ISIT | アイ・エス・アイソフトウェアーがお届けするIT通信

第七回 スマート化する世界

機密情報を公開するウェブサイトのWikiLeaksがCIA(米中央情報局)が世界中のシステムに侵入するために利用しているハッキングツールに関する文書数千点を公開しました。

公開された文書を確認してみると、前回お話しました自動車の制御システムをハッキングする方法についても目的は明記されていないものの2014年の時点で既にCIAが模索していたことが分かります。

自動車や飛行機、家電などがネットワークに繋がる世界についてこれまで見てきましたが、スマートコミュニティやスマートファクトリーなど世界がスマート化され相互に接続されることで、より一層サイバー攻撃からの脅威が増大していきます。

世界のスマート化と脆弱性の脅威

ドバイでは貿易・文化および高い生活水準のための安全で開発された都市・ハブセンター、そして中東と北アフリカにおける経済のハブ化を目指すために、スマートシティ計画として「スマートドバイ」を2014年に発表しました。

2020年までに都市のスマート化、2030年までには自動運転なども含めたスマート・モビリティの実現に向けて動いています。そこでは、世界一大きなモールやビルを含む、ドバイの20,000棟の建物が、遠隔で相互に制御できるクラウドベースのプラットフォームに接続されています。

しかし、これらを管理するシステムにはセキュリティが実装された開発がされておらず、施設とデータセンターを接続する機器には固有の脆弱性が存在するということが、後になって分かりました。

例えば、ネットワーク・ビルディングを調整する米国製の製品には、制御システムのコントロールを乗っ取ることができるという最も危険な脆弱性が存在します。また、インターネット上で販売されているパケット盗聴ツールや侵入ツールを用いることで、誰でもビルのネットワークから情報を持ち出すこともできてしまいます。

これらの脅威は、他のスマート化された施設にも同様の脅威となり、施設のセキュリティ担当者にとって新たな課題となっています。

このように大規模なスマート化だけでなく、近年では日本の家庭でも徐々に普及し始めてきたHEMS(ヘムス:ホーム・エネルギー・マネジメント・システム)に関しても、機器・設備を不正に遠隔操作を行うことが可能であるという研究結果が、2014年に米国のセキュリティ・カンファレンスで発表されました。もはや、施設の大小に関わらず、サイバー攻撃の脅威に直面していると言えます。

年々起こるサイバー攻撃の脅威

そして、社会を支える側であるインフラへのサイバー攻撃も各地で発生しており、2003年には、米国で原発の制御システムがウイルスに感染したことで、約5時間にわたり停止しました。2008年には、トルコの石油事業者のネットワークに何者かが侵入し、 パイプラインの圧力を高める操作を行ったことで石油パイプラインが爆発。
2015年には、日本でもメディアで大きく取り上げられましたが、ウクライナでマルウェアに感染した管理者の端末から変電所が遠隔制御され、数万世帯で3~6時間にわたる大停電が発生しました。

ウクライナの変電所が攻撃された事件では、システムが旧型であったため、配電盤を直接操作することで数時間で復旧することができました。もし同じ事件が日本で発生した場合は、ウクライナよりもより近代的なシステムのため、復旧作業には数週間を要する、すなわち数週間の停電の可能性もありうると言われています。

攻撃対象にされる16のセクター

セキュリティ対策がされるようになってきた金融機関を狙うのではなく、これまで金融機関を狙っていたのと同じツールを用いて、クリティカルなインフラストラクチャーが攻撃されるようになってきたと、ロシアのセキュリティ技術者が述べていたのですが、セキュリティ対策について考える上で、このことは非常に大きなポイントです。

特に社会インフラがサイバー攻撃の被害を受けた場合、私たちの生活に及ぼす影響は計り知れないでしょう。米国でも国土安全保障省によって、次の16のセクターが、狙われると危険な社会インフラとして分類されています。

「化学」「商業施設」「通信」「製造」「ダム」「国防」「救急」「エネルギー」「金融」「食品・農業」「政府施設」「ヘルスケア」「IT」「原子力」「交通」「上下水」

Iot化によって、低エネルギーで高付加価値なサービスを実現できるため、産業向けの制御装置や、スマート化を実現するためには、IoT機器が欠かせません。
しかし、IoTの普及が同時に新たな脅威へのきっかけとなっていることもまた事実です。

そのため、2015年には日本の電気事業法にサイバーセキュリティ対策の項目が追加され、新電力も含めた電気事業者に対し、この遵守を求めています。ようやく重要インフラである電力から、サイバーセキュリティに対する比較的厳しい規則が定められましたので、今後は徐々に他の産業分野などにも広がっていくことでしょう。

執筆者

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。 テレビのコメンテーターなどにもアドバイスを行なっている。

セキュリティ特集

  1. 第一回 サイバー犯罪の代理人
  2. 第二回 サイバー世界の武器商人
  3. 第三回 セキュリティ上の欠陥
  4. 第四回 脅威に変わるとき
  5. 第五回 セキュリティ対策がされていない
  6. 第六回 埋められない穴
  7. 第七回 スマート化する世界
  8. 第八回 狙わない理由はない