[CODE BLUE 2019]基調講演：核兵器とハッキング[レポート] #codeblue_jp

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

基調講演：核兵器とハッキング Presented by アンドリュー・ファター

核兵器はサイバー攻撃されても安全なのか？テロリストはハッキングによって核兵器を発射できるのか？私たちは、世界的な核の秩序に対して最先端の技術に追いついているか？アンドリュー・ファッター氏は、核兵器に対する漠然とした不安と、あまり理解されていないサイバー問題に関する包括的な評価を提供し、「サイバー」とラベルされた多くのダイナミクスが、世界の兵器管理の考え方にどれくらい影響を与えているかについて解説する。

本講演では、サイバー現象を取り巻く誇大広告をはねのけ、新たに発生しつつあるサイバーと核とのつながりを真に理解し、積極的に対処するための枠組みを紹介する。核兵器の企業間同士のサイバーチャレンジを追跡、そして異なるサイバー脅威の重要な違いを説明し、サイバー上での能力が、どのように戦略的思考・核バランス・核抑止・危機管理に影響を与えるかについて明らかにする。

彼は、大量破壊兵器を大量破壊兵器へと混入する大きな危険性を鑑み、核兵器に関しては、サイバー領域での抑制が必要だと主張し、「爆弾のハッキング」という危険な規範の確立には反対を貫いている。

レポート

• Hacking The Bomb
  • 18ヶ月前に発行された登壇者の著書
  • 考え方を投影したもの
• サイバーにおいてどうかという話
• 今回は11個のことについて説明
• The Cyber-Nuclear Nexus
  • サイバー核チャレンジ
  • ハッカーがシステムに侵入して核を使うことがあるか
  • 偽の情報に対して意思決定者がどう考えるか
  • 攻撃者がどう考えるか
• 映画の中で描かれたハッカーやサイバーが現実のものになっているのではないか

1. Cyber is contested; This Causes Problems

• サイバーの定義の違いはある
• ネットワークもあれば情報戦争もある
• サイバーの考え方は年代でも変わる
• どのようなシナリオ、思考をとったら良いか
• ドナルド・トランプの言葉を引用する
  • サイバーに関して一番優れているべきか？
  • サイバーは難しい
• どのようにやっていけばいいか確立されていない
• フレームワークから入るのではなく現象から逆向きにたどるのが良いだろう

2. Cyber and Nuclear are Different

• 随分違うもの
• 核で学んだことをサイバーに適用するのはいいのか？
• しかし比較するのは必要
  • 被害の額に注目する
  • 核は被害が甚大
  • サイバー攻撃は一時的なものであることが多い
• 透明性は重要
  • 核は数が把握されている
  • サイバーはどのようなものがあるか把握できない

3. Cyber Threats Are Diverse

• サイバーの脅威はひとまとめに考えられがち
  • 実際にはハッキングやDDoSやスパイなど
  • いろいろな側面がある
• 「サイバー戦争」という言葉を使うと誤解が生じる場合がある
• 大事なことは意図
  • 核を起動しようとしたりする
  • 防衛レーダーを止めようとしたりする動きなど
• 国家は直接システムを攻撃することが多い(リソースがあるから)
• サイバー(非国家のアクター)は他の手法を使う事が多い
  • そのほうが簡単だから

4. Air Gapping is Not a Panacea

• ネットワークを隔離すること(Air Gap)があれば安全という誤解がある
• 特に核の分野である
• Stuxnetが著名な例
• 潜水艦のシステムでも隔離しているから安全だといっている人がいる
  • でも実際は誰かがコードを書いている
  • もしかしたらアメリカで書かれているかも
  • 無線でつながったらシステムを侵害できるかも
  • 常につながっていなくても影響を与えることができる
• 継続的な抑止が必要
• アジアでも特に多いが市販のソフトが利用される機会が増えてきた
  • 核システムでも他のところで作られたソフトを使っている国が2つはある

