(訳者前書き)以下は、ブルース・シュナイアーが2014年に書いたエッセイの翻訳です。(原著は2014年執筆)今年(2025年)政府は、能動的サイバー防御をはじめとするサイバー安全保障のために大幅な法制度の改悪を目指している。この法改正のなかに、広範囲にわたる情報収集活動が含まれる。こうした活動を政府はあたかも攻撃性のない活動であるかのように装い、いわゆる能動的サイバー防御に含まれる「アクセス・無害化」と一線を画すかのように装っている。しかし、はたしてそうなのか。このことを考える上でシュナイアーの指摘は傾聴に値すると思う。(小倉利丸)

---

ブルース・シュナイアー

アトランティック誌

2014年3月6日

中国がスパイ目的で米国のコンピューターネットワークに侵入しているという報告が最初に寄せられた際、私たちはかなりきつい表現でそれを表現した。私たちは中国の行為をサイバー攻撃と呼んだ。時にはサイバー戦争という言葉さえ引き合いに出し、サイバー攻撃は戦争行為であると宣言した。

エドワード・スノーデンが、NSAも中国とまったく同じことを世界のコンピュータネットワークに対して行っていることを暴露した際、私たちは米国の行動を表現するのに、スパイ行為（espionage）、情報収集（information gathering）、スパイ行為（spying）といった、より穏健な言葉を使用した。私たちは、これは平時に行われる活動であり、誰もがやっていることだと強調した。

実際には、その中間にある。そして問題は、私たちの直感は歴史に基づいているということだ。

電子スパイ行為は、インターネット以前の冷戦時代とは異なっている。盗聴はもはや受動的なものではない。誰かの近くに座って会話を盗み聞きするのと電子の世界では同じことではない。受動的に通信回路を監視するものでもない。むしろ、中国、ブラジル、ベルギーなど、敵対する国のコンピューターネットワークに積極的に侵入し、そのネットワークを掌握するために悪意のソフトウェアをインストールする行為である可能性が高い。

つまり、ハッキングである。サイバースパイ行為はサイバー攻撃の一形態であり、攻撃的な行為である。他国の主権を侵害するものであり、その外交上および地政学上のコストについて、あまりにも軽視し過ぎている。

略語を多用する米軍は、サイバー空間で行う活動に関連して2つの用語を使用している。CNEは「コンピュータ・ネットワーク・エクスプロイト（コンピュータ・ネットワークの悪用）」の略語であり、スパイ行為を意味する。CNAは「コンピュータ・ネットワーク・アタック（コンピュータ・ネットワーク攻撃）」の略語であり、敵のネットワークを破壊したり、その他の方法で無効化する行為を含む。これは、とりわけ妨害行為である。CNEとCNAは米国だけが独占しているわけではなく、誰もがやっていることである。他の国々も攻撃的なサイバー戦争能力を構築していることは周知の事実である。ゴーストネット（GhostNet）、レッドオクトーバー（Red October）、マスク（The Mask）といった名前を持つ、他国による高度な監視ネットワークが発見されている。これらのネットワークの背後に誰がいるのかはわからないが（ネットワークのソースをたどるのは非常に困難である）、それぞれ中国、ロシア、スペインが疑われている。私たちは最近、21の政府によって使用されているRCSと呼ばれるハッキングツールについて知った。その政府とは、アゼルバイジャン、コロンビア、エジプト、エチオピア、ハンガリー、イタリア、カザフスタン、韓国、マレーシア、メキシコ、モロッコ、ナイジェリア、オマーン、パナマ、ポーランド、サウジアラビア、スーダン、タイ、トルコ、UAE、ウズベキスタンである。

中国企業ファーウェイが米国にネットワーク機器を販売しようとした際、米国政府は、その機器を「国家安全保障上の脅威」とみなした。そのスイッチにバックドアが仕掛けられ、中国政府が米国のネットワークを盗聴したり攻撃したりできることを、米国政府は当然ながら恐れたのだ。今では、NSAが、まさにファーウェイのスイッチと同様に、中国で販売されている米国製機器に対してもまったく同じことをしていることが分かっている。

問題は、攻撃対象から見ると、CNEとCNAは最終結果を除いては、互いに同じように見えるということだ。今日の監視システムは、サイバー犯罪者が金銭を狙う際に実行するのと同様に、コンピュータへの侵入やマルウェアのインストールを必要とする。そして、2010年にイランのナタンツ核施設を無効化した米国とイスラエルのサイバー兵器であるStuxnetのように。

Microsoftの法務顧問ブラッド・スミスが「実際、政府によるスパイ行為は、高度なマルウェアやサイバー攻撃と並んで、潜在的に『高度で持続的な脅威』を構成する可能性がある」と述べたのは、まさにこのことを指している。

中国が米国のコンピューターネットワークに侵入しているが、その頻度は驚くほど高い。しかし、彼らが何をしているのかはわからない。ハードウェアやソフトウェアを改変して盗聴しているのか、あるいは、将来、何らかの形で実害を引き起こす可能性のある「ロジック・ボム」を仕掛けているのか。それはわからない。2011年のEUサイバーセキュリティポリシー文書（7ページ）には次のように記載されている。

技術的に言えば、CNAはCNEを必要とする。つまり、サイバー戦争の準備である可能性もあるが、当初は単にサイバースパイ行為であったり、あるいは単にそう見せかけているだけである可能性もある。

私たちは中国側の意図を知ることはできないし、中国側も私たちの意図を知ることはできない。米国では現在、NSAが何をすべきか、またNSAを制限することが他の政府に力を与えることになるのかどうかについて、多くの議論が交わされている。それは間違った議論である。NSAがスパイする世界と中国がスパイする世界、どちらか一方だけを選ぶことはできない。私たちが選べるのは、情報インフラがすべての攻撃者に脆弱な世界か、すべてのユーザーにとって安全な世界か、どちらかだけである。

サイバースパイ活動がサイバー攻撃と同等である限り、私たちはNSAの取り組みを、こうした攻撃からインターネットを保護することに集中させる方がはるかに安全である。確かに、世界中の情報フローへのアクセスは同じレベルではできなくなるだろう。しかし、私たちは、盗聴やより破壊的な攻撃の両方から、世界の情報フロー（私たち自身のものも含む）を守ることになる。私たちは、政府、非国家主体、犯罪者から情報フローを守ることになるだろう。私たちは、世界をより安全にすることになるのだ。

CNEであれCNAであれ、サイバー空間における攻撃的な軍事作戦は軍の管轄で行うべきである。米国では、サイバー司令部がこれにあたる。このような作戦は攻撃的な軍事行動として認識されるべきであり、行政機関の最高レベルで承認され、オフラインの世界における戦争行為を規定するのと同じ国際法の基準に従うべきである。

他国の電子インフラを攻撃するつもりなら、それは外国への攻撃と同じように扱うべきである。もはや単なるスパイ行為ではなく、サイバー攻撃である。

https://www.schneier.com/essays/archives/2014/03/theres_no_real_diffe.html