現代の日本で光ファイバーの恩恵を受けていない人は稀だろう。あらゆるものがネットワークにつながる時代、通信事業者のアクセス網から宅内、メトロ、コアネットワークまでが光ファイバーによる伝送により支えられている。
ところで近年、サイバーセキュリティ対策の必要性が日増しに高くなっている。2022年4月には改正個人情報保護法が施行され、国内法人は個人情報が漏洩した際の本人報告などが義務化された。あわせて個人情報漏洩を起こさないセキュリティ対策が強く求められている。
情報漏洩に備えて、Wi-Fiにおいては暗号化プロトコル「WPA 3」の適用、社外との通信においてはIPsec VPNの利用と、通信路を暗号化するのは当たり前だ。セキュリティ対策に入念に取り組む企業であれば、メタルのLANケーブルからも情報が窃取できることを知っており、対策しているかもしれない。
このようにサイバーセキュリティ対策への意識が高まっているにもかかわらず、多くの企業で盲点となっているのが光ファイバーだ。「国内で話をすると、実は光ファイバーから情報が盗まれることを知らない人は多い。光ファイバーは安全だという認識で、実は私も以前は同じ認識だった」とアイランドシックス 通信インフラ事業部プリセールスマネージャーの山口闘志氏は述べる。
実際には光ファイバーからの情報漏洩が、日常的に行われている。そのことを広く知らしめたのが、米国家安全保障局(NSA)と米中央情報局(CIA)元局員であるエドワード・スノーデン氏の告発だ。同氏は米国やその同盟国家が行っていた数々の諜報活動を暴露したが、その際に使われていた手法の1つが光ファイバーのタッピングによる盗聴である。英国の政府通信本部(GCHQ)は世界200箇所以上に、光ファイバーから光信号を窃取するタッピング装置を設置し、1日6億件以上のイベントを処理。電話の録音やメール、Webのアクセス履歴などの内容を盗聴していたという。
手間はわずか1分
驚くべきはその「手軽さ」だ。スパイ機関が行う情報搾取方法というと、特別な機器や技能が用いられていると思うかもしれない。実際にGCHQが利用したデバイスや装置は判明していないが、光ファイバーのタッピングは大手オンラインストアで数十ドルで購入できるカップリングデバイスという機器を利用することで可能だ。
光ファイバのカップリングデバイスの画像。本来はファイバーのテスト・保守などに使われる工具(出典:Fiber Optic Devices社 HP)
手順を解説している動画も大手サイトでは多数公開されており、見つけることは容易だった。筆者が参考にした動画においては、企業宅内で光ケーブルなどを終端するPT(Premise Termination)盤とみられるキャビネットを開いた人物が、ニッパーで光ファイバーの外装を剥き、カップリングデバイスによって信号をタップ。この間はわずか1分ほどであり、その後にデータを復元して盗聴していた。窃取しないまでも、光ファイバーの破壊によって対象に大きな損害を与えることは可能であり(図表1)、近年では2013年にエジプトで海底ケーブルが意図的に切断され、同国とその周辺のインターネットの速度が4割ほど低下するという事件も発生している。
図表1 実際の攻撃方法(一例)
サイバーセキュリティの観点からは海底の光ケーブルを狙った攻撃は昔からあるため、国内においてもドローンの活用など様々な方策が検討されているが、データセンターや企業ネットワークの光ファイバーへの警戒はまだ薄いのが現状と言えるだろう。
ただ、窃取した光信号からデータを復元する際には、高価な専用機器が必要となる。加えて、攻撃者が現地まで直接向かう必要があることから、現状では警戒が必要な企業は限られている。「正直、多くの日本企業にとっては光ファイバーが狙われる危険性が高いとは言えないだろう」とリボン・コミュニケーションズ IP Optical Networks部 部長の宮下泰彦氏は話す。
それでもデータセンターや通信キャリアなどユーザーの機密情報を守り切るため、対策が必要と言える企業は少なくない。