デジタル侵入者が英国の飲料水システムを標的にしており、リスクが高まっているようです。
Recorded Future Newsは、飲料水の安全を確保する責任を持つ英国のDrinking Water Inspectorate(DWI)に対し、国内の水道システムに影響を与えたサイバー攻撃の詳細を情報開示請求しました。情報公開法を利用し、同サイトは2024年1月1日以降に発生した5件のインシデントを発見しました。
絶え間ない水道への攻撃
これが英国の水道システムへの初めての攻撃ではありません。2022年8月、Clopランサムウェア集団がSouth Staffordshire Waterを攻撃し、実際にはThames Waterだと勘違いしていました。この攻撃は顧客データの窃取が目的で、水の供給には影響しませんでしたが、企業のシステムには影響が出ました。
2023年末には、親イラン派のハッカーがアイルランドのメイヨー県で水の供給を妨害しました。Cyber Av2ngersというグループが侵入し、160世帯にわたり2日間断水を引き起こしました。この攻撃は、公共事業がイスラエル製のツールを使用していたことに対する政治的動機によるものでした。
これらは世界中の水道システムへの攻撃の一部に過ぎません。昨年2月、CISAは警告を発し、中国の国家支援グループが米国の水道施設内を9か月間にわたり横断的に移動していたことを明らかにしました。
この事件では、攻撃者が管理者のログイン情報を使ってアクセスし、数か月間インフラ内部でデータベースやその他の資産を物色していました。CISAはこの侵入をVolt Typhoonというグループに結び付けており、同グループは世界中の通信会社も標的にしています。攻撃者は「OT隣接」と表現され、水流を制御する運用技術に影響を与える可能性のある管理システムにまで到達していました。
攻撃は止まりません。先月にはカナダサイバーセキュリティセンターが、地方自治体の水道施設への攻撃を報告しました。ハクティビストが水圧を変更し、地域社会に「サービス低下」を引き起こしました。
攻撃者が重要な国家インフラを標的にするのは常に懸念されます。2021年に攻撃者がColonial Pipelineを標的にした際、侵害されたのは事務処理を行う管理ネットワークだけでした。しかし、同社は予防措置として燃料配送システムも停止し、米東海岸全体でガソリン価格が急騰しました。
法改正の可能性
水道システムへの多くの攻撃は、発生場所によっては報告されない場合があります。英国のネットワークおよび情報システム(NIS)規則では、重要な国家インフラ組織はサイバー攻撃を公表することが義務付けられています。ただし、それは攻撃が実際にサービスに支障をきたした場合に限られます。
これが、Recorded Futureが明らかにした攻撃がこれまで公表されていなかった理由です。懸念されるものの、英国の水供給には影響しませんでした。2022年のNIS規則のレビューでは、この限定的な開示を批判し、サービスに支障をきたす可能性のある攻撃がしばしば報告されていないことを指摘しています。
Recorded Futureに報告された攻撃は、DWIや供給業者によって自主的に開示されたものでしたが、今後の法改正により報告義務の基準が引き下げられる可能性があります。英国で提案されているサイバーセキュリティおよびレジリエンス法案は、開示要件を拡大し、水供給に影響を与える可能性のある攻撃についての透明性を高めるものです。同法案は2025年に議会に提出される見込みですが、時間は限られています。
圧力を受ける資源
英国ではすでに水資源が大きな脅威にさらされており、今年は大規模な干ばつが宣言されています。気象庁は、今年の2月から4月の降水量が1956年以来最も少なく、長期平均の半分しかなかったと報告しています。河川流量は急激に減少し、土壌の水分も低下、国家干ばつ対策グループが全国的な対応を協議しています。
水道会社はすでに不足を管理する計画を持っていると英国政府は述べています。しかし、サイバー攻撃が増加する中で、システムの防御も十分に強固なのでしょうか?
