2021年2月5日、米国フロリダ州タンパ近郊のオルズマー市の浄水システムに対して、何者かがリモートアクセスにより侵入し、水処理に関する複数の不正操作を行うというセキュリティ事故が発生した。その中には、水酸化ナトリウムの量を調節する機能を不正に操作し、本来の調合量である100ppmから111倍の濃度である11100ppmに変更するものがあった。幸いなことに、オペレーターがすぐ対処し、リモートアクセスを停止させたため大事には至らなかった。仮にオペレーターがすぐ行動をしなかったとしても、上水道に直接的な影響が出るまで24~36時間の余裕があったという。その他にも、水質管理のプロセスがあり、当局は記者会見で、この件だけであれば住民の被害が出る可能性は少なかったとの見方を示した。
実際に住民に被害が出なかったことや日本に関する事案ではないこともあって、日本のメディアの扱いはさほど大きいものではない。しかし、本件は制御システムのセキュリティに関して、非常に多くの気づきを与えてくれる事案である。また、浄水システムはスマートシティーの構成要素でもあり、本連載の主題と共通点が多い。今回は、本事案を掘り下げることで、スマートシティーにおけるセキュリティ課題と対策を考察する。
「可用性」よりも怖い「完全性」を損なうサイバー攻撃
まず特筆すべきなのは、本件がデータの「完全性」の侵害、すなわちデータの改ざんによって、物理的な被害をもたらす攻撃である点だ。
一般の情報システムにおけるサイバー攻撃で連想するのは、「個人情報」や「営業機密」などの重要情報を窃取されることだろう。過去には、2015年の日本年金機構での情報漏えい事案など数多くの事案がメディアを騒がせてきた。これは、情報セキュリティにおける保護すべき3要素の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」のうち、「機密性」を侵害する攻撃といえる。
一方で、クラウドやIoT活用の進展により、情報システムのみならず、さまざまなデバイスや制御システムがITを活用して相互に接続するようになると、マルウェアがデータを暗号化して解除のための身代金を要求する(ランサムウェア)攻撃によって、制御システムの「可用性」に影響が出る事態が発生している。日本では、2020年6月に、ランサムウェアの感染によってホンダの工場が停止した事案が記憶に新しい。ただ、工場の種類にもよるが、「工場が停止する」事案が仮に起こったとしても、そのリスクを低減するために必要な人的リソースやソリューション導入の「費用」に比べると被害が小さく、積極的にセキュリティ対策を講じる動機にはならないとも聞く。要は、「工場止まる程度なら、起きてから対処すれば良い」というわけだ。
しかし、オルズマー市で発生した本事案は、データの「完全性」を損なうサイバー攻撃である。すなわち浄水システムのデータの改ざんが、1万5000人もの住民の健康被害につながる可能性があった。これはある意味で、システム停止よりもやっかいな攻撃である。先ほどの工場に例えれば、操業が止まるだけだと思って安心していたら、製造データが改ざんされることで、市場に不良品が出回るリスクがあるということである。データの改ざんは、ランサムウェアのように派手に可用性を損なう攻撃に比べて発覚が遅れやすいという特徴がある分、リスクが拡大しやすいのだ。
実際、データの「完全性」が侵害されるリスクは、スマートシティーの他のシステムにおいても高い傾向にある。図1で本連載の第3回に示した「電気使用量の利活用におけるセキュリティリスクの整理」を再掲したが、ご覧の通り、データの完全性の侵害によるリスクが、プライバシーの侵害と並んで高いという分析結果が得られている。要は、サイバー空間と物理空間が密接につながるデータ中心の社会は、その根幹のデータが改ざんされ、信頼できなければ、社会の存立そのものに大きな影響を与えるということだ。その意味で今回のサイバー攻撃が、水道の停止を目的としたものではなく水質の操作だった点は、スマートシティーのセキュリティの脅威を考える上でも重要な示唆として捉えるべきである。
図1.電気使用量の利活用におけるセキュリティリスクの整理(筆者作成)
※クリックすると拡大画像が見られます
