ランサムウェア被害に国の組織が対処するイギリス:GCHQ(英国政府通信本部)とは何か?
アサヒグループホールディングにおいてランサムウェア被害が発生したと報じられてすぐ、英語圏のランサムウェア参考情報はないかと思ってYouTubeを調べました。ほとんどはかなり古いWANNACRY事案に関するものでしたが、唯一、最近の動きに関するものとしてイギリスBBCの関連報道が見つかりました。
この番組によるとイギリスでは大企業から小企業まで毎日1件のランサムウェア被害が発生しているそうです。イギリスには国家機関としてランサムウェア被害などサイバーセキュリティ事案を掌握し、対策を施すGCHQ(英国政府通信本部/Government Communications Headquarters)という組織があることがわかりました。
この組織はなんと第一次世界大戦中のイギリスの諜報活動に由来します。概要を記します。
1. GCHQ(英国政府通信本部)とは何か?:設置の歴史と目的
設立と歴史的背景
年 | 名称・出来事 | 意義・転機 |
---|---|---|
1919年11月1日 | **Government Code and Cypher School(GC&CS)**として設立 | 第一次世界大戦後、英国政府が戦時中に確立した無線傍受・暗号解読能力を平時にも残し、国家安全保障に資するため。 |
1939年頃 | 第二次世界大戦で Bletchley Park(ブレッチリー・パーク)に拠点を拡大 | ドイツの暗号機「エニグマ」を解読するなど、連合国の勝利に貢献。暗号解読・通信傍受能力を急速に拡張。 |
1946年 | 組織として再編、名称を GCHQ(Government Communications Headquarters)と呼ばれるように | 戦後インフラを改編し、通信傍受・暗号・信号情報 (SIGINT) を中心とする常設機関へ移行。 |
冷戦時代以降 | USA(NSA)との連携強化、UKUSA 協定の枠組み強化 | 英米の暗号・通信傍受を共同体制で行う枠を確立(後の Five Eyes の原型)。 |
現代 | サイバー空間・通信安全・情報保障・犯罪対策を含む拡張的役割を保持 | テロ対策、サイバー防衛、重大組織犯罪対処、国家機関・民間通信の保護などを行う。 |
要点:
-
GCHQの起源は戦争期の通信・暗号解読機関にある。
-
戦時体制下で得られた技術を、平時の国家安全確保のために制度化したのが設立の動機。
-
英国政府の「通信・信号インテリジェンス(SIGINT)」能力の中核機関として位置づけられている。
現在の役割・機能
GCHQが担う主な機能を、わかりやすく整理します。
機能分類 | 内容 | 備考/具体例 |
---|---|---|
信号インテリジェンス (SIGINT) | 通信傍受・暗号解読・信号分析 | 外国政府・組織の通信を傍受・解析し、政策や軍事情報を得る。 |
情報保障(情報セキュリティ) | 国家通信網・政府系ネットワーク・重要インフラ保護 | 通信の機密性・完全性確保、サイバー防御、暗号技術提供。 |
サイバーセキュリティ対応 | サイバー攻撃対処、脅威インテリジェンス提供 | 政府への攻撃分析、警戒、インシデント支援など。 |
犯罪・テロ対応支援 | 組織犯罪・テロ活動に関する通信データ提供 | 国内保安機関・警察との連携。 |
対外機関・同盟国との情報共有 | 英米諸国とのインテリジェンス協力(Five Eyes など) | 通信情報の共有、共同作戦、技術協力。 |
GCHQ自身が攻撃を"仕掛ける(オフェンス)"というよりは、主に「防御」「傍受」「監視」「分析」「通信保障」を担う。
ただし、サイバー空間での対応においては攻撃側技術(侵入技術、マルウェア解析、脆弱性利用手法の理解)も内部的に保持している可能性が高い。
GCHQの公式ミッションには次のような記述があります:
「GCHQ(政府通信本部)の使命は、
英国を安全に保つことである。
その重点分野は、
-
テロ対策(Counter Terrorism)、
-
サイバーセキュリティ(Cyber Security)、
-
