보안(안보) 일본은 14초마다 한 번씩 공격을 받고 있다. 타카이치 총리가 ‘심야 집필’에서 밝힌 ‘보이지 않는 전쟁’의 최전선

[お持て成し]

일본은 14초마다 한 번씩 공격을 받고 있다. 타카이치 총리가 ‘심야 집필’에서 밝힌 ‘보이지 않는 전쟁’의 최전선 / 2월 25일(수) / All About

‘14초에 한 번’ 일본을 강타한 사이버 공격의 충격. 타카이치 사나에 총리가 장관 시절, 심야에 집필한 책 『일본의 경제 안보』 중 일부를 발췌해 JAXA와 토요타, 병원을 노리는 ‘보이지 않는 전쟁’의 실태를 소개한다. (이미지 출처: 총리 관저 홈페이지) 

“약 14초에 한 번”. 이는 2024년 현재 일본 국내 기기가 받았던 사이버 공격 빈도입니다. 왜 이렇게까지 공격이 급증하고 있는지. 그리고 그 배후에는 어떤 국가와 조직이 관여하고 있는지. 

이번에는 당시 경제안보 담당 장관으로 정책 분야의 최고 권위자였던 타카이치 총리가 방대한 자료를 해독하고 직접 집필한 한 권의 『일본의 경제안보』『국가와 국민을 지키는 황금률』(아사카 신사)에서 일부 발췌.

총리 취임 전의 ‘각오’가 담긴, 우리 생활을 위협하는 사이버 공격의 생생한 실태를 소개합니다.

◆ 약 14초마다 한 번씩 사이버 공격을 받고 있다

전 세계적으로 사이버 보안 강화는 경제 안보의 중요한 과제가 되고 있다.

우리가 받고 있는 사이버 공격 수를 상상해 보시도록, NICT(National Institute of Information and Communications Technology: 국립연구개발법인 정보통신연구기관(NICTER)의 NICTER(사이버 공격 관측·분석·대응 시스템)가 관측한 최신 데이터를 소개한다.

NICT의 다크넷 관측망은 약 90%가 일본 국내 IP 주소, 약 10%가 해외 IP 주소로 관측되고 있다.

그 중 하나의 IP 주소(IP 주소가 할당된 라우터나 웹캠 등 IoT 기기)당 사이버 공격 관련 통신 패킷 수를 5년마다 비교해 보았다.

2013년에는 IP 주소당 연간 약 6만 4천 패킷, 하루에 약 175패킷, 약 8.3분에 한 번씩 공격이 이루어졌다.

2018년에는 IP 주소 하나당 연간 약 80.7만 패킷, 하루에 약 2,211 패킷, 약 39초마다 한 번씩 공격이 이루어졌다.

2023년에는 하나의 IP 주소당 연간 약 226만 패킷, 하루에 약 6,192 패킷, 약 14초마다 한 번씩 공격을 받고 있다.

즉, 2018년은 2013년 대비 약 13배 증가했으며, 2023년은 2018년 대비 약 2.8배 늘어난 셈이다.

이 관측을 통해 무차별형 사이버 공격의 대략적인 경향을 파악할 수 있지만, 외국 A에서 일본으로의 공격과 외국 A에서 외국 B로의 공격도 포함된다. 

일본이 받고 있는 사이버 공격 수의 추이를 살펴보는 데 유효한 것은 NICT가 관측하고 있는 DRDoS(Distributed Reflection Denial of Service) 공격 데이터라고 생각한다. 

DRDoS 공격은 주요 사이버 공격 중 하나이다. 인터넷상의 DNS나 NTP 등 서버를 통신 증폭기로 악용해 공격 대상에게 대량의 패킷을 전송하는 DRDoS 공격의 일종으로, 특정 사이트 등을 대상으로 하는 주요 공격 수단이다. 

NICT에서는 DRDoS 공격을 관측하기 위해, 불법 접근을 전제로 설치되는 네트워크 시스템인 앰프포트(AmpPoT)라는 도구 9대를 사용해 관측하고 있다. 

2023년 1년 동안 누적 약 5,561만 건, 하루 평균 약 15만 건의 공격이 관측되었다. 그 중 일본을 향한 공격(해외→일본, 그리고 일본→일본의 공격 수를 합산)은 1년 동안 약 896만 건, 하루 평균 약 2만 4천 건에 달했다. 

