アメリカの対イラン・サイバー攻撃作戦と情報漏洩――ジェームズ・カートライト裁判に見る

シリーズ「国際紛争の新しい形」では、技術の進歩によって変容する国際紛争の姿を、様々な角度から解説していきます。（協力：先端技術安全保障プロジェクトNeSTeP）

外部者が企業や組織のシステムへ不正アクセスすることで、情報が流出することがある。2014年のソニー・ピクチャーズ・エンターテインメント社を標的とした攻撃や、2015年の日本年金機構の年金管理システムへの攻撃は記憶に新しい。

こうした外部からの不正アクセスではなく、内部者、つまり、情報を扱う正当な権限を有する者が、秘匿情報を漏洩してしまう場合もある。アメリカでは、軍事計画に関する情報はの多くは大統領令によって機密指定されているが、そうした軍事計画の策定および実施に携わる人物が機密情報を漏洩した場合、その人物はどのように裁かれるのだろうか。

2006年、アメリカはイランへのサイバー攻撃計画の策定に着手した。コードネーム「オリンピック・ゲームズ作戦」の始まりである。作戦の開始からすでに10年が経過した。そして2017年1月31日、アメリカの法廷でひとつの判決が出ようとしている。裁判の被告の名はジェームズ・カートライト（James Cartwright）という。

2010年に「スタックスネット（Stuxnet）」として知られるようになったマルウェアがある。技術的な分析の結果、マルウェアはウィンドウズ社製のOSに限り自己複製をし、シーメンス社製の産業用制御装置（PLC: Programable Logic Controller）が使用されている場合に限り、機器の制御に関係する数値を周期的に改ざんすることが判明した。

その技術的分析をもとに、イランに感染が集中して分布していたことや、機器構成が該当する施設などを考察した結果、攻撃の標的はイランのナタンズという町にある、ウラン濃縮を行う施設のウラン濃縮用遠心分離機であろうと推定された。マルウェアが周期的に改ざんしていた数値は、遠心分離機の回転数であろうと考えられた。核開発を担う国家の重要インフラが攻撃の標的とされたのである。

マルウェアの開発・使用主体が名乗り出ることはなく、様々な憶測が飛び交ったが、専門家の中にはアメリカやイスラエルの関与を示唆する者がいた。技術的な分析を担った研究者たちは、マルウェアに用いられている技術水準の高さを指摘した。ゼロデイ脆弱性（まだ一般的には対策が講じられていないシステム上の脆弱性）が複数利用されている点、施設内のモニターには通常稼働時のものを表示しながら、その裏で遠心分離機の回転数を変化させるという偽装工作が機能として付与されている点、デジタル署名が窃用されている点、施設内部の機器構成に対応した設計である点などの特徴があげられた。

しかし、いずれの特徴も主体を確定する根拠には乏しかった。また、マルウェアが一般的に知られるようになった直後には、マルウェアに含まれる文字列に着目して、「myrtus（ミルトス）」は聖書『エステル記』のエステルの隠喩であって、ユダヤ人に対して企てをするペルシア人を挫く物語を示唆しており、イスラエルが開発主体ではないかとの見解も出された。

イランへのサイバー攻撃計画「オリンピック・ゲームズ作戦」が書籍『直面と隠匿』（原題Confront and Conceal、未邦訳）に描かれたのは2012年のことである。2012年6月1日、ニューヨーク・タイムズ紙に「オバマの指示でイランへのサイバー攻撃が推進」と題する記事が掲載された。それは、記事の4日後、6月5日に刊行される『直面と隠匿』からの一部抜粋記事であった。

「オリンピック・ゲームズ作戦」は、対イラン・サイバー攻撃計画であり、後に「スタックスネット」として知られるマルウェアの開発・使用計画である。

すでに専門家によってアメリカもしくはイスラエルが関与していると推測されてはいたが、そうしたアメリカおよびイスラエル主体説に“もっともらしさ”が付与されたのは、『直面と隠匿』によってであると言っても良いであろう。書籍においては、ジョージ・W・ブッシュ（George W. Bush）大統領の時代にホワイトハウスで対イラン・サイバー攻撃作戦が計画され、イスラエルが開発に参加し、計画はバラク・オバマ（Barack Obama）大統領に引き継がれた、と述べられていたのである。

書籍には機密情報が含まれているとして、即座に話題となった。著者はワシントン支局のデイヴィッド・E・サンガー（David E. Sanger）記者である。ホワイトハウス内部の誰かがサンガーに機密情報を流したのではないかとして、連邦捜査局（FBI: Federal Bureau of Investigation）が間もなく捜査を開始した。その捜査線上に浮上したのが、統合参謀本部（JCS: Joint Chiefs of Staff）副議長を務めたこともあったジェームズ・カートライトである。

カートライトは1949年にイリノイ州のロックフォードで生まれ、1971年から海兵隊に所属し、2011年に退役した。2004年には戦略軍（STRATCOM）に配属され、2007年にはJCS副議長という要職を務めたという経歴の持ち主である。彼は、2006年に、後にサイバー軍（CYBERCOM）となる小隊を編制した人物として『直面と隠匿』に実名で登場する。当時、彼はSTRATCOMの司令官であり、オリンピック・ゲームズ作戦の始まりに深く関与していると見られている。