戦略的優位の確保(Strategic Advantage)、
-
重大・組織犯罪への対処(Serious & Organised Crime)、
-
防衛支援(Support to Defence)
の5つである。」
2. 英国・GCHQがなぜ注目されるか:背景と脅威環境
サイバー/通信技術の進展と脅威拡大
-
インターネット・クラウド・IoT通信の普及が、国家レベルでの監視/攻撃/防御領域を拡大。
-
通信が国境を超える性質があるため、国際的な傍受・分析能力を持つ国家機関は戦略的に重要。
-
暗号/量子計算など新技術の進歩により、従来の通信秘密性・暗号方式の破壊可能性も高まっている。
情報戦・サイバー戦の時代
-
国家間対立、テロ、ハイブリッド戦争、サイバー犯罪組織(ランサムウェアグループなど)が、国家安全保障に直接結びつく。
-
通信情報・メタデータ(誰が誰といつ通信したか)は、行動予測・関係網分析において極めて有効。
-
したがって、国家は傍受能力・暗号解読力・通信安全確保力を維持・拡張する必要がある。
英米同盟・Five Eyes の枠組み
-
GCHQは米国のNSAなどと協力し、Five Eyes(英米豪加NZ)というインテリジェンス同盟を形成。 privacyinternational.org
-
この枠組みによって、各国間で収集データや技術を共有できる。
-
英国の通信傍受・分析能力は、単独よりも「同盟ネットワーク」として価値が高まる。
このようにしてイギリスでは戦時中の国家としての諜報活動の一環としてサイバーセキュリティ事案にも対処しており、企業だけでは対応が難しいランサムウェア被害についても掌握しているのです。
上のYouTube動画のBBC報道の要点を記してみましょう。(Google NotebookLMによる)
ランサムウェア攻撃の現状と深刻さ:
- GCHQ(政府通信本部)の一部である国家サイバーセキュリティセンター(NCSC)の秘密捜査官たちは、ハッカーがデータを盗み、コンピューターシステムをロックして身代金を要求するランサムウェア攻撃を阻止する任務を負っています。
- NCSCは毎日少なくとも1件のインシデントに対処しています。
- BBCのパノラマ番組は、2025年がランサムウェア攻撃の記録上最悪の年になる可能性が高いと伝えられています。
- この種の犯罪は「私たち全員を脅かす、成長している金になる犯罪」であると述べられています。
- 昨年のイギリス企業に対するランサムウェア攻撃は19,000件に上り、業界筋によると平均的な身代金要求額は年間約400万ポンド(約7億6,000万円)だということです。
- 多くの企業が身代金を支払い、この事実が公になることはないとも言われています。
- この脅威は、私たちが利用する企業に関するものではなく、私たち全員に関わるものであり、私たちのデータはすべてインターネット上にあります。企業が侵害されれば、私たち全員が影響を受けます。
- 国家監査局(National Audit Office)は、この脅威は深刻で急速に進行していると述べました。議会の合同委員会は、破滅的なインシデントにかなり近いと示唆しました。
被害事例と対応:
- NCSCは、今年初めにITシステムがシャットダウンしたMarks and Spencer's (M&S)と連携して活動しています。M&SやCo-opなど、大規模なサイバー攻撃の夏であり、両社とも侵害されました。
- 運送会社K&P(Knights of Oldのブランド名で500台のトラックを運行)は2023年にランサムウェアギャングによってコンピューターをロックされ、データを盗まれました。ギャングは身代金を要求しましたが、K&Pにその資金はなく、会社は倒産しました。原因はハッカーが従業員のパスワードを突き止めたことでした。
- 予防策が失敗した場合国家犯罪対策庁(National Crime Agency)のチームが介入し、M&Sなどを支援しています。
NCSCと企業責任:
