「陸・海・空、そして宇宙。それに続く第5の戦場として“サイバー”が機能し始めています」

そう語るのは多摩大学大学院 特任教授であり、英国系コンサルティングファームでパートナーを務める西尾素己さん。近年ではロシア・ウクライナ有事におけるサイバー戦の分析を技術官として担当するなどの活躍を見せるホワイトハッカーでもある。

サイバーセキュリティの最前線で活動してきた西尾さんは、日本のセキュリティの現状をどう見ているのか。そして世界各国はどのような戦略でサイバーセキュリティというテーマに取り組んでいるのか。

2025年6月14日に開催されたITエンジニア向けイベント『ProTechOne 2025』で西尾さんが登壇したセッション「能動的サイバー防御を斬る」の一部を紹介しよう。

多摩大学大学院 特任教授
西尾素己さん

幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。 2社のITベンチャー企業で新規事業立ち上げを行った後、 国内セキュリティベンダーでAndroidアプリから官公庁の基幹システムまで幅広い領域への脅威分析と、未知の攻撃手法やそれらに対応する防衛手法の双方についての基礎技術研究に従事。CODE BLUE 2015ではiOSに存在する未知の脆弱性と世界初となる外部ガジェットによるiOSマルウェアの検知手法について学生枠を除く最年少として登壇（その後特許取得）。大手検索エンジン企業に入社し、日々行われるサービスへの莫大なサイバー攻撃対策や社内ホワイトハット育成、キャピタルファンドへの技術協力などに従事した後2016年11月よりコンサルティングファームに参画。同時に多摩大学ルール形成戦略研究所にサイバーセキュリティ領域における国際標準化研究担当の首席研究員として着任。17年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任

日本の「能動的サイバー防御」は周回遅れ？

皆さんは「能動的サイバー防御」とは何かご存じでしょうか。

「攻撃されてから動く」のではなく「攻撃を察知して先に叩く」。そんな予防を能動的サイバー防御と呼びます。そしてそれを合法的に行うための法律がACD（アクティブサイバーディフェンス）法案です。

攻撃者を先に潰すという行為はどのように行うのかーー民間企業や個人の端末に何らかの脆弱性があり、攻撃者に乗っ取られてボット化したPCやサーバー、カメラといったさまざま機器が存在すると仮定します。攻撃者はそれらを踏み台にして攻撃してくるので、ボットネットを全てテイクダウン（無効化）すればいい。有識者会議での議論をもとに公表されたスライドではこのような主張がされているのです。

また、具体的なテイクダウンの方法については、「脆弱性によって侵入されているのだから、われわれもその脆弱性を使ってそのサーバーに入り、攻撃アプリケーションを全てアンインストールする」が王道だと言われています。

ただ、サイバーセキュリティ領域の人間からみると、「ボットが踏み台になって攻撃してくる」ことが王道だとされたのは20年前の話。このことからも、日本のサイバーセキュリティに対する感覚は遅れをとっている、と言わざるを得ません。

「全てのボットネットをテイクダウンする」戦略が無謀な理由

ここで、捜査機関が攻撃者を特定するまでに、一体どのくらいの壁が存在するのか考えてみましょう。まず最初の壁は、CDN*（コンテンツ・デリバリー・ネットワーク）です。CDNを悪用して、攻撃用のトラフィックを正規のドメインに偽装しながら中継することができます。

次の壁は、踏み台サーバーのクラスタです。政府のスライドで指摘されている通り、これは存在するでしょう。しかし本当に重要なのはその次。「攻撃用のインフラクラスタ」の存在です。

皆さんがアプリケーションを作るときも、一から環境を構築するのではなくAWSやAzureなどのクラウドサービスを使いますよね。攻撃者も全く同じ発想で攻撃者用サービスを使っています。彼らも「車輪の再発明」はしません。

こうした仕組みの中で、こちら側が攻撃用インフラクラスタの前後にある踏み台サーバーのクラスタをテイクダウンできたとします。確かに、匿名性の一部を剥がすことはできるでしょう。しかし、それだけでは攻撃自体を止めることはできません。本当に潰すべきは“前線”ではなく、“本丸”である攻撃用のインフラなのです。

ここで、ボットをテイクダウンするということがどれほど途方もない作業かを考えてみましょう。

例えば、最も有名なボットネットに「911 S5」というものがあります。これは2014年から2022年まで、長年にわたってさまざまなサイバー攻撃に悪用され続けてきたもので、実に1900万台ものIPアドレスを抱える巨大な存在でした。

