恥ずかしい。
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道
2023年08月08日07時08分
米紙ワシントン・ポスト(電子版)は7日、中国人民解放軍のハッカーが日本の防衛省の最も機密性の高い情報を扱うコンピューターシステムに侵入していたと報じた。2020年秋に米国家安全保障局(NSA)が察知し、日本政府に伝達した。しかし、日本のサイバー対策は依然として十分ではなく、日米間の情報共有の支障となる可能性が残っている。
時事通信より
日本のサイバー対策が脆弱なことは知っているんだけど、改めて突きつけられると、恥ずかしい。
予算が必要
NSA局長から指摘
えーと。ちょっと古い話も混じっている感じかな。
同紙によると、中国軍によるネットワーク侵入は「日本の近代史上、最も有害なハッキング」となった。元米軍高官は「衝撃的なほどひどかった」と語ったという。
報道では、米政府は20年秋、当時のポッティンジャー大統領副補佐官(国家安全保障担当)と米サイバー軍司令官を兼務するナカソネNSA局長が東京を訪問し、日本の防衛省首脳に直接、この侵入について伝えた。防衛省首脳はこれを懸念し、首相にも警告するように手配した。
時事通信より
アメリカ側の主張だけ、報道だけ信用するのもどうかとは思うので、日本側の反応を1つ。
浜田防衛相「情報漏洩確認されず」 中国軍ハッキング報道
2023/8/8 11:26
浜田靖一防衛相は8日の記者会見で、中国軍のハッカーが2020年秋に機密情報を扱う日本の防衛ネットワークに侵入していたと米紙ワシントン・ポスト電子版が報じたことに関し「サイバー攻撃により防衛省が保有する秘密情報が漏洩したとの事実は確認していない」と説明した。
実際に中国軍によるサイバー攻撃があったかなど詳細については「個別具体的なサイバー攻撃への対応を明らかにすることにより、防衛省・自衛隊の対応能力などが明らかになる」として、言及を避けた。
産経新聞より
あー、これは侵入はあったけど、今のところ問題になっていないってヤツだ。そして、おそらくはこのニュースが出たことでの直接的な影響はないヤツだろうね。
日米関係に支障が
ただ、日米同盟にとって今回のこの件はかなり問題となる。
ただ、日本側のサイバー対策はその後も不十分だった。米国でトランプ前政権からバイデン政権に移行し、オースティン国防長官が日本側に、サイバー対策を強化しなければ情報共有に支障を来すと伝達した。にもかかわらず、21年秋になっても「中国による侵入の深刻さと日本政府の取り組みの遅さを裏付ける新たな情報」を米政府が把握し、日本側に提供した。
21年11月にはニューバーガー国家安全保障担当副補佐官(サイバー・先端技術担当)が東京を訪れ、自衛隊や外交当局のトップらと会談した。ニューバーガー氏はどのように中国の侵入を把握したかは明言しなかったが、同紙は「日本政府は米国が同盟国の日本をスパイしていることを把握していた」とも報じた。
時事通信より
まさに情けないの一言だよね。
いやまあ、この分野で遅れているのは重々分かっているつもりなんだけど、改めて指摘されてしまうとガッカリだね。そして、このタイミングで通告してきた事にも、何らかの意図を感じる。
支那だけではなく、ロシアや北朝鮮からのアクセスだってある訳だから、今回の報道は表面的には日本だけの問題だけど、アメリカによる支那への牽制という意味合いも含まれているのだと思う。
まあ、予算を付けて取り組んではいるし、何年もかかる話だとは思うんだけど、規模がまだまだ小さいんだよね。
追記
能動的防御の話
ちょっと調査不足で中途半端な記事になってしまったんだけれども、追記して、そのうち纏め直す様にしたいと思う。
取りあえずは追記である。
自衛隊、サイバー人材4000人に 「能動的防御」へ拡充
2023年1月4日 11:30
政府は新たな安全保障関連3文書でサイバー攻撃への備えを拡充する方針を打ち出した。兆候段階で不審な通信などから攻撃元を探知したり事前にたたいたりする「能動的サイバー防御」を新たに導入する。
サイバー空間を常に監視し、怪しいアクセスなどをいち早く把握して被害を未然に防げるようにする。それに伴って自衛隊の専門人材を2027年度までに現在の4倍以上の4000人ほどに増やす。
日本経済新聞より
記事の冒頭で、「ちょっと古い情報が混じっている」と言及しているのだが、政府はサイバー攻撃に対処するために「能動的サイバー防御」をやる方針を今年初めに出している。