5. Some Cyber Challenges are Inherent

• 使っているソフトウェアは脆弱性を持っている
• デジタル化されているのでハッカーが関わっていなくても間違ったことが起きる可能性もある
• 間違ってそれが発射されないようにしないといけない
• しかし安全にしないといけない
  • コンピュータの中にトレーニングテープが誤ったロードで誤報された問題もあった
• 今だと何が起きているかを確かめるのはもっと大変
• 色んな人がシステムの開発に関わっているので複雑化している
• シンプルにするという考え方は必要

6. Humans Are a Key Part of the Challenges

• 問題は結局人間に起因する
• コマンドセンターで働いている人の操作でマルウェアに感染するなど
• 人間を最初の突破口にする事が多い
• ソーシャルエンジニアリングは非常に興味深い
• 核兵器を起動できる人たちのコミュニティでは情報が共有されることも

7. Espionage and IP theft is the biggest risk

• スパイについて考える
• サイバーになるとリスクは変わっている
• 手作業での複製よりも簡単に複製
• USBメモリなど問題になった
• 繰り返しだがAir Gappingが有効とは限らない

8. Deterrence Can Play a Role, But...

• 核に対する抑止が40-50年となると有効にならないことがある
• cyber hygieneや法の執行などで抑止はできる
• 強靭なミリタリーシステムというレポート
  • 核のレポートは信頼できるのかはわからない
  • フォレンジックの能力に応じて変わる
• 抑止は変わってくる
  • 手法よりも影響を意識して対応する必要もある
  • 攻撃の前段階を見極めて対応することも必要
• 政策の文書も狙われるかも

9. Cyber Threats are Most Dangerous in a Crisis

• 兵士は管理できるのではないか
  • 危機の間、時間も長くなれば管理が難しくなる
  • プレッシャーがかかってくる
  • 攻撃開始のタイミングは大変
  • 先に核を撃たないと負けると考えてしまうかもしれない
• 2010年に2つのロケットが撃たれたとツイートされた例がある
  • これが戦争中の場合どう判断されたか
  • アカウントをハッキングしてそのような投稿をするという攻撃もあるかもしれない

10. Viewing Cyber as "Separate" is Unhelpful

• 実際の戦争と同じように考えるべきではない
  • ギークvsギークで直接戦うわけではない
• 逆もしかり、境界は曖昧と考えるべき
• Cyberは新しい道具で組み合わせて使われる
• 核と比較すると、新しい高度な非核兵器と考えるべき
• 確実に戦闘の中での役割はでてくる
  • いま、Cyberは戦略的な核のようなレベルまで高まってきた
  • 宇宙の武器やAIまででてきている
  • また新しい能力が出てくるかも
  • Cyberは幅広いものがある

11. An Emerging Norm of "Hacking the Bomb"?

• 実際の核施設がCyberのターゲットになる
• Stuxnetもある
• アメリカが本当にやっているかわからないが、そういう事をやっている国があってもおかしくない
• Cyberでの攻撃が300ミリ秒で起きるとCartwrightは言った
• 目で見る通常兵器とは違う
• Cyberを先制攻撃として使われる

Conclusion and Recommendations

• 殆どの人は理解していないのでCyberという言葉の意味を理解する必要がある
• 人間が関わっているという考え方から始める
• Cyberと核の関係者は対話を始める必要がある
• いろんな視点の人が関わって対話する
• Cyberが分かる人を各所に配備する
• 外部のレッドチームも必要になる
• 非国家アクターからの脅威に気をつける
• 核保有国も考え方を変えなければならない
• 国際的な枠組みが必要
• 核についての管理を考えたように、新しいコンピュータ学者などが集まって法規約を考える必要がある
• さらに複雑なCyberが出てくる中でできるだけシンプルに核のシステムを隔離してセキュリティの高いものにする必要がある

感想

核とサイバーということで普段聞くことのない面白いテーマでした。単純なサイバーセキュリティの観点だけではなくて、国や人命が関わっているのでより深い対策が必要だと感じました。

アンドリュー氏は国際的な取り組みが必要と仰っていましたが、今後の動向にも注目したいですね。