そして、世界中のボットネット全体で見れば、ざっと5000万台は存在すると見積もられています。最近では「日本の警察がインターポールと協力して、2万台の踏み台サーバーをテイクダウンした」と報じられました。しかし、全体の数を考えると、5000万台規模の中のわずか2万台に過ぎません。この数字を見れば、ボットを中心においた考え方が如何に労力を伴うものかお分かりいただけるでしょう。

サイバー攻撃も“購入”する時代に

今や、自らゼロデイ攻撃の手法を開発する攻撃者は少ないと言えます。現在は、「エクスプロイトパッケージ」と呼ばれる攻撃のパッケージを購入して使うのが主流です。

私が研究者をしていた時代、RCE（リモートコード実行）のような深刻な脆弱性であれば、1件3億円くらいの価格が付けられていたこともありました。ところが今では、その価格は1億円以下にまで下がっています。

なぜこうなったかというと、現在はAIを使うことで脆弱性探索が非常に簡単にできるようになったからです。

従来、ソフトウェアのバイナリは「難読化」されており、人間の目で解析するには膨大な時間と労力が必要でした。研究者は、血眼になってそれを解読していましたが、AIからすれば難読化されていようがいまいが関係ありません。一瞬で構造を読み解き、脆弱性を検出できるのです。

結果として脆弱性の発見が容易になったため、市場は明らかな供給過多となっています。

「うちのような小さな会社にはゼロデイ攻撃など来ないだろう」「ゼロデイ対策など不要だ」と考えている方もいるかもしれませんが、全く贅沢ではありません。ゼロデイに掛かるコストが下がったことで、無差別にばら撒かれるゼロデイ攻撃も出ているくらいです。既知の攻撃への対応だけでは不十分と言えるでしょう。

あわせて言えば、技術力がない人全くの素人の攻撃チームでも、資金さえあれば簡単にゼロデイ攻撃が仕掛けられるようになりました。だからこそ、政府が本当に警戒すべきなのは、攻撃者ではなく「その攻撃インフラを提供している業者」です。

誰がそのツールを作り、売っているのかを突き止めてテイクダウンしていくことが、今後のセキュリティ対策の鍵となります。

ギャングとの密約、司法取引…各国のサイバーセキュリティ最前線

現在、世界各国は「いかに合法的にサイバー攻撃能力を保有するか」に躍起になっています。まさか国の予算を使ってサイバー兵士を育成する、などということはできませんからね。最後に、各国の例をご紹介しましょう。

まず、ロシアの例です。ロシア・ウクライナ有事の際のサイバー攻撃は、軍事侵攻の1年前に行われていました。

ロシアは、VPN機器のIDとパスワードを50万件以上も収集。その中には、ウクライナ軍の地上基地局のIPレンジ帯も含まれていた。つまり、プーチンが「攻撃せよ」と言えば、戦車が国境を越えるよりも先に相手方の通信を麻痺させることが可能な状態にあったのです。

これがFSB（ロシア連邦保安庁）のような組織による活動かというと、それは建前です。ロシアはランサムウェアギャングとの密約により、サイバー攻撃能力を保有したのです。

「ロシア国内では活動するな。その代わり、国外では好きにやれ。有事の際には“我が国のサイバー部隊”として働け」

まるでSFのような話ですね。

アメリカの場合は、司法取引を通じてサイバー戦力を強化しています。超一流のサイバー犯罪者を逮捕した際、「このままだと懲役20年だ」と言いつつ、「代わりにNSAやCIAで働かないか？」と声をかける。これに応じた者は、国家のためにツールを開発し、かつて使っていた犯罪技術を軍や捜査に転用されることになります。実際、匿名で政府や企業の機密情報を公開する『WikiLeaks』では、CIAがこのようなサイクルで開発したツールの存在が暴露されています（Vault 7）。

中国は2013年、習近平が国家主席に就任してすぐ、大学にコンピュータサイエンス（実質サイバー攻撃）のクラスを設置しました。APT40という、精鋭サイバー部隊のメンバーが直接教育に関与していたとされています。2020年時点で、「2027年までに100万人のサイバー人材を育成する」とも述べられており、国家ぐるみで人材供給に取り組んでいるのです。

「能動的サイバー防御」というと、多くの人にとってはなじみのない言葉に聞こえるかもしれません。しかし、そのための予算にはわれわれの税金が使われているのです。

こうした取り組みが正しく行われているかどうかを見極めるためにも、サイバーセキュリティに関心を持ち、知ろうとする姿勢を持っていただければと思います。

写真提供：株式会社PE-BANK