オーストラリア安全情報機構(ASIO)の長官は、権威主義的な政権が「重要インフラを妨害または破壊する意欲を高めている」とサイバー破壊工作を用いて警告しました。
本日行われた演説で、セキュリティ長官のマイク・バージェス氏は、オーストラリアで最近発生した通信障害について言及し、そのうちの一つが3人の死亡につながったと考えられています。
私たちは、この影響がどれほど混乱をもたらし、どれほど壊滅的であるか、本当に理解していないと思います
「これは、たった一つの電話ネットワークが1日未満使えなかっただけです」と彼は述べました。「もし国家がすべてのネットワークを停止させたらどうなるか想像してください。あるいは猛暑の中で電力を止められたら?飲み水を汚染されたら?金融システムを麻痺させられたら?」
バージェス氏は、これらのシナリオは「仮定の話ではない」と述べ、「外国政府は今まさにこれらの可能性を調査するエリートチームを持っている」と付け加えました。これらの政府の中には、かつて「スパイ活動や外国からの干渉、つまり盗みや介入を行う意図」を持っていたところもあると述べました。
彼は、今や一部の国は「より高い被害をもたらす活動に踏み切る可能性が高まっている」と警告しました。
「私たちは、破壊工作、特にサイバーによる破壊工作が今後5年間で脅威を増すと予想しています――敵対者の能力と意図の両面で」とバージェス氏は述べ、「AIを含む技術の進歩や、オンラインで売買・レンタルできる能力の拡大により、政権が破壊工作に必要なツールや武器を手に入れやすくなっている」と付け加えました。
情報機関の長は、ASIOは「複雑で困難、かつ変化し続ける安全保障環境が、さらにダイナミックに、多様に、そして悪化していくと予想している」と述べました。
「ダイナミックとは、オーストラリアがこれほど多くの脅威に…同時に…直面したことがないからです。多様とは、脅威が交差し、境界が曖昧になっているからです。外国のスパイは、ますます犯罪組織を使って汚れ仕事をさせています。
「そして悪化とは、権威主義国家がこれまで以上に深いところまで踏み込む意欲を持っていることです。彼らはより攻撃的に、より無謀に、より危険に振る舞っています。私たちが『高被害』活動と呼ぶものに、より積極的に関与しようとしています。」
バージェス氏は、サルト・タイフーンやボルト・タイフーンといったハッカー集団にも言及しました。
「多くの人がこの奇妙なニックネームに困惑しているのは知っています――なので、もう少し説明しましょう」と彼は述べました。「これらのグループは、中国政府の情報機関や軍に雇われたハッカーです。」
ASIO長官は、サルト・タイフーンの目的はスパイ活動であり、「このグループはオーストラリア国内の通信ネットワークも調査している」と述べました。
「対照的に、ボルト・タイフーンの目的は妨害でした。
「ハッカーたちは、アメリカの重要インフラネットワークに侵入し、将来の破壊工作に備えていました。この侵入により、中国は通信やその他の重要インフラを停止させる能力を得たのです。」
バージェス氏は、ASIOも「中国のハッカーがオーストラリアの重要インフラを調査しているのを確認している」と述べました。「一度アクセスが得られ、ネットワークが侵入されたら、その後何が起こるかは能力ではなく意図の問題です。」
「私たちは――私たち全員が――この影響がどれほど混乱をもたらし、どれほど壊滅的であるか、本当に理解していないと思います」と彼は述べました。
企業は対応に失敗している
バージェス氏は、オーストラリア証券投資委員会(ASIC)が主催する年次会議で発言し、国家の金融規制当局として、組織が高まる脅威にどう対応すべきかについても論じました。
「原則として、スパイ活動や破壊工作への効果的な防御は、他の予見可能な企業リスク――例えば犯罪による窃盗、詐欺、職場事故、設備故障――への防御と多くの共通点があります」と彼は述べ、2つの質問を投げかけました。
「では、なぜ取締役会や経営陣は、障害や侵害に直面したときに驚くのでしょうか?そして、なぜ彼らは対応に苦しむのでしょうか?」
このリスクはPowerPointで乗り切れるものではありません
バージェス氏は、慢心とガバナンスの不備が原因だと示唆しました。
「ほぼすべてのセキュリティインシデントは、既知の問題と既知の解決策、あるいは『驚いてはいるが驚かない』管理者が関与しています」と彼はイベントで述べました。
「これらの脅威が予見可能で、私たちの脆弱性が把握できるのであれば、運用面でもガバナンス面でも、私たちはこのリスクにどう対応しているのでしょうか」と彼は付け加え、「取締役会は提供される情報について好奇心と見識を持つべきです。このリスクはPowerPointで乗り切れるものではありません。経営陣にそうさせてはいけません」と助言しました。
彼は、リーダーが組織や顧客にとって特に重要なデータ、システム、サービス、人材、そしてリスクにさらされているデータ、システム、サービス、人材を理解することを推奨しました。
「どこに何が保管されているのか?誰がアクセスできるのか?どれだけしっかり守られているのか?」と彼は問いかけました。「それらをすべて理解したら、リスクを一貫性と連携を持って管理してください。組織全体を見渡し、優れたセキュリティは連携したネットワークであり、分断された優秀さの孤島ではないことを認識してください。」
バージェス氏は、これらの取り組みは任意ではないと述べました。
「はっきり言います。リスクが予見可能で脆弱性が把握できるのであれば、あらゆる合理的な手段を講じない理由はありません」と彼は述べました。「複雑さは言い訳になりません。対処しなければならないのです。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/12/asio_cyber_sabotage_warnings/
