オールドスマー浄水場のハッキング
2021 年 2 月 24 日 Filza Hassan 著
攻撃者が、フロリダ州オールドスマー市の水処理システムの制御システムをハッキングして水酸化ナトリウムの含有量を増加させた事件が報道されています。攻撃の対象となった浄水場はフロリダ州タンパ郊外の企業と約 15,000 人の住民に飲料水を供給していました。この攻撃が住民に危害を加えるためのものだったのか、犯人は化学薬品に詳しく、過剰な水酸化ナトリウムが炎症、火傷、一時的な脱毛、細胞の損傷その他の合併症を引き起こして人間の健康を悪化させることを知っていたのか、逆に、レベルを下げた場合の悪影響を知っていたのかは不明です。法医学機関、FBI、シークレットサービスは、今回公共上水設備に攻撃を仕掛けた人物を明らかにするため捜査を続けています。
経緯
古いバージョンの Windows とサイバーセキュリティの脆弱性を利用し、ハッカーはフロリダ州の町の浄水場のコンピュータシステムに侵入して、一時的に水道を制御することに成功しました。遠隔アクセスをした人物は、水酸化ナトリウムの量を、100 万分の 100 から100 万分の11,100、つまり 100 倍以上に増やしました。今回は回避できたものの、これが原因で集団中毒を引き起こす恐れもありました。この事件は、貧弱なセキュリティに警鐘を鳴らしています。今回のハッキングでは、休眠状態にあったリモートアクセスソフトウェアが使用されましたが、同様の状況は、下水道システム含めさまざまな他のシステム、また、あらゆる町で起こり得ます。ネットワークセキュリティはどのような場所にも必要である、という意識を持つことが重要です。
セーフガードとセキュリティ対策
1. モニタリング、アラート、ログ
何かが高すぎるレベル、あるいは低すぎるレベルになると問題が起こる場合には、アラートと閾値モニターの設定を第 1 に考慮すべきです。一般的なセキュリティとして、ログをデバッグに活用し、有意なログメッセージを保存するようにしてください。アプリケーション上で実行されたすべてのユーザアクションを記録する監査ログも必要です。イベントやメトリクスの集計を含むダッシュボードでのモニタリングを追加することで、日次 / 週次の傾向に気づくこともできます。今回の事件に関して良かったのは、モニタリングプロトコルが存在したために、もし水酸化ナトリウムが毒性を持つレベルまで増加してそれに気がつかなかった場合でも、システム内のアラームは pH レベルの変化を検知しただろう、と市が明言していることです。
2. リモートアクセスの保護とモニタリング
リモートアクセスに関しては、たとえ企業のトップであってもそのリモートセッションを受け入れる前に 二要素認証を要求するか、ログインしているユーザからの承認を必要とすべきです。これは、スーパーバイザーへのアクセスや緊急時のための 1 週間のスケジュールを決めておくことが必要です。この事件が浄水場の従業員が共有デスクトップをまさに見ている間に起きていたは反省点です。スーパーバイザーがリモートアクセスをすることは実際にたびたびあったため、当時のオペレーターはあまり気にしていなかったようです。不正使用を検出した場合は、直ちにリモート接続を無効にする必要もあります。
3. 使用中のソフトウェアへの意識を高める
サイバー攻撃では、ものの数分、数秒が重大な意味を持ちます。使用するすべてのサードパーティ製アプリケーションを監査して弱点を特定し、最新のファームウェアバージョンにアップデートしてください。この攻撃では、攻撃者は TeamViewer を使用して約 3~5 分間、システムへのリモートアクセスを行いました。サイバー犯罪者がどのようにして、ログイン認証情報を取得したのか、TeamViewer の技術的な詳細はわかっていません。認証情報はそのデバイスでのみ設定され、暗号化されているためです。この事件について不明な点が多く存在しています。
4. IT とセキュリティの専門スタッフを配置する、あるいはサービスプロバイダと連携する
自治体における水道事業は、資金、リソースともに大幅に不足していることがほとんどで、サイバー攻撃の標的になりやすくなっています。昨年新型コロナウイルスが大流行し、多くの人がリモートワークを余儀なくされています。それに伴い、組織が重要なインフラストラクチャのコンピュータネットワークをインターネット上に公開しています。経験の浅い従業員の管理下でリモートアクセスが増えれば、セキュリティ対策がなおざりになったり、設置に時間がかかったりすることも起こります。すべての産業用制御システムは常にアップデートされ、最大限の保護を発揮してマルウェアを検出できる必要があります。今回のオールドスマーのハッキングは、更なるトレーニングの必要性、そして基本的なセキュリティプロトコルの必要性を強調しています。
この攻撃が国内、国外どこから行われたのか、また他の都市やそのセキュリティプロトコルへの警告として行ったのかどうかは不明です。影響を受けた水が実際に水道に届くまでには 24 時間から 36 時間かかっていたと推測されるため、悪質な攻撃ではないことは間違いありません。犯人がリモートアクセスで攻撃を行った動機については、捜査当局はまだ解明できていません。1 週間前に Chemistryworld が、なぜ微量の水酸化ナトリウムが一般的に飲料水に添加されているのかについての詳細を公開しています。これを踏まえて多くのサイバーセキュリティの専門家は、犯人は水酸化ナトリウムの含有量増加がもたらす結果については意識せずに、今回は脆弱性を発見しただけであり、このようなアクセスを利用して何ができるかを把握しようとしているだけである、と述べています。次に来るのは、国家に対する攻撃や、世界的な危機をもたらすサイバー攻撃かもしれません。