読売新聞オンライン

メニュー

ニュース

動画

写真

スポーツ

コラム・連載・解説

発言小町

漫画

教育・受験・就活

調査研究

紙面ビューアー

その他

サービス

読売新聞のメディア

購読のお申し込み

読売新聞オンラインについて

公式SNSアカウント

生活インフラ「水道水」を狙うハッカーの脅威

東洋経済オンライン
メモ入力
-最大400文字まで

完了しました

アメリカやイスラエルで水道水を狙ったサイバー攻撃が相次いでいます(写真:bee /PIXTA)

アメリカ・フロリダ州中西部のタンパ湾に面する人口約1万5000人のオールズマー市で、今年2月5日の金曜日、衝撃的な事件が発生した。ハッカーが市の水処理施設の制御用コンピュータシステムに遠隔から侵入、水道水に含まれる水酸化ナトリウムの量を100倍以上に増やしたのだ。

酸性度を調整するため、水道水には通常、微量の水酸化ナトリウムが加えられている。しかし、大量に摂取すると、嘔吐、吐き気、下痢の症状を引き起こしかねない。この水処理施設が供給する水道水は、オールズマー市の住民と地元企業が使っており、最悪の場合、利用者たちの健康被害が発生してしまうところだった。

幸い、水処理施設の職員が異変にすぐに対応、水酸化ナトリウムの濃度を通常レベルに戻してことなきをえた。市当局によると、万が一、サイバー攻撃を検知できなかったとしても、水道水の酸性度の自動検査システムが機能して、警報が鳴ったはずだという。そのため、高濃度の水酸化ナトリウムの入った水道水が、住民に供給されることは防げただろうと市当局は見ている。

上司のリモートアクセスと勘違い

事件の流れを遡ってみてみよう。2月5日の午前8時、コンピュータ画面を眺めていた水処理施設の職員は、自分のカーソルが勝手に動き出したのに気づいた。しかし、上司がよくリモートアクセスして、施設のシステムを監視しているのを知っていたため、職員は、てっきり上司がカーソルを動かしているものと思い、気にもとめなかった。

ところが午後1時半頃、職員はまた誰かがシステムにリモートアクセスしてきたことに気づいた。その何者かは、3〜5分ほど、カーソルをあちこちに動かし、ソフトウェアの機能をいろいろ試しているようだった。そして、あろうことか、水道水の水酸化ナトリウムの含有量を通常の100倍以上に押し上げた。

職員は慌てて水酸化ナトリウムを通常レベルに下げ、担当者に一報を入れた。水処理施設は、すべてのリモートアクセスを無効化し、司法当局に通報した。

誰がこのような悪質なサイバー攻撃を行ったのかは、現時点では不明である。オールズマー市のあるピネラス郡の保安官は、週明けの2月8日の月曜日に記者会見を行い、サイバー攻撃がアメリカ国内から行われたのか、それとも海外からだったのかはわからないと述べた。

残念ながら、サイバー攻撃を受けた原因は複数存在する。この水処理施設では、業務効率化のため、複数のパソコンに「チームビューアー」と呼ばれるリモートアクセス用のソフトウェアをインストールしていた。ITシステムに問題が発生しても、職員同士でデスクトップ画面を共有し、チームワークで解決しやすくするためである。実際に「チームビューアー」を使って、上司が水処理施設のシステムを遠隔監視することもあった。

調査の結果、施設のサイバーセキュリティ体制に3つの大きな穴があったことが発覚した。第1に、職員間で「チームビューアー」のリモート接続用パスワードが共有されていた。パスワードが共有されていると、万が一、サイバー攻撃者がパスワードを見つけてしまえば、より多くのシステムに不正アクセスされてしまう。また、同じパスワードをずっと使い続けている場合、退職者に不正アクセスされ、情報漏洩してしまう危険性もある。

第2に、職員のコンピュータは、ファイアウォールを通さずにインターネットに直接つながっていた。ファイアウォールは、不正アクセスや情報流出を食い止める防火壁に相当する。

第3に、この施設では、2020年1月にサポートの終了したWindows 7を使っていた。メーカーのサポートが終了すれば、サイバーセキュリティ上の問題が見つかっても、対処されず、脆弱なままになってしまう。

アメリカ連邦政府当局は、サイバー攻撃者が脆弱なパスワードと古いOSなどサイバーセキュリティの隙を突いて水処理施設のシステムに侵入したものと見ている。

サイバー攻撃の背後に隠れた問題

残念ながら、アメリカの水処理施設は予算が不足しており、なかなかサイバーセキュリティにまで手が回っていないのが実情だ。

アメリカ水道協会が2020年に出した報告書によると、水道業界の最大の悩みは、老朽化した水道・汚水処理インフラの刷新である。アメリカ水道協会のアンケートに回答した水道業界の人々のうち、この問題を挙げたのはなんと59.2%にも上った。

