「殺人サイバー攻撃」という悪夢

　残念ながら、2020年9月、サイバー攻撃によってはじめて一人が死亡した。「ニューヨーク・タイムズ電子版」は、ドイツのデュッセルドルフ大学病院の30台のサーバーがサイバー攻撃を受け、システムが破壊され、病院は救急患者を追い返さざるを得なくなった結果、生命の危機に瀕した女性が20マイル離れたヴッパータールの病院に搬送され、治療の遅れから死亡したと伝えた。

　これは、いわゆる「ランサムウェア」（PCをロックしたり、ファイルを暗号化したりした後で、元に戻すことと引き換えに「身代金」を要求する不正プログラム）による攻撃によってもたらされた。このランサムウェアについて、デュッセルドルフの警察は、「身代金要求書」を介して攻撃者に連絡し、大学ではなく病院が被害を受け、患者の健康が危険にさらされていると説明、攻撃者は攻撃を停止し、暗号化キーを渡してデータのロックを解除した。ただ、ドイツの検察官は現在、サイバー犯罪者に対する過失致死罪の可能性を調査しているという。

　すでに、このサイトでは、拙稿「「サイバー戦争」を考える：「抑止力」に傾斜する米国やイスラエル」においてサイバー戦争について若干論じたが、ここでは、サイバー攻撃による殺人という事態について掘り下げて考察してみたい。

Shutterstock.com

甚大な被害をもたらした過去の事例

　サイバー攻撃による過去の被害をみてみると、意図的に特定の設備・施設を破壊するといった攻撃がなされたことはあった。ただし、それによって死者が出たという記録はない。設備などの被害によって、間接的に傷つけられた者はいたかもしれないが、サイバー攻撃自体は直接人命をねらったものではなかった。今回の場合も、攻撃者が殺人を目的にしていたわけではないが、いわば偶発的に死者が出てしまったことになる。

　もっとも有名なサイバー攻撃の事例は、「スタックスネット」と呼ばれるコンピューターワーム（悪意あるソフトウェア、すなわちマルウェアの一種）である。拙著『サイバー空間における覇権争奪』のなかでは、つぎのような説明をしておいた。

　「「スタックスネット」（Stuxnet）という、2009年から2010年に発見されたワームで、イランでウラン濃縮を行っていたナタンズ工場の遠心分離機をターゲットにした攻撃が行われた。若干の専門家はこれを武力攻撃にあたるという見解をとっている。そして、この攻撃を行ったのは米国およびイスラエルであるとみられている。もちろん、イランは報復をした。その一つが2012年のサウジアラビアの国営石油会社 Saudi Aramco に対するコン ピューター攻撃である。約3万台が被害を受けたとされているが、詳細は不明だ。」

　さらに、The Economistの特集号（The World in 2021）の「殺人サイバー攻撃は時間の問題」という記事のなかでは、つぎのように記述されている。

　「2016年には、ロシアのマルウェアが部分的にStuxnetに触発され、冬の真っただ中、ウクライナの電力網を混乱させてキエフの5分の1に電力を切断した。」

　加えて、「2020年4月には、イスラエルの上下水道プラントがイランのサイバー攻撃の疑いがある攻撃を受け、ポンプを騙して住宅用水道に過剰な塩素を添加させることを意図したとみられる。ウクライナでは、2018年に塩素プラントで同様の侵入が報告されている」と記している。

　ほかにも、2017年に北朝鮮のハッカーがランサムウェアの一種、WannaCryで英国の「国民保健サービス」を襲い、数十の病院と600人近い医師の手術室に影響をおよぼしたという。ただ、このときには、影響は限定的で、入院患者は減ったが、死亡率の上昇はみられなかった。

ロシアのハッカー集団「サンドワーム」

　ロシアはサイバー攻撃を頻繁に仕掛けてきた。前述したウクライナへのサイバー攻撃は「サンドワーム」と呼ばれるハッカー集団が行ったもので、2018年に開催された韓国平昌冬季五輪に対するサイバー攻撃でも知られている。

　米司法省は2020年10月、サンドワームを構成するロシア人6人を特定し、コンピューター詐欺などで彼らを起訴した。彼らはロシアのロシア国防省情報総局（GRU、現在、ロシアではGUと呼ばれている）の74455部隊に勤務していると司法省はみている。サンドワームは、2017年6月、ウクライナを中心に世界的に猛威をふるったNetPetyaと呼ばれるランサムウェアを世界中に拡散させて100億ドルもの被害を