化している。

　プロバイダは迷惑メールを排除するために、さまざまな工夫をこらしているが、中でも効果が高いのは、迷惑メールの発送に使われるIPアドレスのブラックリストを作り、水際ではじくことで、これをフィルタリングと呼んでいる。

　フィルタリングを逃れるには、ゾンビPCをどんどんつくり、ブラックリストに載っていないIPアドレスを確保することが必要だが、2005年になって、フィルタリングを無効にする究極の方法が考案された。ゾンビPCの持主が加入しているプロバイダのメールサーバーを、迷惑メールの発送に使う方法である（CNET）。IPアドレスが判明しても、多数の一般ユーザーが利用しているプロバイダのメールサーバーでは、ブラックリストに載せるわけにはいかない。専門家は、この方法が普及したら、迷惑メールの占める割合は95%に達するのではないかと危惧している。正当なメールの20倍近い迷惑メールがネットを飛びかうという異常事態である。

　始末の悪いことに、ゾンビネットやバックドアは簡単に再利用できる。ウィルスのソースコード（設計図）と同じように、ゾンビプログラムのソースコードも、アンダーグラウンド・サイトで公開されているので、多少の知識があれば、容易に亜種が作れるし、機能も追加できる。すでに活動しているゾンビプログラムを横どりすることも可能である。ゾンビネットを作ったハッカーが廃業したり、逮捕されたりしたとしても、ゾンビPCと指令サーバーの交信を傍受したハッカーが、新しい指令サーバーを立てれば、ゾンビネットはそっくりそのまま、新しいオーナーの持ち物になる。バックドアも、仕込んだ人間以外でも利用できる。すでにあるバックドアを使って繁殖するワームも多い。ネット上では、なんのために作られたかも忘れられた有害プログラムが生きのびつづけている。ゾンビプログラムやコンピュータウィルスは、作者の意図を越えて、コンピュータからコンピュータへ移動し、増殖しつづける。サイバー空間には鉄の意志をもったテロリストはいないかもしれないが、主体から切り離された悪意の痕跡が夥しく浮遊していて、不正行為を盲目的に再生産しているのである。

　コンピュータが企業や行政にゆきわたるようになってから、個人情報の大規模流出が頻発するようになった。ウェブサイトから顧客データベースが漏洩するようなこともたびたびニュースになり、社会不安を高めている。

　コンピュータからの情報漏洩というと不気味で、話がふくらみがちだが、個々のケースを見ていくと、事件ばかりである。内部の人間による漏洩が圧倒的に多く、ウェブサイトから流出も、サイト管理者の無知と不注意が原因になっている。不注意を指摘しても直さないので、あえてデータを盗みだして、警鐘を鳴らそうとしたなどという事例まである。今のところ、謎の天才ハッカーが、魔法のように情報を奪いさったという話は、寡聞にして知らない。

　ネット上でも、フィッシング詐欺、スパイウェアなど、個人を標的にした個人情報の盗みだしが多いが、ここでは別の話をしたい。個人情報よりも一歩進んだ、業務情報やプライベート情報の漏洩である。

　この種の情報に最初に目をつけたのは、SirCamというコンピュータウィルスのようである。メールで感染するコンピュータウィルスは、メールを開いてもらわなければ感染できないので、なんとかして受信者にメールを開かせようとする。初期には件名を「I love you」にしたり、テニス・プレイヤーの>アンナ・クルニコワ選手のヌード写真を添付したと称するだけで、引っかかる人が結構いたが、ウィルス報道が増えるにつれ、その程度では開いてもらえなくなった。

　SirCamの作者は、知人の秘密を覗いてみたいという、人間性の弱点に注目した。SirCamは感染に成功すると、メールソフトのアドレス帳に記載されているメールアドレスにメールを送信するが、その際、コンピュータ内のワープロ文書や住所録、会計ソフトのデータなどを無作為に添付し、その添付ファイルの中に自分自身を潜りこませる。

　知人からメールを受けとった人間は、ワープロ文書などが添付されているので、つい開いてしまう。多くの場合は無味乾燥な文書だろうが、時には極秘文書や秘密帳簿が添付されていることがある。履歴書やラブレター、クレジットカードの番号の書かれた文書まで送られてきた例があるそうだ。

　知人の文書を盗み見た人間は、添付ファイルを開いたことによってSirCamに感染し、今度は彼自身の文書を添付したメールが、アドレス帳に載った知人や取引先にばらまかれることになる。

　ほめるつもりはないが、人間性の機微を突いたみごとな着想というほかない。SirCamは技術的には目新しい点はなかったにもかかわらず、大流行したが、誘惑に負けた人がそれだけ多かったということだろう。

　SirCamからヒントをえたのかどうかは不明だが、ファイル共有ソフトWinnyで拡がるAnntinyというワームがある。

　Anntinyは感染に成功すると、そのパソコン使用者の名前、所属組織名、デスクトップのスナップショット画像と、デスクトップ上におかれたすべてのファイルをWinnyネットワークに放流してしまう。いったんWinnyネットワークに流れでたファイルは、コンピュータからコンピュータに際限なくコピーされていくので、回収するのは事実上不可能だ。

　Anntinyが有名になったのは、流行がはじまった直後、警察の捜査情報を相次いで流出させたからである。

　最初に流出が判明したのは、京都府警下鴨署の交番勤務の巡査のファイルで、朝日新聞（2004年3月29日付）によると、刑事訴訟法で基本書式として定められた捜査報告書、鑑定嘱託書、指名手配書で、関係者の名前や生年月日、住所などが記入されていたという。その翌日、北海道警からも捜査資料が流出していたことが明らかになった。

　どちらのケースも、私物のパソコンに捜査情報を保存するというルール違反が直接の原因だが、後に著作権法違反で作者が逮捕されることになるWinnyを、現役警察官が利用していたことも押さえておきたい（Winnyの作者は、東京在住にもかかわらず、京都府警が逮捕したが、一部では捜査資料流出でメンツをつぶされた意趣返しだろうと囁かれている）。

　Anntinyワームのせいではないが、Winnyでは自衛隊の内部資料の流出も起きている。流出させたのは陸上自衛隊第1普通科連隊（東京都練馬区）の二尉という幹部自衛官で、Winnyの設定を間違え、仕事上の文書のはいっているフォルダをうっかり「提供可能な状態』にしてしまったらしい。「教育訓練実施計画」「総員名簿」「精神教育の書式」など三〇のファイルで、機密扱いの文書はなかったとされているが、隊員の個人情報が含まれていたという。

　警察と自衛隊という国家のバックボーンから、内部情報がこんなにもやすやすと流出するのは由々しい事態だが、本当に恐ろしいのは、秘密文書を盗みだそうとか、暴露しようといった主体的な意志を誰も持っていなかったことだ。意志などないのに、なんとなく流出してしまったのだ。

　ネットワーク家電が普及すると、家電製品によるプライベート情報の流出が考えられるし、予想もつかないような新たな犯罪も出てくるかもしれない。

　ネットを浮遊する無頭の悪意による、没主体的・没意志的な無差別の破壊活動。これをテロといってよいかどうかわからないが、将来、ネット上で社会を混乱におとしいれる事態が生まれるとしたら、このような形態をとるのではないだろうか。