ノルウェーでの疑わしい破壊工作とポーランドで未遂に終わったサイバー攻撃が、十分に保護されていない水道事業体へのリスクの高まりを浮き彫りにしていると専門家は警告しています。
先週、欧州の指導者たちによって報告された2件の事件は、政治的動機によるサイバー犯罪の中でも最も不安を呼ぶ形態の一つ、すなわち地域の水道施設への攻撃に再びスポットライトを当てました。
まず、ノルウェー警察保安局のベアテ・ガンゴース局長が、ロシアのハッカーが関与している可能性が高いと述べたのは、ノルウェー西部リスヴァトネ湖のブレマンゲルにあるダムで4月に発生した疑わしい破壊工作です。犯人はダムのバルブの一つを開けて水量を増やしました。報道によれば、バルブは約4時間開いたままでしたが、周辺地域に危険はありませんでした。
翌日、ポーランドのクリシュトフ・ガウコフスキ副首相(デジタル担当大臣も兼任)は、ポーランドの大都市の一つがその週、サイバー攻撃により水道供給を停止される可能性があったと述べました。ガウコフスキ氏はこの攻撃がロシアのハッカーによるものだと示唆しましたが、詳細は明らかにしませんでした。攻撃は何らかの形で未然に防がれました。
両方の報告は、ドナルド・トランプ氏とロシアのウラジーミル・プーチン大統領がアラスカでウクライナ戦争について会談する直前に出され、ヨーロッパ各国の首都に恐怖と疑念をもたらしました。政治家がロシアのサイバー攻撃の脅威を強調するのは政治的に有利に見えるかもしれませんが、専門家はこれらの事件が、重要インフラの中でも最も無防備な部分に対するロシアの攻撃性について正当な懸念を提起していると指摘します。
「ロシアはこうした実行が容易な攻撃をよく使って様子を探る」と、元ホワイトハウス国立サイバー副局長代理で現在シカゴ大学サイバーポリシーイニシアチブの事務局長であるジェイク・ブラウン氏はCSOに語ります。「私が知っているロシアの専門家のほとんどは、これが何十年、場合によっては何世紀にもわたる彼らのやり方だと言っています。様子を探るのは、将来のより大規模な攻撃の前触れに過ぎません。」
専門家は、米国および欧州の水道事業体はこれらの事件を早期警告の指標とみなすべきであり、サイバーセキュリティ防御能力の構築と更新に一層取り組む必要があると提案しています。
親ロシア派Z-Pentest Allianceがダム攻撃に関与
テレグラムに投稿された動画は、ノルウェーのダムで4月に発生した攻撃の様子を映しているとされています。ABSコンサルティングの産業サイバーセキュリティディレクターであるロン・ファベラ氏は、4月にこの動画を偶然発見し、Z-Pentest Allianceによる典型的な手口だと述べています。このグループはセルビア起源の可能性もありますが、親ロシアのOT(運用技術)脅威アクターと見なされています。
動画には、攻撃者がダムのヒューマン・マシン・インターフェース(HMI)で制御をいじり、水流や水位を変更しようと四苦八苦する様子、そしてロシアのパンクロックグループの音楽をバックに、操作されたシステムの状態が最後に映し出されています。
米国で若いロシア人アマチュアハッカーによるとみられる類似の攻撃が続いた時と同様に、ダムの攻撃者たちも自分たちが何をしているのか分かっておらず、多くのミスを犯していました。「面白かったのは、設定値の一つがパーセンテージだったのに、彼らはそれを読まずに999%と入力しようとしたことです。システムは賢いので『それは無理』と拒否しました」とファベラ氏はCSOに語ります。「このことから、彼らが操作しているシステムを理解していないという私の仮説が裏付けられます。」
ノルウェー当局は攻撃をロシアのせいだとしていますが、ファベラ氏は国家レベルの直接的な関与はないと考えています。「本物の国家ハッカー、たとえば我々で言うCIAのような組織は、ツイッターやテレグラムで自慢したりしません」と彼は言います。
しかし、ブラウン氏はクレムリンの関与を否定できないと考えています。「ロシアは犯罪組織と共生関係を築き、隠れ蓑として利用しています」と彼は述べます。「これが単なる子供のハッカー集団に見えても、ロシア政府が完全に黙認していないとは限りません。」
ポーランドで未遂に終わったサイバー攻撃の犯人特定は、政府がほとんど情報を公開していないため容易ではありません。ファベラ氏は、テレグラムや他の通信チャネルでポーランド資産への攻撃に関する話題は「通常のDDoS攻撃以外は特になかった」と指摘します。「もし私が脅威アクターで水道を止めかけたら、自慢はしないでしょうね」とも述べています。
水道事業体は警戒を怠るべきでない
ほとんどの水道施設運営者は、長年にわたりロシア、イラン、中国の脅威アクターから標的にされやすいと繰り返し警告されてきましたが、専門家は今回の事件が警戒を続け、セキュリティ対策を強化する必要性を改めて浮き彫りにしたと述べています。
水道資産の所有者が「オンラインで何らかの制御システムを持っているなら、それはやめるべきです。いずれこうした脅威アクターが通りすがりに動画を撮って騒ぎを起こすリスクがあるからです」とファベラ氏は言います。
この種のメッセージは、水道事業体の行動を促す可能性が高いといいます。「私が話した多くの事業体は、影響そのものよりもFBIからの電話の方を心配しています」と彼は語ります。
シカゴ大学のブラウン氏は、慢性的に資金不足の水道事業体は「CIOの雇用やコンサルタントの導入など、サイバーセキュリティ向上のための資金調達方法を真剣に検討すべきだ」と述べています。
資金調達が難しい場合でも、米国にはDEF CON Franklinプロジェクトのような、ブラウン氏自身が主導する無料のボランティアやサイバーセキュリティツールを提供するリソースがあります。「私たちは無料で、今後も無料で水道事業体が自らを守る方法について喜んでアドバイスします」とブラウン氏は語ります。
米国外の事業体には、同様に無料リソースを提供するCyber Peace Initiativeを勧めています。
どのような方法であれ、水道事業体はサイバーセキュリティにより一層注意を払う必要があります。「水は生命維持に不可欠な重要インフラの中でも最も重要なものの一つです」とブラウン氏は述べます。「最も必要不可欠であると同時に、最も保護が手薄な分野でもあります。」
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。