この話は安倍政権下で既に準備が進められていて、今年初めになって漸く計画が明らかになった。安全保障関連3文書に載せるのだから、いい加減な「空想」ではダメなわけで、しっかり構想が練られて実現可能な状況になっていなければならない。
つまり、日本としては、「アメリカから言われなくとも今準備してるわ!」という状況だったはずだ。
自衛隊サイバー防衛隊の新編は2022年に
ちなみに、サイバー防衛隊に関しては既にある程度整備されている。もちろん規模として十分とは言えないまでも、スタートはしている。
<解説>自衛隊サイバー防衛隊の新編について
サイバー防衛隊を隷下に有する自衛隊指揮通信システム隊の体制を見直し、2022年3月17日、陸海空自衛隊の共同の部隊として、自衛隊サイバー防衛隊を新編しました。
この部隊の新編により、従来保有していたサイバー防護機能に加え、実戦的な訓練環境を用いて自衛隊のサイバー関連部隊に対する訓練の企画や評価といった訓練支援を行う機能を整備するとともに、隊本部の体制強化を図るほか、より効果的・効率的にサイバー防護が行えるよう、陸海空自衛隊のサイバー部隊が保有するサイバー防護機能を当隊へ一元化するなど、陸海空を統合した体制強化も図りました。
防衛省のサイトより
2020年の話があったことは事実だろうが、2022年3月にこの部隊の新編(540人態勢で発足)し2023年度末までに約2230人体制に拡充する予定である事を考えれば、「日本のサイバー対策は依然として十分ではなく」というのは確かにその通りなんだけれど、今指摘される事柄でもないはずだ。
米国防総省にハッカーが侵入、3万人の個人情報が漏洩か
2018.10.16
10月4日、米国防総省(ペンタゴン)で働く3万名の個人情報が流出した可能性があることが発覚した。外部から侵入したハッカーが、個人データとクレジットカード番号にアクセスした形跡があるという。
Forbesより
そして、アメリカも何度もハッカーにやられているんだよね。国防総省だけでなく、あちらこちらの省庁がやられている。「日本だけがダメ」という話ではないのだ。
そもそも、冒頭のニュースがちょっと怪しいのは、「米政府は20年秋、当時のポッティンジャー大統領副補佐官(国家安全保障担当)と米サイバー軍司令官を兼務するナカソネNSA局長が東京を訪問し、日本の防衛省首脳に直接、この侵入について伝えた。」という話が書かれているのだが、この内容は防衛機密にあたる可能性が高い。
そうすると、冒頭のニュースは、一体、何に基づいた情報なのだろうか?
不十分な部分があるのは事実だが、どうもこの記事は怪しい。
情報共有に自信?
さて、多分同じ切り口で書かれているだろう記事を1つ紹介しておきたい。
米、日本との情報共有に自信=国防総省
2023年8月9日6:22 午前
米国防総省のシン報道官は8日、日本との情報共有に自信を持っていると述べた。中国軍ハッカーが日本の最も機密性の高い防衛ネットワークにアクセスしていたとする米紙の報道については、直接的なコメントは控えた。
ロイターより
「直接的なコメントは控えた」とあるが、これは国防総省としては当たり前である。あったとも、無かったとも言えないのだ。
機密保護の協定を結んでいる以上は、この対応は正しい。そうだとすると、冒頭のようなニュースが出てくること自体に違和感を感じるわけである。
そして、このロイターの記事はワシントンポストの記事を引用した形となっているが、「今後も情報共有に自信を持っている」という意味の分からないことを言っている。
これ、「寧ろ日本から情報提供しろ」という意味ではないだろうか?そうだとすると、なかなか厄介な話である。
これがワシントンポストの記事の原文で、冒頭のニュースはその内容をつまみ食いした形になっている。
元記事は趣旨が異なる
さて、「情報共有に自信」の部分が意味が分からなかったので、ワシントンポストの記事の一部を引用してみよう。
China-based hackers recently compromised the emails of the U.S. commerce secretary, the U.S. ambassador to China and other senior diplomats — even amid an effort by the Biden administration to thaw frosty relations with Beijing.