또한 2020년 1년 동안 누적 공격 건수는 약 3,120만 건이며, 하루 평균 약 8만 5천 건의 공격이 관측되었다. 그 중 일본을 향한 공격은 1년 동안 약 24만 건, 하루 평균 약 666건에 달했다. 즉, 3년 동안 일본을 향한 공격이 급증하고 있음을 알 수 있다. 

또한, NISC(National Center of Incident Readiness and Strategy for Cybersecurity, 내각 사이버보안센터)에 따르면 2023 회계연도의 예비값이지만, ‘중요 인프라에 대한 사이버 공격 사고’가 123건 발생했다고 한다. 

다만, 이는 중요 인프라 사업자로부터 정부에 보고된 건수이다. 공격을 받은 사실 자체를 인지하지 못하거나 풍문 피해를 두려워해 보고하지 않는 경우도 있을 것이라 생각한다면, 실제로는 더 많았을지도 모른다. 

◆ 배경에 중국 인민해방군

최근 국내에서 발생한 사이버 공격 사례 중 일부를 소개한다.

2021년 4월에 JAXA(국립연구개발법인 우주항공연구개발기구)를 비롯한 국내 기업 등에 대한 사이버 공격을 실행한 집단의 배경에 중국인민해방군이 관여했을 가능성이 높다는 사실을 같은 해 9월 9일 경찰청이 발표했다. 

2022년 3월에는 토요타의 국내 공급업체인 코지마 프레스 공업주식회사에서 불법 접근에 따른 시스템 장애가 발생. 이 영향으로 토요타는 국내 전체 14공장 중 28라인의 가동을 중단했다. 

의료 분야에서는 2021년 10월, 도쿠시마현 쓰루기쵸립 반다병원이 랜섬웨어(몸값 요구형 바이러스)를 이용한 사이버 공격을 받아 약 8만 5천 명 분량의 전자 차트 데이터가 암호화되었다. 그 결과, 응급 상황이나 신규 환자 접수를 중단하는 등 피해가 발생. 

2022년 6월에는 도쿠시마현 나루토시의 나루토산상병원 전자 차트와 병원 내 LAN 시스템을 사용할 수 없게 되었다.

이 두 공격자는 이미 밝혀졌으며, 2024년 2월 20일 유로폴(유럽 경찰 기구)과 일본·미국·영국·프랑스·호주 등 경찰 기관이 공동 수사한 결과, 국제 사이버 범죄 조직 ‘록비트’의 주요 멤버가 체포됐다고 발표되었다. 

※본 기사는 2024년 9월 발행된 『일본의 경제 안보 ‘국가와 국민을 지키는 황금률’(다카이치 사나에 저, 아스카 신사)에 근거한 내용입니다.

다카이치 사나에

日本は14秒に1回、攻撃されている。高市首相が“深夜の執筆”で明かした「見えない戦争」の最前線

日本は14秒に1回、攻撃されている。高市首相が“深夜の執筆”で明かした「見えない戦争」の

日本は14秒に1回、攻撃されている。高市首相が“深夜の執筆”で明かした「見えない戦争」の最前線 / 2/25(水) / All About

「14秒に1回」日本を襲うサイバー攻撃の衝撃。高市早苗首相が大臣時代、深夜の執筆で綴った書籍『日本の経済安全保障』より一部抜粋し、JAXAやトヨタ、病院を狙う「見えない戦争」の実態を紹介する。（画像出典：首相官邸ホームページ）

「約14秒に1回」。これは2024年時点で、日本国内の機器が受けていたサイバー攻撃の頻度です。なぜこれほどまでに攻撃が急増しているのか。そして、その背後にはどのような国家や組織が関与しているのか。

【動画】「ファクトチェックも徹底した」高市総理が本書に込めた肉声を聞く

今回は、当時経済安全保障担当大臣として政策の第一人者だった高市首相が、膨大な資料を読み解き、自らの手で書き下ろした一冊『日本の経済安全保障 国家国民を守る黄金律』（飛鳥新社）より一部抜粋。

総理就任前の「覚悟」が詰まった、私たちの生活を脅かすサイバー攻撃の生々しい実態を紹介します。

◆ 約14秒に1回、サイバー攻撃を受けている
世界的に、サイバーセキュリティの強化は、経済安全保障の重要な課題になっている。

私達が受けているサイバー攻撃数をイメージしていただくために、NICT（National Institute of information and Communications Technology：国立研究開発法人 情報通信研究機構）のNICTER（サイバー攻撃観測・分析・対策システム）が観測した最新のデータを紹介する。

