「完全性」を損なう攻撃も–生活インフラのセキュリティリスクと対策

今回は「「完全性」を損なう攻撃も–生活インフラのセキュリティリスクと対策」についてご紹介します。

関連ワード (スマートシティーのセキュリティを考える、セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 2021年2月5日、米国フロリダ州タンパ近郊のオルズマー市の浄水システムに対して、何者かがリモートアクセスにより侵入し、水処理に関する複数の不正操作を行うというセキュリティ事故が発生した。その中には、水酸化ナトリウムの量を調節する機能を不正に操作し、本来の調合量である100ppmから111倍の濃度である11100ppmに変更するものがあった。幸いなことに、オペレーターがすぐ対処し、リモートアクセスを停止させたため大事には至らなかった。仮にオペレーターがすぐ行動をしなかったとしても、上水道に直接的な影響が出るまで24~36時間の余裕があったという。その他にも、水質管理のプロセスがあり、当局は記者会見で、この件だけであれば住民の被害が出る可能性は少なかったとの見方を示した。

 実際に住民に被害が出なかったことや日本に関する事案ではないこともあって、日本のメディアの扱いはさほど大きいものではない。しかし、本件は制御システムのセキュリティに関して、非常に多くの気づきを与えてくれる事案である。また、浄水システムはスマートシティーの構成要素でもあり、本連載の主題と共通点が多い。今回は、本事案を掘り下げることで、スマートシティーにおけるセキュリティ課題と対策を考察する。

「可用性」よりも怖い「完全性」を損なうサイバー攻撃

 まず特筆すべきなのは、本件がデータの「完全性」の侵害、すなわちデータの改ざんによって、物理的な被害をもたらす攻撃である点だ。

 一般の情報システムにおけるサイバー攻撃で連想するのは、「個人情報」や「営業機密」などの重要情報を窃取されることだろう。過去には、2015年の日本年金機構での情報漏えい事案など数多くの事案がメディアを騒がせてきた。これは、情報セキュリティにおける保護すべき3要素の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」のうち、「機密性」を侵害する攻撃といえる。

 一方で、クラウドやIoT活用の進展により、情報システムのみならず、さまざまなデバイスや制御システムがITを活用して相互に接続するようになると、マルウェアがデータを暗号化して解除のための身代金を要求する(ランサムウェア)攻撃によって、制御システムの「可用性」に影響が出る事態が発生している。日本では、2020年6月に、ランサムウェアの感染によってホンダの工場が停止した事案が記憶に新しい。ただ、工場の種類にもよるが、「工場が停止する」事案が仮に起こったとしても、そのリスクを低減するために必要な人的リソースやソリューション導入の「費用」に比べると被害が小さく、積極的にセキュリティ対策を講じる動機にはならないとも聞く。要は、「工場止まる程度なら、起きてから対処すれば良い」というわけだ。

 しかし、オルズマー市で発生した本事案は、データの「完全性」を損なうサイバー攻撃である。すなわち浄水システムのデータの改ざんが、1万5000人もの住民の健康被害につながる可能性があった。これはある意味で、システム停止よりもやっかいな攻撃である。先ほどの工場に例えれば、操業が止まるだけだと思って安心していたら、製造データが改ざんされることで、市場に不良品が出回るリスクがあるということである。データの改ざんは、ランサムウェアのように派手に可用性を損なう攻撃に比べて発覚が遅れやすいという特徴がある分、リスクが拡大しやすいのだ。

 実際、データの「完全性」が侵害されるリスクは、スマートシティーの他のシステムにおいても高い傾向にある。図1で本連載の第3回に示した「電気使用量の利活用におけるセキュリティリスクの整理」を再掲したが、ご覧の通り、データの完全性の侵害によるリスクが、プライバシーの侵害と並んで高いという分析結果が得られている。要は、サイバー空間と物理空間が密接につながるデータ中心の社会は、その根幹のデータが改ざんされ、信頼できなければ、社会の存立そのものに大きな影響を与えるということだ。その意味で今回のサイバー攻撃が、水道の停止を目的としたものではなく水質の操作だった点は、スマートシティーのセキュリティの脅威を考える上でも重要な示唆として捉えるべきである。

国立情報学研究所 喜連川所長が懸念する「スマートシティーで ...

 · スマートシティーのセキュリティを考える セキュリティインシデント対応の現場 エンドポイントセキュリティの4つの「基礎」 企業セキュリティ ...

スマートシティー構想、Society5.0、NEC未来創造会議や新 ...

2020年4月に発足した一般社団法人LIVING TECH協会。「人々の暮らしを、テクノロジーで豊かにする。」の実現を目指して住宅関連事業者やメーカー、流通・小売りに携わる企業が集い、まずは、ユーザーに心地良いス...

ASCII.jp:みなとみらいで考える 横浜×産学官の街づくり

「イノベーション都市・横浜」を宣言した横浜市が、2020年10月16日にニッサンパビリオンにて「イノベーティブ&クリエイティブな生活様式を目指して ~横浜だからこそできることを一緒に探求&創出する~」と題したイベントを開催した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「アジャイルソフトウェア開発宣言」から20年–いかに実践されているのか
IT関連
2021-03-19 03:17
レオパレス21、「鍵の紛失」など入居者の電話対応をAI音声で自動化
IT関連
2023-03-05 20:43
ギグワーカーを非従業員とするカリフォルニアの条例Prop 22を高裁が憲法違反と判決
IT関連
2021-08-23 00:39
Apple、児童保護目的でユーザーの「メッセージ」とiCloudの「写真」の画像検出を実施へ
アプリ・Web
2021-08-08 21:31
リクルート、最大10万IDが利用可能な次期汎用ワークフロー基盤を構築
IT関連
2022-09-30 16:45
ハイブリッドワークを求める声は強まっている–デロイト調査
IT関連
2023-09-14 15:15
さくらインターネット、石狩データセンターの二酸化炭素年間排出量がゼロになると発表
クラウド
2023-06-15 18:52
コンポーザブルアーキテクチャーはユーザーに選択肢を与える–リミニストリートのラビンCEO
IT関連
2023-05-24 14:37
マイクロソフト、「Azure AI Speech」のアップグレードを発表
IT関連
2024-05-23 13:28
暗号資産で国境を越える面倒な「クロスボーダー決済」を簡単、迅速にできるようにするMercuryo
フィンテック
2021-06-27 03:00
「Android」版「Gemini」、ロック画面から利用可能に
IT関連
2024-07-23 13:57
パーソルマーケティングら、営業DXを推進するメニューを展開–ツール導入など支援
IT関連
2022-11-19 14:43
Chatwork、BYODサービスを提供開始–柔軟で多様な働き方の実現に向けた選択肢を拡充
IT関連
2022-05-24 04:33
グーグルの「Workspace」、ハイブリッド勤務に向けた新機能を追加
IT関連
2021-03-02 14:30