“Over the years we have been concerned about its espionage program,” said a senior U.S. official. “But China is [also] developing cyberattack capabilities that could be used to disrupt critical services in the U.S. and key Asian allies and shape decision-making in a crisis or conflict.”
In the face of this aggression, Japan has stepped up, moving beyond the traditional “shield and spear” arrangement in which Tokyo focuses on the country’s self-defense, while Washington provides capabilities that support regional security, including the nuclear umbrella that protects Japan and South Korea. Japan is developing a counterstrike capability that can reach targets in mainland China. It is buying U.S. Tomahawk cruise missiles. And it is permitting the U.S. Marine Corps to place a new advanced regiment in remote islands southwest of Okinawa, a location that, along with the northernmost islands of the Philippines, allows the U.S. military proximity to Taiwan should a conflict with China erupt.
~~対訳~~
中国を拠点とするハッカーが最近、米商務長官、駐中国大使、その他の上級外交官の電子メールを漏洩させた。
「長年、我々は中国のスパイ活動を懸念してきた。「しかし中国は、米国やアジアの主要同盟国の重要なサービスを妨害し、危機や紛争における意思決定を形成するために使用される可能性のあるサイバー攻撃能力を開発している。
このような侵略に直面した日本は、東京が自衛に重点を置く一方で、ワシントンが日本と韓国を守る「核の傘」を含む地域の安全保障を支える能力を提供するという、従来の「盾と槍」の取り決めを超えて歩み出した。日本は、中国本土の目標に到達できる反撃能力を開発している。日本は米国のトマホーク巡航ミサイルを購入している。また、米海兵隊が沖縄の南西にある離島に新たな新兵連隊を配置することを許可している。この場所は、フィリピンの最北端の島々とともに、中国との紛争が勃発した場合に米軍が台湾に接近することを可能にする。
washingtonpost.comより
要約すると……。
- 日本は支那にハッキングされている
- アメリカもハッキングされた
- アメリカがやられるんだから日本はもっと心配だね
- 日本の努力は認めるけど、防衛協力するならもっと努力してね
- 最終的には彼らと情報を共有するつもりだ
冒頭の記事では日本だけがダメみたいな内容だが、元記事はアメリカもかなり手ひどくやられていて、日本も努力を始めたばかりだから未だレベルは低い。そのうちレベルが高くなったら手を組もうね、という内容になっている。
当時の関係者は「日本人は自分達のネットワークに米国人のアクセスを許可することに抵抗があった」と述べていて、なんだかロジックがおかしい気がする。
アメリカも日本の協力無しでは困る側面が見えることと、日本に情報開示を要求している側面が見えることがちょっと気になるね。
コメント
今晩は。
日本人には、人材は存在しても、ITソフト関連で当分トップに立つのは無理と思います。
若くとも、技術・管理能力が有って、且つ、人当たりが良い人材は希少でいない。
風変わり、気難しく人との付合いが悪いが飛び抜けた能力がある。
この様な人材を高給で招聘する度量が欠けていると思う。
現在頑張っているウクライナの情報関連の責任者(大臣)は、就任時は何と20代。
しかも、テスラのイーロンマスク氏と面識があった。
こんな人材を、幕末~明治維新の頃の日本はできたが、今は無理。
防衛庁は、他の部門より良いとは思うが、それでも余り期待できないと思う。
当初、ソースコードの不明な製品も使っていたと聞く。
少なくとも、問題が起きた時は自分で解決できるように、ソースコードが解る機材で構成して専門の管理組織が必要である。
今は、どんなんだろう、パソコンはマイクロソフトでは無いと願っているが・・・。
厚労省の年金管理システム、ズボラな管理がどんな風に改善されたのか良く解らないまま。
現在ホットな、マイナンバーと保険。
トップが河野大臣。まあ、ITに関してはど素人。・・・先ずは、民間の専門家を招聘するべき。
雑談
小生、民生委員をしていた5年位前。
委員会で行政の職員から国の指示で、「ご老人に、マイナンバーが便利なので登録申請」をお願いしてを推進してするよう指示あり。
職員の説明は、「どんな風に便利になる」かだけであった。
小生は、
「年金機構のデータの流失事故の時、その責任を誰も負わずに、対策は万善を期します。」の政治答弁のみでした。
「マイナンバーシステムの運用や監視体制等をどのように強化したので安心してください。」との説明がありましたか?