アメリカの水道業界では、2020年に15件のサイバー攻撃被害が確認されている。それでも、サイバーセキュリティの重要度は、なんとか16番目(27.4%)にランクインしている程度だ。

フロリダの事件と類似したサイバー攻撃が、実はイスラエルで2020年に起きていた。そのため、イスラエル政府は、アメリカ政府に連絡を取り、情報提供など支援を申し出たという。

イスラエルのサイバー攻撃は以下のとおりだ。2020年4月、イランからと思われるサイバー攻撃がイスラエルの下水道や水道施設に仕掛けられた。

イランの関与との報道も

イスラエル政府の国家サイバー総局は、下水処理施設や揚水施設、下水道の制御システムがサイバー攻撃で狙われていると4月23日に警告を出している。そして、インターネットにつながっている制御システムや塩素制御装置のパスワードを直ちに変更するよう、エネルギー企業や水道・下水関連企業に指示した。パスワードが何らかの理由で変更できない場合は、制御システムをインターネットから切り離すよう求めている。

国家サイバー総局のウンナ局長は、サイバー攻撃のあった翌月、サイバーセキュリティに関する国際会議に登壇、この事件に言及した。国家サイバー総局がリアルタイムでサイバー攻撃を検知できていなければ、塩素や他の化学物質が水道水に通常以上のレベルで混ぜ込まれてしまい、大惨事を引き起こす可能性があったと語っている。幸い、サイバー攻撃へ迅速に対処できたお陰で、住民の健康被害や水不足は発生しなかった。

このサイバー攻撃は、イスラエルの家庭用の水道水に入れる塩素量を危険なレベルにまで増加させるため、イランが仕掛けたものではないかと報じられている。しかし、イランは関与を否定した。

一方、イランの主要港であるホルムズ海峡に面したシャヒド・ラジャイ港の港湾施設が、5月9日、サイバー攻撃を受け、船舶、トラック、貨物の流れを司るコンピュータが一斉にクラッシュしてしまった。その結果、周辺の水路と道路で大渋滞が発生、混乱は数日間続いた。

このサイバー攻撃は、イスラエルによるイランへの報復との報道もある。ただし、イスラエル政府は認めていない。

イスラエルとフロリダの事件は、私たちの生活において必要不可欠な飲料水でさえ、サイバー攻撃によって狙われうるものであり、日頃からのサイバーセキュリティ対策がいかに重要かを改めて示した。目に見えないサイバー攻撃によって、住民の健康被害というリアル世界での被害も発生しうるのだ。

攻撃者は防御の弱い箇所を探し、侵入を試みる。それを防止するには、パスワードの使い回しや共有はしない。サポートが終了し、サイバーセキュリティ対策が取りにくいOSやソフトウェアは使わないことが、当然求められる。

今回のフロリダの事件では、たまたま職員がリアルタイムで監視していたため、すぐに水酸化ナトリウムの異常値に対応でき、ことなきを得た。ことほど左様に、検知・対応能力は重要である。

業務や顧客、組織のブランドや評判を守るためには、ファイアウォールや侵入検知・防止システムを導入、サイバー攻撃の被害を食い止められる体制が必要だ。自動的にサイバー攻撃の兆候を見つけられるようにするには、人工知能(AI)を導入した検知システムの導入も有効である。

対応要領やシナリオを使った演習も

また、万が一、攻撃者が侵入に成功した場合にも備える必要がある。被害を最大限減らすには、対応要領を事前に作っておかなければならない。

サイバー攻撃らしき兆候を見つけた場合、誰にどのように報告すれば良いのか、サイバーセキュリティのどの専門企業とどのように連携する必要があるのか、どのタイミングで経営層に一報を入れるのか、どのような事象では記者会見を開くのかなど洗い出しておかなければ、迅速な対応は不可能である。被害はさらに悪化してしまうだろう。

対応要領を作った後は、最近のサイバー攻撃の事例に即したシナリオを使って定期的に演習を実施し、要領の有効性と組織の対応能力を確かめておくことも大切だ。残念ながら、NTTセキュリティの2019年の調査によると、こうした要領を持っている組織は世界に52%しかなかった。

フロリダの事件の背後には、パスワードの共有、ファイアウォールを使わないインターネット接続など、お粗末なサイバーセキュリティ体制があった。コロナ禍のテレワークでリモートアクセスの利用が増える中、今回の事件を他山の石とし、世界の組織が今一度サイバーセキュリティを見直す必要があろう。

無断転載・複製を禁じます
1947737 0 東洋経済オンライン 2021/04/01 00:15:08 2021/04/01 00:15:08 2021/04/01 00:15:08

ピックアップ

読売新聞購読申し込み

読売IDのご登録でもっと便利に

一般会員登録はこちら(無料)