NICTのダークネット観測網は、約9割が日本国内のIPアドレス、約1割が海外のIPアドレスで観測している。

その1つのIPアドレス（IPアドレスが付与されているルーターやWEBカメラなどIoT機器等）当たりのサイバー攻撃関連通信のパケット受信数を、5年ごとに比較してみた。

2013年は、1つのIPアドレス当たり1年間で約6.4万パケット、1日で約175パケット、約8.3分に1回の攻撃だった。

2018年は、1つのIPアドレス当たり1年間で約80.7万パケット、1日で約2211パケット、約39秒に1回の攻撃だった。

2023年は、1つのIPアドレス当たり1年間で約226万パケット、1日で約6192パケット、約14秒に1回の攻撃を受けている。

ということは、2018年は2013年の約13倍に増えており、2023年は2018年の約2.8倍に増えていることになる。

この観測では、無差別型サイバー攻撃の大局的な傾向を把握することが可能だが、外国Aから日本への攻撃も、外国Aから外国Bへの攻撃も含まれている。

日本が受けているサイバー攻撃数の推移を見るために有効なのは、NICTが観測しているDRDoS（Distributed Reflection Denial of Service）攻撃のデータだと思う。

DRDoS攻撃は主要なサイバー攻撃の1つ。インターネット上のDNSやNTP等のサーバを通信の増幅器として悪用し、攻撃対象に大量のパケットを送付するDRDoS攻撃の一種で、特定サイトなどに対する主要な攻撃手段だ。

NICTでは、DRDoS攻撃を観測するハニーポット（不正アクセスで攻撃されることを前提として設置されるわなのようなネットワークシステム）であるAmpPoTというツールを9台使って観測している。

2023年の1年間、累計で約5561万件、1日平均で約15万件の攻撃を観測した。そのうち日本宛の攻撃（海外→日本、ならびに日本→日本の攻撃数を合計）は、1年間で約896万件、1日平均で約2.4万件だった。

また2020年の1年間の累計は約3120万件、1日平均で約8.5万件の攻撃を観測した。そのうち日本宛の攻撃は、1年間で約24万件、1日平均で約666件だった。つまり、3年間で日本宛の攻撃が急増していることが分かる。

また、NISC（National Center of Incident Readiness and Strategy for Cybersecurity：内閣サイバーセキュリティセンター）によると、2023年度の速報値だが、「重要インフラへのサイバー攻撃インシデント」が123件あったということだ。

ただし、これは重要インフラ事業者から政府に報告があった件数だ。攻撃を受けたこと自体に気づいていないケースや風評被害をおそれて報告をしないケースもあるだろうと考えれば、実際にはもっと多かったのかもしれない。

◆ 背景に中国人民解放軍
近年、国内で被害が発生したサイバー攻撃の一部を紹介する。

2021年4月にJAXA（国立研究開発法人宇宙航空研究開発機構）をはじめとする国内企業等へのサイバー攻撃を実行した集団の背景に、中国人民解放軍が関与している可能性が高いということを、同年9月9日に警察庁が公表した。

2022年3月には、トヨタの国内仕入れ先である小島プレス工業株式会社において、不正アクセスに伴うシステム障害が発生。この影響によってトヨタは、国内の全14工場のうち28ラインの稼働を停止した。

医療分野では、2021年10月、徳島県つるぎ町立半田病院がランサムウェア（身代金要求型ウイルス）を用いたサイバー攻撃を受け、約8万5000人分の電子カルテのデータが暗号化された。結果、救急や新規患者の受入れを中止するなどの被害が発生。

2022年6月には、徳島県鳴門市の鳴門山上病院の電子カルテと院内LANシステムが使用できなくなった。

この2件の攻撃者については明らかになっており、2024年2月20日に、ユーロポール（欧州警察機構）と日米英仏豪などの警察機関の共同捜査によって、国際サイバー犯罪集団「ロックビット」の主要メンバーが逮捕されたことが発表されている。

※本記事は、2024年9月刊行の『日本の経済安全保障 国家国民を守る黄金律』（高市早苗著、飛鳥新社）に基づく内容です。

高市 早苗