と質問しましたが、説明がありませんでした。
小生は、「安全性が担保されない、マイナンバーシステムでは、登録をお願いできない。」と意見を述べました。
それから5年も経ってますが、案の定の運用状況。河野君は、「吠えているだけ」で全く機能してない。
さらに酷いのは、セキュリティ以前の真面に稼働さえしない現システムを対策をそっちのけで、何と岸田総理はごり押ししたいようだ。
こんなトップ(IT知識のど素人大臣・年取った官僚)が牛耳っている組織では、システムの構築・運用は無理。
何しろ、最先端技術研究所の所長さんが天下りの80代だった・・・無理無理。
未だに、年功序列の傾向が強い日本には、IT関連でトップを走るのは無理がある。
ITに関して深い造詣を持っている人材がトップに立つ必要はないと思っています。
何だったら、河野太郎氏であっても構わないと思います。
ただ、彼に「方向性を付与」できていれば、何ふり構わず突破するので、手綱を持つトップがいれば使えると思います。少なくとも、ワクチンの時はそうだったと認識しています。
問題が起きた時に自分でソースが書ける、というのは素晴らしいことですが、流石に政治家にそれを求めるのは難しいと思います。今のデジタル庁は民間の専門家を沢山雇っているらしいのですが、舵取りはなかなか苦労している感じですから。
話は変わって、民生委員をやられていましたか。
お疲れ様です。なかなか老人相手にIT関連の説明をするのは骨が折れますよね。そして、その説明のための指示を出しているのが老人というから、これまたうまく行かないのでしょう。
ですが、それでも前に進むしかないんですよね。
今晩は、申し訳ありません、少し感情的になりました。
しかし、ITに関しては、ソースコードを書けるような専門性は望みませんが、それ相応の知識が必要です。
マイナンバー制度の主たるものは、今の年配の官僚が経験したことのないディジタル機器です。
システムの主たるものはディジタル機器で、運用する人間は、入力や出力だけです。
言い方が悪いのですが、マイナンバー制度は、ソフトを入れられた機器が主で、人間は入出力をする従の存在です。
言い方と変えれば、仕事の主要な部分は、入出力端末・通信回線・データ処理装置・データサーバで行われてます。
現在見直していると言っているような、内容は本来であれば,負荷試験等で事前に除かれているべきです。
個人データの入力ミスが余りにも多く、年金をディジタル化した時の教訓が全く生かされていません。
その他の不具合も事前に把握できていて当然のものも多い。
担当官僚がITの専門性を持っていないのが悪いのですが、任命責任は当時の大臣にあります。
システム構成・運用・維持管理についての方向性を正しく理解して、能力ある官僚を任命するには、ITの相応の知識が必要です。
批判を承知で申し上げます。
個人としては、今のまま突っ走ると国民の信用を落として将来に禍根を残すので、小休止すべきです。
責任ある部署に能力ある人物を採用して、官僚はその支援にあたるのが将来の為に決断すべきです。
ワクチンの対応の大部分は、当時の政権の安倍総理と菅官房長官時代に先行対応(ワクチンの確保)が取られて、その後菅総理が推進されたと理解してます。
河野大臣がハッパを掛けたことは認めますが、既に路線は作られていたと思ってます。
今回白人諸国以外では、ワクチンを確保できたのは日本だけであり、ワクチンの先行確保の重要性を答申した官僚と採用した安倍総理・菅官房長官のリーダーシップが素晴らしかったと思ってます。
でも、今回のワクチンは、外国の技術に頼り切ってますし、現状では今後もワクチンを日本で先行して開発されることは難しいと悲しいですが思ってます。
いえいえ、貴重な意見をありがとうございます。
今回の記事、少し先走った感がありまして。
追記で書いていますが、どうも報道のあり方に問題がありそうな案件であります。
まあそれはそれとして、政府におけるIT活用のあり方は心許ないのは事実でありましょう。
知識のない人が引っかき回すという話は、どこにもでも転がっている話ですからね。頑張って欲しいところです。
一方で、「小休止すべき」とのご意見についてですが、「責任ある部署に能力ある人物を採用」という部分が実現できていないというのが前段のコメントの趣旨であると理解していますので、若干矛盾するご指摘ではありませんか?
