米中サイバー戦争 犠牲になるのは誰？

米国に対するサイバー攻撃が続いている。米政府は中国が関与していると主張し、対策をとると発言した。犠牲になるのは誰なのだろうか。

[David Jones，Cybersecurity Dive]

　2024年2月5日以降、米政府のハリー・コーカー氏（国家サイバー長官）は、中華人民共和国とつながりのあるハッカーが、悪質な攻撃を仕掛けるために米国内へアクセスしようと積極的に取り組んでいるという警告を繰り返した。

サイバー攻撃で被害を受けるのは誰だ

　2023年12月に就任して以来（注1）、コーカー氏がワシントンで重要な演説をするのは初めてのことだ。同氏は何を語ったのだろうか。

　「国家に関連するサイバー攻撃者は軍事活動から目をそらさせるために、米国内の（電力やガス、鉄道、空港などの）重要インフラがサービスを提供する能力を混乱させたり、あるいは破壊したりすることを目的としている」（コーカー氏）

　また、コーカー氏は、2024年2月7日に、情報技術産業協議会のサミットで、次のようにも述べている。

　「軍事紛争の初期段階において、彼らは米軍の能力を混乱させ、デジタル化する世界で成功するためのシステムに影響を与えようとしている。彼らのもくろみは、われわれが何年も前から懸念していた点をまさに浮き彫りにした。サイバースペースでは、民間企業と米国国民自身が最前線で標的になるということだ」

　コーカー氏は、2024年1月29日の週に中国共産党に関する連邦下院選択委員会で脅威について証言したサイバーセキュリティおよび法執行関係者の4人のうちの1人だった（注2）。

　2024年2月5日の週内に、連邦捜査局（FBI）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は（注3）、国家と連携する攻撃者の「Volt Typhoon」やその他の中国系の攻撃者が、破壊的な攻撃の準備のために重要インフラ業界に侵入していると発表した。

　コーカー氏は、米国の重要インフラの大半を民間企業が所有していると強調した。これらのシステムを悪質な活動から確実に守るために、政府は民間企業と協力する必要がある。

　「規範に反する行為に対処するために、私たちは今現在から将来にわたって多くの対策をとることができる」（コーカー氏）

　コーカー氏は、サミットに出席した業界関係者に対し、「この脅威に対抗するために行政は民間企業と協力する必要がある」と述べた。

　国家サイバー長官事務局は、バイデン政権の国家サイバーセキュリティ戦略の一部として、幾つかの重要な業務に取り組んでいる。

　同事務局の主な業務は3つある。まず学術的な専門家や法律専門家と協議し、安全ではない製品を市場に出すことをメーカーが急いだ場合、メーカーに責任を負わせるためのさまざまな取り組みを模索している（注4）。当局は今後、民間企業に働きかけ、さらなるフィードバックを求める予定だ。

　次に企業がコンプライアンスの負担に圧倒されないよう、多数のサイバー規則や規制を調和させるべく、さまざまなパートナーに働きかけている

　最後に政権はサイバーセキュリティに従事する労働力をより多様で強力なものにするために取り組んでいる。業界にはまだ約50万の欠員があり、有能な従業員の確保が切実な問題となっている

脆弱性を軽減する取り組みも

　この他の取り組みについてもコーカー氏は発言した。メモリ安全性の高い言語の使用を推進し、ソフトウェアの測定可能性を向上させる取り組みについて、近日中に発表されるホワイトペーパーを取り上げた。

　重大な脆弱（ぜいじゃく）性に関連する多くの問題は、安全性の低いコーディングの使用に起因していることから、メモリ安全性は主要な焦点となっている（注5）。

　2023年の後半に悪用された脆弱性「CitrixBleed」（注6）は、安全性の低いプログラミング言語の使用に関連していた。

出典：National cyber director urges private sector collaboration to counter nation-state cyber threat（Cybersecurity Dive）
注1：Senate confirms Harry Coker Jr. as national cyber director（Cybersecurity Dive）
注2：China-linked hackers primed to attack US critical infrastructure, FBI director says（Cybersecurity Dive）
注3：CISA, FBI confirm critical infrastructure intrusions by China-linked hackers（Cybersecurity Dive）
注4：Who is liable for flawed software? New guidance upends the security standard（Cybersecurity Dive）
注5：CISA urges use of memory safe code in software development（Cybersecurity Dive）
注6：CitrixBleed isn’t going away: Security experts struggle to control critical vulnerability（Cybersecurity Dive）