2021年5月、米国東海岸で消費されるガソリンのおよそ45%を供給するパイプラインがサイバー攻撃の被害に遭った。運営会社では影響拡大を封じ込めるために積極的にネットワークをオフラインにし、すべてのパイプライン操業が一時的に停止。その結果、一部の州ではガソリンスタンドのガソリンが無くなり、航空機は飛行ルートの変更を余儀無くされるなど、多くの場面で甚大な影響が生じることとなった。
今回この事件に関連して犯行グループが公表した声明によると、その目的は社会への混乱を引き起こすことではないとしている。あくまでも経済的動機によって、金銭を求めての行為であるとしているのだ。 犯行グループにとって不本意なことであるかどうかは窺い知れないが、少なくとも重要インフラへのサイバー攻撃は社会への混乱を引き起こす。
2月にはフロリダで上水道のシステムがサイバー攻撃によって不正に操作された。不正な操作によって人体に危険なレベルの化学物質を水道水に混入しようとしている。この時はシステムを管理しているエンジニアが異変に気付いたことで不正な操作は阻止され、未遂に終わっている。
しかし、これまでにも電力システムがサイバー攻撃を受けたことで都市全体が停電するなど、重要インフラを狙ったサイバー攻撃によって社会への大きな混乱が引き起こされてきた。
今回のサイバー攻撃では、ランサムウェアという悪意のあるプログラムが用いられている。パイプライン会社のシステムの動作を止められ、使えるようにしたければ身代金を支払うようにと要求するものだ。 また、システムを止めるだけでなく、100GB以上のデータをわずか2時間ほどの間に盗み出してもいる。
システムを止められることによる影響が大きいまたは広範におよぶ事業者が、このようなランサムウェア攻撃の標的とされることが増えている。
2021年3月には米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)とFBIが注意喚起*1を発行した。これによると、今回パイプラインへのサイバー攻撃を行ったグループが製造、法律、保険、ヘルスケア、エネルギーといった業界を標的としているとして注意喚起を行なっている。
昨年ドイツで、今回同様のランサムウェアを用いたサイバー攻撃によって医療機関がサイバー攻撃を受けたが、その結果救急搬送されてきた患者への対応が遅れ、その方が亡くなられるといった痛ましい事件にまで発展したことは、本稿でも既報のとおりだ。
もはや、サイバー攻撃は産業や生活への影響だけでなく、人命までも奪うことさえある。
現代社会において、多くの事業のサプライチェーンがグローバルで構築されている。いや、サプライチェーンに限らず、顧客も国境を越えて存在している。
すなわち、国境や物理的な距離を越えてビジネスの相互接続性は向上し、新たな価値が生み出されているのが現代のビジネスにおける特徴でもある。そのため、他国で発生しているサイバー攻撃だからといって、多くの事業者にとって対岸の火事と片付けてしまうことはできない。
地震や洪水などによって部品の供給が止まると製造業に多くの影響が生じるが、ITで繋がり合う現代社会ではそのようなリスクの連鎖が、より広く、より深く影響を及ぼしていく。
そして、今回の事件ではもう一つ重要なポイントがある。
パイプラインのように、一国の重要インフラに甚大な被害を及ぼそうと思えば、これまでは大陸間弾道ミサイルやテロ行為が必要だった。
しかし、今回の事件によってサイバー攻撃でもこれだけの社会的な影響をおよぼせることが露呈した。そしてこのようなことが可能となったことで、社会全体がより大きな脅威に直面している。
6月には米国最大の食肉加工業社がサイバー攻撃の被害を受け操業停止状態に発展してしまったが、全米の20%の供給量をほこる事業者が停止することで生活への影響も大きい。
日本では、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を特定しているが、米国では食料供給事業者も重要インフラ事業者に分類されている。
サイバー攻撃による被害は残念ながら既に多く発生しており、そしてこれからも増え続けていく。
私たちの生活や仕事の仕方は、コロナ禍のこの一年で大きく変わったが、それにはITの力によるところが大きい。在宅勤務の推進や、デジタルトランスフォーメーション(DX)、IoTなどの活用によって、私たちは物理的な制約を超えたコラボレーションを実現してきた。
このような社会の変革は、同時に悪意ある者たちにも同じような利便性をもたらしてきた。そして、更に私たちがITへの依存度を高め続けていくことで、サイバー空間で生じた問題から受ける影響も大きくなっている。
そのため、今回発生したパイプラインへの攻撃のように、システムを人質にとって身代金を要求する手口では身代金の額も年々上昇しており、その手口そのものによる被害も増加し続けている。
もちろん、ITは危ないから使うのをやめましょうと申し上げたいわけではない。ITによる恩恵を享受すると共に、現代社会が既に直面しているこのような状況を理解し、その対策や対応に取り組んでいくことが重要である。
日本では多くの人たちが、火災や地震の際の避難訓練を経験しておられることと思う。この訓練を通して私たちは迅速な行動をとり、被害を最小限に食い止めるための術を学んできた。
では、サイバーリスクに対してはどうだろう?
考えたことは無いという方も一定数おられるのが実状だ。
しかし、サイバーリスクとはクリエイティブにつくり出されているいるリスクである。悪意ある者たちは想像力を働かせ、人為的に脅威をつくり出している。そのため、私たちもサイバーリスクについて学び、リスクを低減するための対策やサイバー攻撃を受けた場合の対応について考えていかなくてはならない。
今回のパイプラインへのサイバー攻撃を受けて、ジョー・バイデン大統領はサイバーセキュリティを改善し、連邦政府のネットワークを保護するために大統領令へ署名した。*2
ここでは多要素認証と暗号化の導入、サプライチェーンセキュリティの改善、サイバーセキュリティ安全性審査委員会の設置(政府と民間部門で構成される)といったことに焦点を当て、検知・調査・復旧機能の改善とインシデント対応の際の「プレイブック」開発を促している。
「想定」ができているからこそ、迅速な行動をとり、被害を最小限に食い止めることができるからだ。
そして、あらゆる環境がITによってつなぎ合わされている現代社会だからこそ、一社一社そして一人一人がサイバーリスクについて今一度考えていかなくてはならない。
*1 https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/joint-cisa-fbi-cybersecurity-advisory-darkside-ransomware
*2 https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。
