情報セキュリティ専門の米民間団体SANインスティチュートが開催した会議で,米中央情報局(CIA)の上級アナリストが物議を醸す発言をした。SANはWebサイト上のニュース・レターでその時の様子を次のように伝えている。

 「CIA上級アナリストのTom Donahue氏がニューオリンズで水曜日(2008年1月16日),米国,英国,スウェーデン,オランダの政府関係者,ならびに北米全土の電気,水道,石油・ガス分野のエンジニアやセキュリティ管理者,その他基幹産業資産のオーナーなどで構成された300人の聴衆に対し,『CIAは米国国外の複数の地域から,サイバー上での施設侵入とこれに伴う恐喝の情報を入手している。確固たる証拠はないが,これら攻撃者の中には内部情報に精通した者がいると見ている。米国国外の複数の地域で,サイバー攻撃が電力施設の障害発生に利用されているという情報を得ており,このような障害が複数都市の停電につながったケースが少なくとも1件ある。これらの攻撃の実行者や目的は不明だが,すべてインターネット経由で侵入された』と語った」
(SANSのニューズレターより引用)

 「Donahue氏によると,CIAは今回情報を公表するメリットとリスクを徹底的に検討した結果,公表する方向に落ち着いた」(同)

 この話は本当だろうか。考え抜かれた議論の出鼻をくじくのに,あいまいで根拠のない噂ほど都合のいいものはない。しかし当然のことながら,誰でも自分の好きなように書くものだ。

 サンズのAlan Paller氏は,自ら進んで詳細を次のように語っている。

 「『過去2年間,実際にハッカーは,SCADA(Supervisory Control And Data Acquisition)システムを稼働させている複数の電力会社への侵入と恐喝を複数成功させている』とSANSインスティチュートのディレクタであるAlan Paller氏は述べる。SANSはハッキングの被害を受けた会社向けに危機対策センターを運営している組織だ。同氏は『何億ドルもの金が脅し取られており,実際の被害額はもっと多いだろう。会社は支払いを隠密に済ませてしまうため,正確に把握することは困難だ』とした上で,『この手の恐喝はネット犯罪の世界では言わずと知れた話だ』と語っている」(Forbes.com)

 さらに,その恐さを増長させるような記事もある。

 「複数の都市部を機能不全に陥らせるサイバーテロ攻撃の可能性を踏まえ,政府は今回の情報公開に踏み切った。この問題は『“関心を払う必要があるもの”から“今すぐ対処する必要があるもの”へと変わっている』とPaller氏は述べており,『だからこそ,政府は公表することを決断したのだろう』(同氏)という」(Information Week誌)

 噂に尾ひれがついた記事もある。

 「ある会議出席者は『業界では今回の話を十分に把握しておらず,そこにいた多くの出席者が衝撃を受けた』と話した。この人物は『恐喝者が電力網に何らかの攻撃を仕掛け,複数都市への電力供給を停止させた事例が間違いなく複数あり,これは物理的な攻撃ではなかったようだ』としている」(ibls.com)

 業界関係者が必要以上にオーバーに語っている記事もある。

 「この1年から1年半で,『全米のインフラ網に焦点を当てた攻撃はけた外れに増加しており,..(中略)..攻撃者たちは国外から侵入してきている』と,サイバー・セキュリティ会社の米ローガン・グループで社長を務めるRalph Logan氏は語った」(The Washington Post紙)

 「Logan氏は『このような攻撃の大元を突き止めるのは困難である。これらの攻撃は通常,三つから四つのコンピュータ・ネットワークを隠れ蓑に使い身分を偽装して仕掛けられるからだ』と述べている。同氏が語ったところでは,攻撃の発生源となっているコンピュータは,テロリスト集団でなく外国の政府や軍が所有するものだという」(同)

 これらの記述で,筆者の疑念はさらに膨らむ。偽の模擬攻撃はおくとして,SCADAシステムには間違いなく重大なリスクが存在する(Ganesh Devarajan氏はハッカーを中心とするセキュリティ・システムの会議「DefCon」で今後考えられる攻撃対象について語った)が,今の時点で,SCADAは当面の危険よりも将来的な脅威の方が上回っていると思う。にもかかわらず,今回のCIAのネタは,攻撃がどのようなものだったのかが何も示されていない。攻撃はSCADAシステムに対してだったのか,あるいは汎用コンピュータ(当てはまるとすればWindowsマシン)に対してだったのか。部内者が関与している可能性があるとしたら,本当にコンピュータ・セキュリティのぜい弱性によるものなのか。何も手がかりがない。

 サイバー攻撃を利用した恐喝は間違いなく増えている。どんなに覆い隠されていても分かる。基本的には,バミューダやケイマン諸島などのオフショアで運営されている,オンラインのギャンブル,ゲーム,ポルノといった産業に対するものだ。今後主流になっていくとはいえ,電力会社をターゲットとした恐喝を筆者が耳にしたのは今回が初めてである。その可能性はもちろんあるのだが,今回の話はCIAの虚報の一部なのか,凄みを利かせるために付け加えられただけなのか?

 オンライン辞書のWikipediaには,これまで発生した停電のリストが掲載されている。ハッカーが引き起こしたものはどれなのか。もっと詳細があればいいのだが。

 パニックに陥る前に,もう少し情報がほしいところだ。

SANSの引用記事:
SANS NewsBites - Volume: X, Issue: 5

ニュースの引用記事:
Hackers reportedly targeting cities' power systems
Hackers Cut Cities' Power
INTERNET LAW - CIA Report: Cyber Extortionists Attacked Foreign Power Grid, Disrupting Delivery
CIA Admits Cyberattacks Blacked Out Cities
Hackers Have Attacked Foreign Utilities, CIA Analyst Says
CIA Says Hackers Have Cut Power Grid
CIA Claims Cyber Attackers Blacked Out Cities

SCADAの模擬攻撃:
Schneier on Security

DefConでの講演:
Unraveling SCADA Protocols: Using Sulley Fuzzer

Wikipediaに掲載されている停電リスト:
List of power outages

Copyright (c) 2008 by Bruce Schneier.

◆オリジナル記事 「Hacking Power Networks」
「CRYPTO-GRAM February 15, 2008」
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,2006年10月に英BTの傘下に入りました。国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。