カートライトは情報漏洩事件の捜査対象とされながらも、ハーヴァード大学、軍需企業のレイセオン社、シンクタンクの戦略国際問題研究所（CSIS）などに籍を置きながら、国防について発言を続け、社会的な活動を継続してきた。

FBIによる捜査は『直面と隠匿』が出版された直後から開始されたが、その後、捜査や起訴に関する続報は、奇妙なほど無かった。しかし、2016年10月、裁判に動きがあった。アメリカ司法省（DOJ）のサイトに「カートライト有罪答弁」の見出しが躍った。

起訴状によると、機密情報漏洩の罪ではなく、「連邦捜査官への虚偽の供述の罪」で裁かれる、とのことであった。2012年1月から6月にかけて、カートライトは2人のメディア関係者へ情報を提供したとされ、そのうちの1人がニューヨーク・タイムズ紙のサンガーであったとされる。

2012年11月にFBIの捜査官が『直面と隠匿』からの引用リストをカートライトに見せたところ、カートライトは捜査官に、自分は引用の情報源ではなく、機密情報をメディア関係者へ提供していない、と供述したとのことである。書籍の記述のどの部分がどのような機密事項に当たるのかは法廷では明らかにされていないものの、2012年11月の供述が虚偽の供述であったことをカートライトは法廷で認めたのである。合衆国法典第18編「犯罪及び刑事手続」第1001条第a項第2節、連邦捜査官への虚偽の供述に該当し、最大5年の自由刑で裁かれると見られている。

2016年の大統領選挙ではヒラリー・クリントン（Hillary Clinton）候補の情報管理が問題視されたが、情報は常に漏洩の危険性をはらんでいる。アメリカではここ数年、政府要職にいる者の不適切な情報の取扱が法的に裁かれてきた。

カートライトの有罪答弁は「ルイス・リビー（Lewis Libby）を彷彿とさせる」とも語られるが、このリビーも情報漏洩に関わった人物である。2003年、ブッシュ大統領の補佐官であったリビーは、保護されるべき情報である中央情報局（CIA）職員の身元を漏洩したとされる。いわゆるプレイム事件である。リビーも、情報漏洩自体ではなく、捜査官への虚偽の供述の罪などで裁かれた。2007年6月に2年6か月の自由刑の判決が出たが、同年7月には大統領権限で執行猶予に減刑されている。

政府高官による情報漏洩の例として、CIA長官であったデイヴィッド・ペトレイアス（David Petraeus）の事件にも触れておきたい。彼は2012年11月に個人的理由によりCIA長官を退任しているが、彼は、伝記執筆者であった陸軍のポーラ・ブロードウェルへ機密情報が含まれる自身のノートを渡していた。この事件の場合は、リビーの事件とは異なり、機密情報の持ち去り、および保持の罪で裁かれ、罰金および保護観察に処された。

カートライト、リビー、そしてペトレイアスのように、アメリカでは情報漏洩は、漏洩自体以外に着目して裁かれるのが一般的かと言えば、決してそうではない。合衆国法典第18編第793条はスパイ活動法として知られている。この条文では機密情報の漏洩の罪が規定されている。近年、アメリカではこのスパイ活動法によって起訴されるケースが続いているのである。

スパイ活動法による起訴のケースを挙げておこう。ローレンス・フランクリン（Lawrence Franklin）（2005年起訴、2006年自由刑及び罰金刑）、シェイマイ・リーボウィッツ（Shamai Leibowitz）（2009年起訴、2010年自由刑）、トーマス・ドレイク（Thomas Drake）（2010年起訴、2011年保護観察）、ブラッドレー・マニング（Bradley Manning）（現チェルシー・マニング（Chelsea Manning））（2010年起訴、2013年自由刑）、ジェフリー・スターリング（Jeffrey Sterling）（2010年起訴、2015年自由刑）、スティーブン・ジンウ・キム（Stephen Jin-Woo Kim）（2010年起訴、2014年自由刑）、ジョン・キリアコウ（John Kiriakou）（2012年起訴、2013年自由刑）、ジェームズ・ヒッツェルバーガー（James Hitselberger）（2012年起訴、2014年罰金刑）、ドナルド・サクレイベン（Donald Sachtleben）（2013年起訴、同年自由刑）、エドワード・スノーデン（Edward Snowden）（入国と同時に司法手続）。

ジェームズ・カートライトの話に戻ろう。

連邦捜査官への虚偽の供述の罪に問われているが、その判決言い渡しは2017年1月31日が予定されている。過去の判例に照らして、罰金刑もしくは数か月の自由刑に処されるのではないかという見解もある。選挙にまつわるロシアからのサイバー攻撃のレポートに注目が集まる最中ではあるが、サイバー・インシデント史に名を残す「スタックスネット」の開発計画である「オリンピック・ゲームズ作戦」の10年を締め括るひとつの判決を待ちたい。