アメリカ政府の諜報能力の凄まじさ

「携帯や自宅のIT機器類は誰かがアクセス可能なものだと想定しています。ですから、そういう機器類の近くで重要な会話はしないようにしています。」

この言葉の意味するところを冷静に考えてみたら背筋が寒くなるのが普通であろう。

発言の主はホワイトハウスのサイバー・セキュリティー・コーディネーター、ロブ・ジョイス氏。現職に就く前には25年間アメリカの情報組織・NSAに勤務した経験を持つ。

ボストンで10月に開催されたサイバーセキュリティー・サミットのパネル・ディスカッションをウェブで観ていて大いに気になった発言である。

今ではご存知の方も多いと思うが、NSAはCIAやDIAと並ぶアメリカの巨大情報組織で、正式名称はNational Security Agency・アメリカ国家安全保障局である。

主な任務はSIGINT・シギントと呼ばれる通信情報の収集・集積・分析で、暗号の解読も行う。前身は第二次世界大戦でドイツ軍や日本軍の暗号解読に当たっていた組織でもある。

最近では、NSAの情報収集活動の一端をあのスノーデン容疑者が暴露したことでも知られているが、かつては、その存在自体が秘密であった。

あなたのスマホがあなたに対する盗聴器になってしまう

この記事の画像(3枚)

冒頭の発言は、このNSAで25年も勤務し、平たく言えばアメリカのサイバー・スパイ組織の元締めの一人であったはずの御仁のものである。その意味するところを考えるとアメリカ政府の諜報能力の凄まじさが垣間見える。

ジョイス氏の発言要旨を長めに再掲する。


司会者:
ネットに繋がった記憶システムでハッカー達から絶対に安全なものは存在しますか?

ジョイス氏:
ネットに繋がったインフォメーションは非常に脆弱です。ほとんどのIT企業は良いテクノロジーを持っているので、かなり安全です。しかし、最先端のハッカー達や敵性組織は、それを破ろうと常に全力をつぎ込んでいるのです。

司会者:
あなた自身は誰かがあなたのメールを覗き込んでいると想定していないのですか?

ジョイス氏:
想定しています。我々は特別に保護された機密のネットワークを持っています。機密事項に関わる仕事は機密のネットワークを使ってやります。私のポケットに入っている電話や私用のメール、自宅の機器類は誰かがアクセス可能なものだと想定しています。ですから、そういう機器類の近くで(機密事項に関する)会話はしないようにしています。


ジョイス氏は、携帯電話や個人所有のIT機器では機密に関わる話はしない、取り扱わないと言っているだけではない。そういう機器類の近くでは機密に関わる会話もしないと言っている。

その理由は、一般のIT機器・携帯類は乗っ取り可能で、それらの機器をこっそりと遠隔操作で利用し、所有者や周辺にいる人々の会話の盗聴をすることさえ可能だから、と考えるのが自然である。別の言い方をすれば、あなたのスマホがあなたに対する盗聴器になってしまうこともあり得るということである。

妄想に取り付かれた変わり者の発言ではない。ジョイス氏は、自分達にこういう事ができるからこそ、普段からやっているからこそ、こう戒めているはずである。

湾岸危機の最中の背筋が凍る話

古くなるが、1991年の湾岸危機の最中のバグダッドでの筆者の経験を書く。

当時、西側メディアが拠点にさせられていたアル・ラシード・ホテルで情報交換の集まりに出席したことがある。アメリカやヨーロッパのメディアの関係者二十数人が出たり入ったりしていたが、その半分位は、英語を操るアラブ出身者であった。そのうちの一人が、たいして広くもない部屋で、大きなラジカセを使い大音量のアラブ音楽を流し続けていたので、ボリュームを下げるようお願いした。

彼は首を横に振って、さらに音量を上げ、私に向かって囁いた。「誰が聞き耳を立てているか考えてみろ。」

旧ソビエト圏の国や現在のロシア、中国、北朝鮮、或はイラン等では、西側のメディアは監視の対象である。当時のイラクもそうであったし、ワシントンでも通話中にたまに不思議な背景ノイズが聞こえることがあった。

この仕事をしていると盗聴された程度で驚いていられない。が、無視も出来ない。かなり気を遣ったものである。それが今やインターネットとIT機器の時代である。どこで何を聞かれ、見られているか、全く油断できない。

NSAと緊密な関係を持つイギリスのカウンターパート・GCHQや敵方のロシアや中国の組織も、NSA程ではないのかも知れないが、かなりの能力を持っていると容易に想像できる。サイバー犯罪集団のメンバーやローン・ハッカーにだって相当な能力を持つ者は珍しくないはずである。

だが、しかし、あなたが国家的な情報組織の興味を引くほどのテロリストや重要人物でない限り、或は、格別後ろめたいことの無いまっとうな人間なら、必要以上に神経質にならずとも大丈夫である。

郊外からロンドン市内のオフィスまで防犯カメラに捉えられる回数は?

その理由を説明する。去年の話になるが、当時、駐在していたロンドンで某専門家から聞かされた話である。

「普通の勤め人が郊外の自宅からロンドン市内のオフィスに出勤するまでに通常何回防犯カメラに捉えられるか想像つくか?」

「10数回か?」

「違う。平均40回だ。」

「え、そんなに多いのでは、映像を集めて集積して分析するのも不可能ではないのか?」

「その通り。何百万人を毎日マークするなんて出来るわけが無い。だから、普通の人間は気にする必要が無い。だが、例えば、テロ組織との関係がすでに疑われている人物とその接触相手の行動を追跡するのには非常に役に立つ。」

ご安心願いたい。つまり、あなたがブラック・リストやターゲット・リストに載っていない限り、少なくとも西側の国家的組織は気に留めないのである。(独裁国家では事情が異なる。)

しかし、国家的規模の組織が欲しがるような情報や技術を持っているなら話は別である。例えば、国家機密に接する人、重要な企業秘密を知るエンジニア、様々なインフラの死命を制するような仕事に携わる人、そうした組織のIT担当者、、、などなど。

前述したサイバーセキュリティー・サミットにはアメリカの電力会社のIT担当者も出席していて、様々なサイバー攻撃を想定して、定期的に演習をしていると力説していた。

日本の電力会社も東京オリンピックを前に準備・対策に余念が無いはずである。
中国やロシアが欲しがるような技術を保持している会社も用心が絶対必要である。

「同じパスワードを別アカウントで使用しない。二段階認証を活用すべし。」

イギリスのサイバーセキュリティー対策の専門家は、IT予算の10%程度はセキュリティー対策に振り向けるべきだと強調していた。それぐらい力を入れていない会社のシステムは彼がその気になったら侵入できる、ということの裏返しのコメントでもある。

前話に登場願った大物、ロブ・ジョイス氏のアドヴァイスを最後に紹介する。

IT技術のことは筆者には良く理解できないのだが、個人レベルでも参考になるはずである。

「自分達のシステムが絶対安全であると思い込むのは間違い。常に警戒すべきだ。」「IDを保護するなら、企業レベルではBasicsを怠らないこと。個人レベルで大事なことは同じパスワードを違うアカウントで使用しないことだ。二段階認証(two factor authentication)は強力なので利用すべきだ。」

ご用心あれ。