【東京=村田奈緒】 2034年8月14日午前9時17分(日本時間)、国際銀行間決済ネットワーク「オメガクリア」の中枢サーバーが応答を停止した。12分14秒の沈黙。その間、世界43カ国の銀行間送金はすべて止まった。
後の調査で、原因は量子コンピュータによる暗号解読だと確定した。
■12分間の空白
オメガクリアは、1日あたり約420兆円規模の取引を処理する決済インフラだ。参加金融機関は世界で187行。その一つ、ドイツのアールベルク国際銀行のシステム管理者、エリック・ランゲ氏(41)はその瞬間を覚えている。
「モニターがすべて赤くなった。処理待ちのキューが積み上がっていくのに、何も動かない。こんな状態は見たことがなかった」
停止は12分14秒で終わった。しかし代償は金額では測れない。
送金のタイミングが狂った機関は世界で340を超え、その後3日間で生じた調整コストは推計1兆8000億円。それよりも大きかったのは、「これで本当に安全なのか」という問いが、金融システム全体に走り抜けたことだ。
■「Qデイ」が来た
セキュリティ研究者たちが長年「Qデイ(Q-Day)」と呼んできた日がある。量子コンピュータが、現在の標準的な暗号方式(RSAやECC)を実用的な速度で解読できるようになる日のことだ。
それは「仮定の話」だった。
2030年代初頭まで、量子コンピュータは実験室の巨大な装置であり、エラー率が高く、実際の暗号解読に必要な計算能力には遠かった。多くの専門家は「Qデイは2040年代以降」と見ていた。
だが今回の攻撃で使われた手法は、そのタイムラインを塗り替えた。
国際サイバーセキュリティ機関(ICSA)の暫定報告書によれば、攻撃には「低温超伝導型の量子プロセッサを小型化した移動型ユニット」が用いられた可能性がある。構成は不明だが、対象の暗号鍵を「十分な精度で」解読できたとされる。誰が、どこで作ったのかは——現時点でも確認されていない。
■「量子後」への移行は、間に合っていなかった
皮肉なことに、この攻撃が起きる6年前、2028年には米国立標準技術研究所(NIST)が量子耐性暗号の標準を正式に策定していた。移行のための技術はあった。ガイドラインもあった。
それでも間に合わなかった。
オメガクリアのシステムに量子耐性暗号が導入される予定だったのは、2035年3月だ。攻撃はその7カ月前に来た。
「旧来の暗号から量子耐性暗号への移行には、金融インフラの場合で最低3〜5年かかる。それが現実だ」と語るのは、量子セキュリティの研究者である東京工業科学大学の朝倉誠教授だ。「技術は先に生まれた。しかし技術が普及する速度と、脅威が現実化する速度は、必ずしも同じではない」。
ここに、今回の事件の核心がある。
解決策はあった。移行期間が、現実に追いつかなかった。
■犯行声明のない攻撃
事件から3週間が経過した現在、いかなる組織も犯行声明を出していない。
サイバー攻撃の多くは、何らかの動機を持つ集団が「見せしめ」として行う。国家関与型の諜報活動は、通常、発覚を避けるために痕跡を消す。今回の攻撃は、12分で止まり、資金の引き出しも不正送金の記録も残っていない。
何を奪ったのか。
奪ったのが「資金」でないとすれば、何を目的としていたのか。
ICSAのシニアアナリスト、マリア・ソーリン氏はこう言う。「もし本当の目的が『12分間のシステム停止』それ自体だとしたら、これはデモンストレーションだ。『私たちにはこれができる』という証明。次の攻撃の前哨戦としての沈黙」。
証明だとすれば、誰への証明か。
問いの方が、答えより重い。
■「安全」の定義が変わる
オメガクリアの運営を行う国際金融清算機構(IFCC)は、事件発生から48時間以内に「緊急量子耐性移行プログラム(EQTP)」の発動を宣言した。2035年3月に予定していた移行を、2034年12月末までに前倒しする。費用は加盟行が分担し、概算で総額9000億円規模とされる。
同時に、G7金融安定理事会(FSB)は緊急会合を開き、加盟国の金融機関に対して「2035年末までの量子耐性暗号移行の義務化」を検討する方針を示した。
対応は早い。しかし、その背景にある問いは簡単には消えない。
「暗号は数学の問題だが、セキュリティは社会の問題だ」と朝倉教授は続ける。「量子耐性暗号に移行したとして、その次の脅威が来るまでのタイムラグは何年あるのか。私たちはつねに、過去の脅威に対応し続けるシステムを作っている。それが繰り返される」。
守る側と破る側のゲームは、終わらない。
■移行の外側にいる銀行
今回の緊急プログラムに、一つの死角がある。
IFCC加盟の187行は対応の俎上に乗る。しかし世界には、決済インフラの末端に接続する中小金融機関や、デジタル送金サービスが無数にある。その多くは、独自に移行コストを負担するリソースを持たない。
タイのバンコクに拠点を置く地域金融機関、パシフィック・コオペラティブ・バンクの情報システム責任者、チャノック・ウィッタヤーポン氏(38)はこう言う。「大手行が量子耐性に切り替わっても、私たちがまだ古い暗号を使っていれば、私たちが次の標的になる。しかし移行にかかる費用は、私たちの年間IT予算の3倍に相当する」。
セキュリティの強度は、最も弱いリンクで決まる。
量子の時代の安全とは、誰のための安全か。
■もう一つの問い
事件から1カ月後、東京・丸の内の会議室で開かれた金融サイバー安全保障フォーラムの壇上に立ったICSA事務局長のダリア・ニコラエフ氏は、600人の参加者にこう問いかけた。
「今回の攻撃で奪われた情報は、現時点で把握できていない。しかし一つだけ確実に奪われたものがある。それは『デジタル金融システムは量子時代に対応できている』という前提だ」。
前提が崩れた時、何が残るのか。
技術は中立だ、とよく言われる。量子コンピュータは計算機だ。それが何を破壊し何を守るかは、人間の意図による。
その意図が、今回は——まだ、見えない。
12分の沈黙は終わった。しかしその沈黙が指し示しているものは、まだ解読されていない。
関連記事
本記事は2034年を舞台とした架空のニュースです。登場する人物・機関・統計データはすべてフィクションです。
