配電システムなどの重要インフラに対する最近のサイバー攻撃の歴史は、私たちの生活に不可欠なシステムやサービスに対する防衛の必要性を浮き彫りにしている。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
2022年4月、ウクライナの送電網がサイバー攻撃にさらされた。Sandwormと呼ばれる集団が、同国の電力供給業者に対し、Industroyer2というマルウェアの展開を試みたのだ。Industroyer2とは、ESET社とCERT-UA(ウクライナのコンピューター緊急対応チーム)の調査によって明らかにされた高度なマルウェアで、2016年12月にキーウの一部地域を停電に陥れたIndustroyerの新たな亜種である。
さらに、2015年12月にはBlackEnergyというマルウェアにより、複数の配電会社のシステムが攻撃され、ウクライナのイヴァーノ=フランキーウシク地区に住む数十万人の住民への電力供給が数時間にわたり停止した。
これらの事件は、サイバー攻撃をSF映画の話だと考えていた人たちに衝撃を与えた。しかし、重要インフラへの攻撃にマルウェアが用いられたのはこれが初めてではない。
2010年6月、イランのナタンツにある核燃料濃縮施設がStuxnetという高度なマルウェアの攻撃を受けた。複数の遠心分離機が破壊され、結果として濃縮ウランの生産能力を大幅に低下させた。現在、Stuxnetは、初めて産業用システムを標的にし、現代の重要インフラに対するサイバー攻撃に用いられたマルウェアとしても知られている。
これら一連の攻撃は、さまざまな重要インフラが抱えるリスクを明示している。実際、現代のデジタル機器が登場するよりも、はるか以前から起きていることを歴史が示している。
200年前にさかのぼる重要インフラへのサイバー攻撃とは
18世紀の終わりまでに、フランスの皇帝ナポレオン・ボナパルトは、自軍の秘密情報の通信に高速で信頼性の高いネットワークを構築していた。「セマフォ」と呼ばれる光電信システムが、フランスのエンジニアであったクロード・シャップによって発明されている。基地局の職員が持つ秘密の暗号帳によってのみ解読できる視覚的な通信手段が具現化されたのだ。
このシステムは、16キロおきの高い丘に設置された基地局(塔)のネットワークによって構成される。各基地局の頂上には、操り人形のように動く機械式の木製のアームが2つ設置され、望遠鏡を装備した士官によって操作されていた。アームの位置によって暗号化されたメッセージが、基地局から基地局へと送られ、最終的に目的地へと届く仕組みだ。
このようにしてフランス軍は、馬を走らせる伝令よりも、はるかに早く遠方までメッセージを届けられるようになった。最後の基地局に到達すると、暗号帳を使って記号をフランス語に翻訳していたという。
これは当時としては画期的な仕組みであった。ナポレオンの軍隊は秘密の専用通信手段を手に入れたと思われた。しかしその数年後、この長距離通信ネットワークは、ハッキングの標的となる重要インフラの1つとなってしまった。1834年、フランソワ・ブランとジョセフ・ブランの兄弟が、初めての有線不正アクセス、つまりはじめてのサイバー攻撃といえるものを実行した。
この兄弟はボルドーの証券取引所で国債を売買していた。ボルドーの証券取引所は、パリの証券取引所における金利変動を指標にしていたが、この情報は馬で伝えられるため、フランス南西部にあるボルドーに届くまで最大5日かかった。ほかの人に先んじてパリの取引所の状況を知りたいと、彼らは考えた。
「セマフォ」の不正利用はうってつけで、その方法も単純だった。ブラン兄弟によって作られた特別なコードが、通常のメッセージに付与されて、共犯者がいるパリの基地局まで届けられた。このわずかなコードは、セマフォの暗号に照らし合わせると、無害なエラーとして表示され、大都市にあるいくつかの基地局の管理者によってチェックされ、削除されるだけであった。そこでブラン兄弟は、ボルドーに向かう途中にある基地局の管理者を買収し、自分たちのコードが修正されないようにした。
一方、ボルドーにいる最後の共犯者は、基地局を見張り、コードを読み取ってブラン兄弟に伝達した。そうして、長い間気づかれることなく、パリの証券取引所の最新情報を得ることができた。彼らは、政府によって整備された通信網を私利私欲のために悪用し、フランス軍の通信を混乱させたのだ。
2年も経たないうちに、ブラン兄弟のあまりの儲けぶりに周りから疑いの目を向けられるようになった。最終的には、その不正行為は暴かれることとなった。
最近では、攻撃者はより新しく、より狡猾な方法でサイバー攻撃を実行できるようになっている。
国会・銀行・研究機関の混乱と燃料価格の上昇
歴史は多くのことを教えてくれるだけでなく、繰り返されるものだ。少なくとも、似たような事件は起こる。現在、サイバー攻撃は数千もの小規模企業や個人、そして大企業や政府機関を攻撃している。
Claroty社が2021年に実施した調査では、米国・英国・ドイツ・フランス・オーストラリアで重要インフラの業務に携わるITおよびOT(オペレーショナルテクノロジー)のセキュリティ専門家1,000人のうち、65%が重要インフラへの攻撃に懸念があると回答した。また、その90%が2021年に攻撃を受けた経験があると報告している。
ブラン兄弟の不正行為は一般市民には影響を与えなかったが、ウクライナの電力網に対する攻撃は数十万人もの人々に影響を与えた。重要インフラへのサイバーリスクは、より深刻なものになってきている。
エストニア全体のネットワークに影響を与えた、初めてのサイバー攻撃