- NCSC(GCHQの一部)はサイバーギャングと戦うスパイであり、「最前線」で活動しています。(今泉注:犯罪組織に対処するためスパイ的な活動が必須になる。犯罪集団に逆ハッキングして手口を研究する等。ランサムウェア被害に対する「攻め」の活動を行なっている。これは上部組織GCHQが戦時下における諜報活動を主務としていることの延長線で可能になる発想である。例えば経産省系の情報処理系組織ではこのような発想にならない。つまりランサムウェア被害に対しては犯罪集団に先んじて動くことが不可欠であり、そのためには「軍事的」な発想で動く組織が必要になるということ。)
- NCSCは、攻撃を阻止するためにできる限りの「第一層」を提供し、システムをより堅牢にするよう努めますが、最終的には企業自身が自らを守る責任があるという明確なメッセージを持っています。
- NCSCは、実際に目にするよりもはるかに多くの攻撃を阻止していると述べています。
- しかし、NCSCや国家監査局からの報告によると、国として現時点では十分な対策を講じていない可能性があり、もっと多くのことを行う必要があると考えられています。
ハッカーと攻撃の手口:
- ハッカーの正体を特定することは困難です。
- Akiraは、言及されたギャングの一つです。
- セキュリティーサービスにとって困難なのは、この脅威が海外、特にロシア、北朝鮮、イランなどの国々から来ることが多いためです。これらの地域では、攻撃の阻止が非常に困難です。
- 最近の攻撃では「scattered spiders(散在するクモ)」という表現が使われています。これは、当局によればメディアが付けた名称ですが、ゲーミングを通じてシステムを破る方法を編み出した、英語を話す一種の新しい攻撃者を指しているとされています。
- ハッキングは必ずしもコンピューターオタクがコードを書き換えるといった基本的なものではなく、M&Sへの攻撃のように、パスワードを忘れたふりをするなどしてシステムに侵入するブラッキング(blagging)によって行われることもあります。これは別の種類の脅威ですが、ギャングは一般的に海外におり、英語圏からの新しい脅威も存在します。
このようにイギリスでもランサムウェア被害は深刻です。そしてそれに国家組織が対処しているのです。
このことは日本政府にとってもインプリケーションがあります。
3. 日本にとってのインプリケーション(示唆・注意点)
英国の GCHQ の存在・機能と役割を理解することは、日本政府や日本企業に、以下のような示唆や注意点を与えます。
① 協力関係・情報共有の可能性と限界
-
日本は正式な Five Eyes メンバーではないが、情報共有パートナーとして協力を強めている動き。 Nippon
-
共同サイバー防衛、脅威インテリジェンス交換、技術協力の枠組みを拡げる余地がある(日本‐英国の共同宣言にも「サイバー空間」が含まれている)。 チャタムハウス
-
一方で、通信傍受・国際傍受に関わる法律制約やプライバシー保護、外交リスク、法制度調整が必要。
② 日本の通信・暗号インフラの強化動機
-
日本も国家安全保障・サイバー防衛の体制を強化すべきで、GCHQ のような通信傍受・暗号解読能力・通信保障能力を備える必要がある。
-
ただし、民主国家としてプライバシー保護・国民監視の懸念とのバランスが極めて重要。
③ 民間企業への影響・期待役割
-
国内企業、特にインフラ事業者・製造業・金融業などは、GCHQ 相当の防衛力を自前では持ちえないため、対応策を自前で検討する必要がある。
-
また、国家機関が持つ脅威インテリジェンスを、民間企業に流通させる仕組み(CIRTs / CSIRTs を通じた情勢共有)が鍵になる。
④ 制度設計・法制度課題
-
通信傍受・監視技術・暗号技術を使うには、**国内法整備(国家安全保障、秘密保護法、通信傍受法、プライバシー法)**が不可欠。
-
また、国際条約・情報交換協定を含めた外交調整が必要。
-
さらに、民主主義社会での説明責任・監査・透明性も伴うべき。
⑤ リスク・敵対機関の脅威増大
-
他国のスパイ・偵察機関と、ランサムウェアなどの組織犯罪者が連携する可能性。
-
日本企業・政府機関が、英国などのインテリジェンス能力に学んで、電子情報戦における競争力・防衛力を高める必要。
この投稿はまずここまでとします。