核脅威イニシアチブが発表した「原子力施設のサイバーセキュリティ改善アドバイス」

『Security Affairs』

December 19, 2016 08:00
by 『Security Affairs』

今年開催されたNIS(Nuclear Industry Summit/核産業サミット)で専門家たちが語ったところによると、原子力発電所や、その他の原子力施設に対するサイバー攻撃の脅威は増しており、さらに拡大しているという。ハッカーたちは原子力施設やシステムに壊滅的な打撃をもたらしかねない攻撃手法において、より熟練した危険な存在となりはじめている。

企業、政府、そして監査機関は、業界全体でサイバーセキュリティを優先事項にしなければならない。「これらの(原子力施設の)システムは大規模な混乱と損害をもたらす鍵となるため、ハッカーはそこに焦点を当てている」と、NITに出席した専門家たちは強調した。

公に知られている核施設へのサイバー攻撃のうち、これまで最も成功したものは、「イランの核プラント施設に深刻な被害をもたらすマルウェア」を活用した攻撃だった。このウイルスこそ、遠心分離機を制御不能に陥らせ、破壊することに成功した悪名高きStuxnetだ。

核関連施設以外の主要産業に対する攻撃の可能性も、深刻な懸念材料である。例えばウクライナの電気システムに対する攻撃は、何千人もの人々から電力を奪った。その攻撃者は、産業制御システムを標的とした「BlackEnergy」と呼ばれているプログラムを利用していた。『RegBlog』によれば、「インターネットに接続されている数多くの建物や電気システムにとって、サイバーセキュリティの脅威は、あまりにも現実的すぎるリスクだ。米国土安全保障省の報告によれば、『エネルギー部門は米国のGDPの5~6%しか占めていないにも関わらず、サイバー攻撃全体の約32%はエネルギー産業に占められている』」という。

国際連合の核監視を行っているIAEA(国際原子力機関)事務局長の天野之弥氏は10月、「ドイツの原子力発電所が2~3年前に『破壊的な』サイバー攻撃を受けていた」と語った。

このときSecurity Affairsは、「原子力発電所に対して行われたサイバー攻撃のニュースが発表されたのは、今回が初めてのことではない」と指摘した。これまでに公表された原子力発電所に対する攻撃は、この3件となる。

さらに悪いことに、ISISのハッカーたちもまた、欧州の原子力発電所を狙っている可能性があると考えられている。それは国連が10月に発した警告だった。国連の核監視を担当しているグループは、「大規模なテロ活動を起こすという野望のため、サイバージハードたちは、いかなる脆弱な施設でもハッキングしようとするだろう」と示唆した。

『The Sun』の報道によれば、ベルギーの首都ブリュッセルの空港や地下鉄で連続テロを起こした犯人たちは、その自爆攻撃を実行する前に、ベルギーの発電所を攻撃するための研究を行っていた。

国際的なセキュリティの専門家たちは、「テリトリーでの支配力が衰えていくのにしたがい、ISISは、ますますサイバーテロに注力するようになるだろう」と警告した。

現在のところ、大部分の過激派集団は、まだ原子力発電所を爆破できるほどの能力を持っていないと考えられるが、それでも「悪用される可能性のある脆弱性」がいくつか存在している、と研究者たちは警告した。

EU(欧州連合)の当局者によれば、ベルギーの原子力発電所は「潜在的な標的」であるという。しかし各国では原子力施設への攻撃に対処する準備が整っておらず、そして原子力産業は、相変わらずサイバーセキュリティに関するリスクを軽視しつづけている──これは「原子力災害が引き起こされる要素」が揃っている状態だ。

NTI(Nuclear Threat Initiative/核脅威イニシアチブ)が発表した報告書には、「原子力施設においてサイバーセキュリティを改善するためのアドバイス」が概説されている。これは技術上の専門家、および運用上の専門家たちによる国際的なグループが、12ヵ間にわたって分析した結果に基づく勧告だ。

その中で、最も重要な勧告の一つとして「サイバーセキュリティを本質的に『制度化』する取り組み」がある。各々の核施設は、彼らが伝える「安全性と、実質的なセキュリティのプログラム」から学ぶだけではなく、彼らの手法を自らのサイバーセキュリティプログラムに組み込む必要があるだろう。

「サイバーセキュリティの制度化」に加えて、以下も推奨されている。

  • 政府と監査機関は、この分野に「スキルのある人々を呼び込むこと」に加えて、「規制のフレームワークの開発と実施を優先し、それを支援すること」が奨励される。
  • アクティブな防衛手段を採用すること。「固い意志を持った敵であれば、核施設のシステムに侵入できる可能性は高い」と専門家たちは警告している。組織はそのようなインシデントに備え、また対応できるようでなければならない。
  • 脅威情報や、インシデント対応の演習、政府から得られるより多くのリソース、そして活動的な防衛力の開発の情報は共有されるべきである。
  • デジタルシステムは、より複雑ではない設計にするべき。
  • 「ハッキングが困難なシステム」の開発につながる研究に従事せよ。そこには、政府による「トランスフォーマティブな(変化しうる)研究への投資」と、原子力産業による「関連組織のサイバーセキュリティの取り組みへの支援」、そして世界中の機関による「サイバー脅威を緩和するための創造性に対する奨励」が含まれることが望ましい。

これらのことが勧告されている一方で、やはり重点を置かなければならないのは「人間」の要素だ。粘り強いハッカーが、ただ脆弱なセキュリティに関心の薄いスタッフを標的にするだけで、いかにサイバーセキュリティの保護を破ることができるのかはStuxnetの事例で実証されている。

サイバーセキュリティ企業ProofpointのRyan Kalemberは、次のように指摘している。「そこから得られる教訓は、サイバーセキュリティの鎖において『繋がりの弱い部分』になるのが、いつも『人間』であるということだ」
 
翻訳:編集部
原文:Lax Cybersecurity at Nuclear Facilities is a Recipe For Widespread Disaster
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…