2007年4月27日の朝、ドミノ倒しのようにエストニア中のサービスが停止した。政府の通信網、銀行、電話会社、メディアサイト、ATM、国会のWebサイト、多くのオンラインサービスが含まれた。永遠のように思われた攻撃は、結局、22日間続いた。
デジタル先進国であるこの国では、サイバー空間が常に標的にされている。2007年時点で、エストニアは世界で最もデジタル化が進んだ国の1つであった。携帯電話で駐車料金を支払い、公共サービスはオンライン化され、投票さえもオンラインで可能であり、どこにでもWi-Fiがあった。しかし、デジタル化された先進国は、瞬く間に大混乱に陥ったのだ。
攻撃者が使ったのはよく知られる手法だった。DoS攻撃(サービス不能攻撃)の一種であるpingフラッドから、不正なWebサイトアクセスやスパムメールまで、それらの攻撃の多くはエストニア国外から送られていた。これほど大規模で継続的な攻撃に対し、わずかな防御策しか講じられていなかったのは間違いない。この苦い経験は、よき教訓として、ほかの国に対して自国におけるセキュリティの脆弱性に関する警告となるはずだった。
しかし、すぐに対処可能なソリューションはなく、攻撃者が望む限り攻撃は続いてしまう状況だった。多くの攻撃は海外から行われるため、エストニア政府や企業は海外からのすべてのトラフィックをブロックするようにした。世界中のISP(インターネットサービスプロバイダー)の協力を得て、悪意のあるトラフィックを特定・除去するための時間稼ぎのためだ。
しかしその結果、続く犯罪捜査では、法的根拠の不足により、具体的な所在地や人物を特定することができなかったため、ほとんど成果を得られなかった。唯一特定できたのは、20歳の大学生Dmitri Galuškevitšのみであった。彼は唯一エストニア国内で活動していたからだ。彼はパソコンを使って、エストニアの与党や改革党のWebサイトを攻撃していたため、罰金として1万7,500クローン(700ドル、8万9,000円相当)が科された。
COVID-19に関する情報戦
新型コロナのワクチン開発ほど、世界を団結させる機会はなかった。しかし、その取り組み方はそれぞれの国で異なっていた。世界中の研究機関は、世界初の安全なワクチンを開発するためのマラソンに挑んでいた。2020年4月23日、WHO(世界保健機関)は「サイバー攻撃が5倍に増加」したと職員へ報告し、警鐘を鳴らした。
そのわずか数日後、NCSC(英国サイバーセキュリティセンター)はCOVID-19の研究に臨む大学や研究所が複数のハッキング攻撃を受けていると警告した。その中には、ワクチンの開発に関するデータを集めるための他国からの攻撃も含まれている。
数か月後の12月9日、欧州の医薬品に関する規制当局であるEMA(欧州医薬品庁)がサイバー攻撃の被害に遭ったことを発表した。同日、BioNTech社はEMAのサーバーに保存されていたワクチン承認に関する文書が「不正にアクセスされた」ことを認めている。2020年12月22日のEMAの続報によると、何者かが内部のITアプリケーションの1つに侵入し、COVID-19の情報のみを狙ったとされる。その後、2021年1月13日に盗まれたデータが流出した。
この事件は、CERT-EU(欧州連合のコンピューター緊急対応チーム)とオランダ警察によって捜査された。しかし、その結果が公式に発表されることはなかった。オランダの新聞deVolkskrantによると、EMAの新しい職員のために設定された多要素認証のトークンを盗み、攻撃者はシステムへのアクセスを試みたという。同紙はまた、関係筋ではEUのCOVID-19対策を標的にした国家スパイ行為による事件だと考えていることも明らかにしている。
燃料供給が制御不能に
2021年5月7日、DarkSideと呼ばれるランサムウェアを用いる犯罪集団が、複数の脆弱性や漏えいしたパスワードを悪用してColonial Pipeline社を攻撃した。結果、米国最大の燃料供給システムが5日間にわたって停止した。57年にわたる同社の歴史において、初めての事件であり、ホワイトハウスから直接介入を受けることとなった。
このランサムウェア攻撃の影響は大きく、燃料不足により、いくつかの大手ガソリンスタンドチェーンが閉店に追い込まれた。米国の燃料価格は、2014年以来の高値に急騰した。
当初、この攻撃の規模から、国家が関与したハッキングを想定して捜査が進められていたが、結局、犯罪集団による営利目的の行為であると判明した。DarkSideは、攻撃への関与を認めたものの、政治的な意図は否定している。「我々の目的は金銭的な利益であり、社会に対して問題を引き起こす意図はない」と述べた。ただし、同集団はRaaS(ランサムウェア・アズ・ア・サービス)を提供することで知られている。ランサムウェアに対する身代金の支払いで440万ドル(5億6,300万円相当)を獲得し、その半分は後にFBI(米国連邦捜査局)によって回収されている。
サイバー攻撃は今後も続く
インターネットによって人々が容易につながることができるようになったのは驚異的な成果であるが、一方で、その代償も大きい。多くの人やシステムがネットワークでつながるにつれ、それだけ脆弱性が伴い、攻撃が増加し、より高度な手法も用いられるようになるということだ。デジタルとリアルのシームレスな結びつきは、インフラを有する政府や企業に対し、新たな防御策の必要性を迫っている。
近年、重要インフラを運営する事業者によって多くのセキュリティ対策が講じられてきたが、今もなおサイバー攻撃の対象となっている。社会にとって不可欠なサービスを被害から守る必要性が一層高まっている。