完璧を求める組織体制というのはなかなか難しいので、端から見ていて心配な部分はあるんですが、僕の感覚だとやはり「それでも前に進むしか」という風に思います。
結局の所、大局のビジョンが描ける政治家がいて、ソコにあわせて間違いながらも修正していく体制というのが望ましいのかなと。ちょっと主題と離れた話になって申し訳ありませんが。で、岸田政権には大局観がない。だからこそ河野太郎氏暴走という悪循環があるように思えます。しかし、そうだとすると「小休止」はいつまで続くのか?ということになり、ゆまはるさんとの意見の違いはその辺りが根底にある気がします。
……次のリーダーの出現を心底願っております。
情報源に関する注意喚起
木霊様皆様こんばんは、ここへの投稿は自粛中ですが、以前情報源として提示した責任上、お許しを
インターネット掲示板「スラド(srad.jp)」は、本年2023.7.24 OSDNと共に支那OSCHINA翼下となっています。今後、偽情報にご注意。
Srad掲示板は従来、こうした話題について、現役サーバー管理者やIPAの中の人とかセキュリティー研究者の方による非常に高度な解説を見ることが出来ました。
が既に支那関係話題のフィルタリング事例が確認されています(https://srad.jp/~nemui4/journal/663405/)今回の話題についてもスレッドが立っていますが、おそらくフィルタリングのため見事なほどの単なるヤジウマ議論になっています。
現状ヤジウマになってる程度ですが、今後虚偽誘導情報が混じる可能性もありご注意を。
雑感
OSDNとSradはオープンソース・ホスティング・プラットフォームおよび付随の雑談版として非常に潔癖&githubより相当古い(米国sorceforgeの不祥事を嫌って日本独自組織としてブランチした)信頼性の高い「日本で ほぼ唯一の?」情報元・ホスティングサービスでした。
しかしこれが中国資本に浸食されて
しかも何の手も打たない日本政府。と言う面も今回の米国からの日本政府への苦情の一環ではないかと愚考いたします。
こんばんは。
どういった事情で自粛されているかは存じ上げませんが、ちょっと残念ですね。事情が許せばまたお願いします。
さておき、Srad掲示板ですか。この手の掲示板は多岐にわたるようで、僕は利用したことがありませんでした。
中を覗いてみましたが、なるほど面白い。どのような掲示板でもありがちな現象ではありますが、不穏分子が紛れて扇動すると、見事に議論が誘導されます。それを悪用される可能性は確かにありそうです。僕には重要性という意味でOSDNとSradの利用可能は本当の意味で理解できていませんが、信頼性を毀損されたという意味ではガッカリですね。
しかし類似案件は様々な分野であるでしょう。日本政府も絞り込めずに手をこまねいているか、あるいは全く気にもしていないか。アメリカがどの程度戦略的に動けているのかも分かりかねますが、最近の状況からして、アメリカを信頼するというのもまた危ない話のような気がしています。日本がどの程度の分野でどんな強みを持っていて、どこを防衛すべきなのか、そうした戦略的な視野を持った政治家は果たしてどれほどいるんでしょうかね。僕が知る分野でも、随分と食い込まれていますよ。職務上の責務があるために、書くことはできませんが。