サイバー攻撃の標的は「データ」だけではない。インフラや工場なども狙われ始めている。あらゆるモノがインターネットにつながるIoTが、サイバー攻撃のリスクを拡大する。

狙われている重要インフラ
●世界で発生するIoTサイバー攻撃事件
(イラスト=浦上 和久)

 2015年12月23日午後3時35分。クリスマスを間近に迎えたウクライナ西部で大規模停電が発生した。およそ22万5000世帯で、数時間にわたって電力が途絶えた。

 週明けの12月28日、ウクライナ保安庁はこの停電がサイバー攻撃によって発生したものだと発表。ロシア政府が犯行に関与したと強く批判した。

 「サイバー攻撃で電力供給を止められる前例ができてしまった。業界の風向きが大きく変わった印象だ」。東京電力ホールディングスでサイバー防衛の現場をつかさどる、谷口浩システム企画室情報セキュリティ担当副室長は危機感をあらわにする。電力のような社会インフラを狙ったサイバー攻撃がもはやフィクションではないことを、ウクライナの停電事件が改めて世に示したからだ。

 米国のセキュリティー組織、SANSインスティテュートの調査によれば停電事件は、ウクライナ西部の3つの電力会社が運用する30カ所以上の変電所で、ブレーカーが遠隔操作によって遮断されることで発生した。

 電力業界を驚かせたのは、インターネットに直接つながっていない電力網の制御システムが乗っ取られたこと。攻撃の手口はきわめて周到で、これまでのサイバー防衛の常識がもはや通用しないことが明白になった(下図参照)。

 ウクライナの電力会社へのサイバー攻撃は、停電事件の6カ月以上前から始まっていた。

「インフラ攻撃」はフィクションにあらず
●ウクライナ停電事件の教訓
インフラ攻撃は現実に起きる
およそ22万5000世帯が数時間にわたり停電。政府機関の関与が確実とされ、ウクライナ政府はロシア政府を批判した
狙いは社会不安
電力会社3社を同時に攻撃。攻撃と同時に電力会社の電話窓口をパンクさせ、市民を動揺させようとした
インターネットにつながなくても危険
制御システムはインターネットにつながっていないが、制御システムを操作する管理者のパソコンが乗っ取られた
特殊なシステムも攻撃される
攻撃者は電力会社社員のパソコン画面やキー入力を6カ月以上監視し、制御システムの操作方法を学習した
社内ネットワークの常時監視が不可欠
社内ネットワークへの侵入を許してしまったため、「ファイアウオール」や「IPS」など社外からの攻撃を監視する装置では役に立たなかった

 攻撃者はまず電力会社の従業員に「標的型メール攻撃」を仕掛け、社内ネットワークへの潜入を図った。従業員がメールに添付された「マクロ入りのオフィス文書」をクリックすると、「ブラックエナジー」という非常に強力なマルウエア(悪意あるソフトウエアの総称)が従業員のパソコンに感染した。

 ブラックエナジーは、遠隔からユーザーのキー入力を監視したり、パソコンの画面情報を盗み見たりすることができる。攻撃者は6カ月にわたって従業員のパソコンをモニタリングすることで、電力網の制御システムにログインするIDやパスワードを特定した。それを使って、遠隔地から管理者のパソコンを乗っ取ることに成功。電力網を意のままに制御することで大規模停電を発生させた。

 攻撃者は停電と同時に、電力会社の電話窓口をパンクさせる攻撃も実行していた。住民は電力会社に連絡できなくなり、不安が高まった。「今回の攻撃の目的は停電ではなく、『おまえのインフラはすぐに落とせるぞ』という示威行動を通じて、サイバー攻撃の力を見せつけることが目的だった。もはや軍事活動と言っていい」。サイバーセキュリティーに詳しい、マカフィーサイバー戦略室の佐々木弘志シニアセキュリティアドバイザーはそう指摘する。

 事件の衝撃は日本にも伝わった。「電力システムに対する考え方が違うため、日本の電力網では同じことは起きない」と谷口氏は断言するが、東電内の危機感は日増しに高まっている。

 懸念材料の一つが、今年4月に実施された電力小売りの自由化だ。新電力が送配電網を使うようになると、多種多様な設備や機器が電力システムにつながることになる。既存の電力会社が想定しなかったリスクが、自由化によって生まれる可能性があるのだ。