「電力やガスなどの社会インフラに対するサイバー攻撃の脅威が高まっている」。
サイバーディフェンス研究所の名和利男氏(上級分析官)は11月2日、「インフラ分野の組織文化や商慣習の影響で潜在化するサイバー脅威」と題した講演で警鐘を鳴らした(写真)。チェック・ポイント・ソフトウェア・テクノロジーズが東京・紀尾井町で開催した「サイバーセキュリティー対策セミナー」に登壇した際の発言である。
同講演で名和氏は、大きく三つの話題に触れた。(1)電力、ガスなど社会インフラに対するサイバー攻撃の脅威が拡大していること、(2)攻撃側と防御側での意識やモチベーションに対する大きな差があること、(3)最近の攻撃側の主なタイプ、である。
(1)については、自由化で国内の電力会社やガス会社の顧客獲得競争が激化していることを背景に、社会インフラを制御するシステムのオープン化が進んでいると名和氏は指摘する。具体的には、メインフレームや専用プロトコルの通信で稼働していたシステムが、IA(Intel Architecture)ベースのWindowsサーバーや、TCP/IPを採用したシステムに置き換わってきた。さらにIoT(Internet of Things)とクラウドを活用する例も増えつつあるという。
こうしたオープン化やIoTの浸透は、制御システムの構築・運用コストを下げるメリットがある半面、サイバー攻撃を狙う犯罪者にとっては「攻撃対象が増加したことを意味する」(名和氏)。実例として、2015年12月にウクライナの電力会社が制御システムに対してサイバー攻撃を受けた結果、3時間にわたり停電したケースを名和氏は紹介した。
しかも厄介なことに、(2)のように攻撃側と防御側で意識の差が大きい。「登山に例えると、攻撃側はエベレストに挑戦するプロレベル。対する防御側は幼稚園の砂山レベルというくらいの差がある」と名和氏は表現する。
攻撃する側のモチベーションは高い。金銭的な対価が得られることでサイバー犯罪に手を染める人も増えているという。
一方、防御する企業側の危機意識は十分とは言いがたい。例えば、そもそも制御システムを操作するユーザー部門が、システムのオープン化を認識していない場合が少なからずある。また、「制御システムをインターネットに接続していないので、攻撃に遭う心配は少ないと誤解していることも多い」と名和氏は指摘する。「攻撃側は社内の情報系端末に侵入し、そこから制御システムを狙うことが多い。情報が漏洩したかどうかではなく、社内に侵入された時点で、インシデント(事故)として認識すべきだ」(名和氏)。
こうした状況を提示した上で、(3)の最近の攻撃側の主なタイプについても名和氏は紹介した。セキュリティに関する公開情報や、独自の調査で特定した情報を基に、外国の軍部、暴力的犯罪組織、メディアなどに影響され、強い不満を抱いた若年層などがサーバー攻撃を仕掛けていることが多いと明かした。「敵について知り、次いでセキュリティに対して脆弱になりがちな自身の状態を知ることが、セキュリティ対策の第一歩」(名和氏)。正しく危機感を抱いてほしいと語り、講演を締めくくった。
