核脅威イニシアチブが発表した「原子力施設のサイバーセキュリティ改善アドバイス」

『Security Affairs』

December 19, 2016 08:00
by 『Security Affairs』

今年開催されたNIS(Nuclear Industry Summit/核産業サミット)で専門家たちが語ったところによると、原子力発電所や、その他の原子力施設に対するサイバー攻撃の脅威は増しており、さらに拡大しているという。ハッカーたちは原子力施設やシステムに壊滅的な打撃をもたらしかねない攻撃手法において、より熟練した危険な存在となりはじめている。

企業、政府、そして監査機関は、業界全体でサイバーセキュリティを優先事項にしなければならない。「これらの(原子力施設の)システムは大規模な混乱と損害をもたらす鍵となるため、ハッカーはそこに焦点を当てている」と、NITに出席した専門家たちは強調した。

公に知られている核施設へのサイバー攻撃のうち、これまで最も成功したものは、「イランの核プラント施設に深刻な被害をもたらすマルウェア」を活用した攻撃だった。このウイルスこそ、遠心分離機を制御不能に陥らせ、破壊することに成功した悪名高きStuxnetだ。

核関連施設以外の主要産業に対する攻撃の可能性も、深刻な懸念材料である。例えばウクライナの電気システムに対する攻撃は、何千人もの人々から電力を奪った。その攻撃者は、産業制御システムを標的とした「BlackEnergy」と呼ばれているプログラムを利用していた。『RegBlog』によれば、「インターネットに接続されている数多くの建物や電気システムにとって、サイバーセキュリティの脅威は、あまりにも現実的すぎるリスクだ。米国土安全保障省の報告によれば、『エネルギー部門は米国のGDPの5~6%しか占めていないにも関わらず、サイバー攻撃全体の約32%はエネルギー産業に占められている』」という。

国際連合の核監視を行っているIAEA(国際原子力機関)事務局長の天野之弥氏は10月、「ドイツの原子力発電所が2~3年前に『破壊的な』サイバー攻撃を受けていた」と語った。

このときSecurity Affairsは、「原子力発電所に対して行われたサイバー攻撃のニュースが発表されたのは、今回が初めてのことではない」と指摘した。これまでに公表された原子力発電所に対する攻撃は、この3件となる。

さらに悪いことに、ISISのハッカーたちもまた、欧州の原子力発電所を狙っている可能性があると考えられている。それは国連が10月に発した警告だった。国連の核監視を担当しているグループは、「大規模なテロ活動を起こすという野望のため、サイバージハードたちは、いかなる脆弱な施設でもハッキングしようとするだろう」と示唆した。

『The Sun』の報道によれば、ベルギーの首都ブリュッセルの空港や地下鉄で連続テロを起こした犯人たちは、その自爆攻撃を実行する前に、ベルギーの発電所を攻撃するための研究を行っていた。

国際的なセキュリティの専門家たちは、「テリトリーでの支配力が衰えていくのにしたがい、ISISは、ますますサイバーテロに注力するようになるだろう」と警告した。

現在のところ、大部分の過激派集団は、まだ原子力発電所を爆破できるほどの能力を持っていないと考えられるが、それでも「悪用される可能性のある脆弱性」がいくつか存在している、と研究者たちは警告した。

EU(欧州連合)の当局者によれば、ベルギーの原子力発電所は「潜在的な標的」であるという。しかし各国では原子力施設への攻撃に対処する準備が整っておらず、そして原子力産業は、相変わらずサイバーセキュリティに関するリスクを軽視しつづけている──これは「原子力災害が引き起こされる要素」が揃っている状態だ。

NTI(Nuclear Threat Initiative/核脅威イニシアチブ)が発表した報告書には、「原子力施設においてサイバーセキュリティを改善するためのアドバイス」が概説されている。これは技術上の専門家、および運用上の専門家たちによる国際的なグループが、12ヵ間にわたって分析した結果に基づく勧告だ。

その中で、最も重要な勧告の一つとして「サイバーセキュリティを本質的に『制度化』する取り組み」がある。各々の核施設は、彼らが伝える「安全性と、実質的なセキュリティのプログラム」から学ぶだけではなく、彼らの手法を自らのサイバーセキュリティプログラムに組み込む必要があるだろう。

「サイバーセキュリティの制度化」に加えて、以下も推奨されている。

  • 政府と監査機関は、この分野に「スキルのある人々を呼び込むこと」に加えて、「規制のフレームワークの開発と実施を優先し、それを支援すること」が奨励される。
  • アクティブな防衛手段を採用すること。「固い意志を持った敵であれば、核施設のシステムに侵入できる可能性は高い」と専門家たちは警告している。組織はそのようなインシデントに備え、また対応できるようでなければならない。
  • 脅威情報や、インシデント対応の演習、政府から得られるより多くのリソース、そして活動的な防衛力の開発の情報は共有されるべきである。
  • デジタルシステムは、より複雑ではない設計にするべき。
  • 「ハッキングが困難なシステム」の開発につながる研究に従事せよ。そこには、政府による「トランスフォーマティブな(変化しうる)研究への投資」と、原子力産業による「関連組織のサイバーセキュリティの取り組みへの支援」、そして世界中の機関による「サイバー脅威を緩和するための創造性に対する奨励」が含まれることが望ましい。

これらのことが勧告されている一方で、やはり重点を置かなければならないのは「人間」の要素だ。粘り強いハッカーが、ただ脆弱なセキュリティに関心の薄いスタッフを標的にするだけで、いかにサイバーセキュリティの保護を破ることができるのかはStuxnetの事例で実証されている。

サイバーセキュリティ企業ProofpointのRyan Kalemberは、次のように指摘している。「そこから得られる教訓は、サイバーセキュリティの鎖において『繋がりの弱い部分』になるのが、いつも『人間』であるということだ」
 
翻訳:編集部
原文:Lax Cybersecurity at Nuclear Facilities is a Recipe For Widespread Disaster
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




ロシア下院が「VPNやプロキシを禁じる新しい法案」を採択

July 26, 2017 08:00

by 江添 佳代子

ロシア連邦議会下院は2017年7月21日、市民のインターネット利用を制限するための法案を全会一致で採択した。 これはロシアでのVPNやプロキシなどの利用を非合法化する法になると伝えられている。この採択を受け、モスクワでは2000人以上の市民が「インターネットの自由」や「ロシア当局によるオンライン監視…

中国北京市に大量の偽携帯基地局が存在する理由

July 25, 2017 08:00

by 牧野武文

以前、偽の携帯電話基地局から大量の広告ショートメッセージ(SMS)を発信した事件をお伝えした。その際、偽携帯基地局からのSMSは、発信元の電話番号を自由に偽装できるため、受信者側では本物のSMSなのか、偽物なのかの見分けがつかないという危険性を指摘した。案の定、中国で、偽携帯基地局から発信したSMS…