あるいは、ラックの伊東寛ナショナルセキュリティ研究所所長によれば、システムのアップデートの中にマルウェアを仕込むこともできなくはないだろう。最初に出荷された時点の制御ソフトウェアに何も異常がないことが確認できたとしても、後からベンダーがアップデート・プログラムに不正なコードを紛れ込ませれば、異常を引き起こすこともできるだろう。実際、アップデートがさらに問題を引き起こしてしまうことはこれまでもあった。
一般的には、パソコンのOSやアプリケーション・ソフトウェアのアップデートはセキュリティ上、重要とされている。次々と発見される脆弱性にパッチを当てることができるからである。しかし、そのアップデートそのものが危険であれば、我々はなかなか認知できない。
まして、人間が介在すれば、エアギャップ(システムをインターネットから隔離しておくこと)は簡単に飛び越えられる。スタックスネットで行われたといわれるように、USBメモリなどに不正プログラムを入れて、現場で制御システム用のコンピュータに挿入するだけで良い。
■インテリジェンス機関とサイバーセキュリティ
こうしてみると、ドイツのインテリジェンス機関であるBSIが報告書を出したことからも分かる通り、サイバーセキュリティはインテリジェンスの世界、スパイの世界になっていることが分かる。単なる技術的な問題ではなく、外交や国際政治と交錯する世界であり、現実世界の国際政治の問題がサイバースペースにも持ち込まれている。サイバースペースはもはや独立した観念的な世界ではない。現実世界の問題がサイバースペースに反映され、サイバースペースの不具合が物理的な被害をもたらす。
今年8月に米国ラスベガスで開かれたブラックハットという会議で、スタンフォード大学の研究者であるジェニファー・グラニックは、インターネットはもはやイノベーションを生み出す地ではなく、インターネットの自由という夢は死につつあると宣言した。私自身はそこまでは考えないが、確かに20年前と様変わりしてしまっていることは否定できない。世界を変えるイノベーションを今後も我々が必要とするなら、サイバーセキュリティの問題をスパイだけに任せておくわけにはいかないだろう。
