メキシコの新サイバー計画、初の実地試験に直面

メキシコが「Plan Nacional de Ciberseguridad 2025-2030」——国家サイバーセキュリティ計画——を採択してから7か月が経ちました。この戦略はまだ「拡張フェーズ」にある段階ですが、専門家によれば、開催中のFIFAワールドカップ2026が、政府によるこの計画の実行力を試す早期の試金石になっているといいます。

この計画は、メキシコのデジタル変革・電気通信庁(Agencia de Transformación Digital y Telecomunicaciones、ATDT)が策定したもので、連邦法制の刷新や政府全体でのサイバーセキュリティ能力の確立に向けた取り組みを導くことを目的としています。脅威インテリジェンス企業Recorded Futureが6月25日に公開した分析によれば、今年の計画では、第3四半期末までに国家サイバーセキュリティ戦略を策定すること、脅威を追跡するための国家サイバーセキュリティセンターを設立すること、そして政府・民間企業・学術界のサイバーセキュリティ専門家間の連携を強化することが求められています。

現在開催中のFIFAワールドカップ2026は、開催都市の中にメキシコの3つのスタジアムも含まれており、同国のサイバーセキュリティ対策に注目が集まる機会となっています。同レポートは、この大会がメキシコの対応能力を試す早期のテストになっていると指摘しています。

Recorded Futureはレポートの中で次のように述べています。「大会をめぐるサイバーリスクは高まる可能性が高いといえます。この種のイベントは、金銭的利益や混乱を狙うランサムウェア集団、ハクティビスト、詐欺行為者、認証情報窃取者、偽情報ネットワークにとって格好の標的が集中する環境を生み出すからです」。さらに「もしサイバーインシデントが発生すれば、メキシコにおけるサイバーセキュリティをめぐる世論の議論を左右し、対応の不備が見つかった場合には国際的な注目をさらに集めることになるでしょう」と付け加えています。

サイバー犯罪者、ハクティビスト、国家的な脅威アクターはいずれもメキシコ政府にとってのサイバーセキュリティリスクとなっています。Recorded Futureは、ワールドカップ開催前の時点でメキシコ企業のデジタルセキュリティリスクを「中程度」と評価していましたが、複数のサイバーセキュリティ企業によれば、大会の直前および開催期間中にサイバー攻撃が増加しているとのことです。加えて、今年はメキシコを狙った大規模な攻撃もいくつか確認されており、その一つが大規模なデータ流出の疑いです。もっとも、その多くは使い回されたデータだった可能性があります。また、少なくとも9つのメキシコ政府機関を標的としたAIを駆使した攻撃ではデータが窃取されたものの、運用技術(OT)システムへの影響には至りませんでした

攻撃にさらされるメキシコ(そしてラテンアメリカ)

ワールドカップ2026の開催3都市の安全を確保するため、メキシコ政府は「クククルカン計画(Kukulkán Plan)」と呼ばれる包括的な計画を策定しました。この計画には、国際的な協力の枠組みや、米国・カナダ・FIFAとの情報共有、担当官への専門研修などが盛り込まれています。政府はまた、リスク管理の訓練を実施し、スタジアムをはじめとする主要な観光拠点周辺の警備を強化しました。

昨年、メキシコは国家レベルでのサイバーセキュリティ対応力を高め、専用のサイバーセキュリティ法が存在しないという課題に対処するためのプロセスに着手しました。国家サイバーセキュリティ計画は長期的な文書であり、デジタルセキュリティを改善し、検知・対応能力を高めるために必要な文化や基盤づくりへとつながる、より包括的な戦略の土台となるものです。

Recorded Futureは分析の中で、「この計画は、メキシコのサイバーセキュリティにとって重要な局面で打ち出されました。これまでいくつもの注目度の高いサイバーインシデントが発生し、より高いレジリエンスと連携の必要性が浮き彫りになってきたからです」と述べ、さらに次のように付け加えています。「これらのインシデントが示しているのは、メキシコが抱えるサイバーリスクが特定の一機関や一分野に限られたものではないということです。断片化され連携の取れていない国家レベルの対応体制のままでは、公的機関がデータ窃取、サービス停止、ランサムウェア、そして評判の毀損にさらされたままになりかねません」。

Image

ニューヨーク大学の非常勤教授で、ラテンアメリカの通信インフラを専門とするホセ・フェリペ・オテロ氏は、この計画に関する分析の中で、この計画は良いスタートではあるものの、現状では運用技術(OT)やサプライチェーンのサイバーセキュリティに取り組むための十分な戦略がメキシコには欠けていると指摘しています。

同氏は次のように述べています。「この計画は相互依存関係を世界的な課題として認識してはいるものの、サードパーティリスクを評価するための具体的な対策や、ソフトウェア部品表(SBOM)の導入、技術提供者に対する最低限の管理要件の義務付けについては明示されていません。中小企業(SME)は国家経済の大部分を占め、グローバルサプライチェーンの不可欠な一部であるにもかかわらず、これらへの焦点は限定的です」。

増加する地域全体へのサイバー攻撃

加えて、メキシコの金融コンサルティング会社Nader Hayaux & Goebelによる現行のサイバーセキュリティ規制に関する分析によると、メキシコの連邦規制は現在、様々な法律・管轄権・規制体系が入り乱れた寄せ集め状態にあるといいます。

同社の分析は次のように述べています。「複数のサイバーセキュリティ法案が議会に提出され、審議の対象となってきました。しかし、いずれも成立には至っておらず、今後の立法論議の土台となり得る提案のまま留まっています」。さらに、「サイバー脅威の頻度と巧妙さが増していることを踏まえれば、サイバー関連の犯罪行為に対して明確な規制と罰則を定める包括的なサイバーセキュリティ法の必要性はますます高まっています」と指摘しています。

全体として見れば、メキシコが経験しているのはラテンアメリカ全体のサイバー脅威のごく一部にすぎません。同地域では、組織あたりの週間攻撃件数が前年比13%増加し、5月には週あたり約3,150件に達するなど、大幅な急増が見られています。

Recorded Futureはレポートの中で次のように述べています。「こうした情勢に直面する中、メキシコの組織はサイバー脅威の検知能力を強化し、脅威の可視化を優先課題とし、インシデント対応計画をより強固なものにしていく必要があります」。さらに、「あわせて、職員や一般市民に対して基本的なサイバー安全対策の教育を行い、インシデント発生時に迅速かつ的確に対応する方法について実践的な理解を築くことに重点を置くべきです」と付け加えています。

翻訳元: https://www.darkreading.com/cyber-risk/mexicos-cyber-plan-first-real-test

ソース: darkreading.com