重要インフラへのサイバー攻撃の歴史を紐解く

重要インフラへの過去そして現在の攻撃を知れば、それらシステムとサービスを保護する必要性が明確になります。

先日、ウクライナの電力網を標的とした攻撃が発生しました。この攻撃は、破壊的な攻撃を繰り返しているAPTグループSandwornによるものであり、マルウェア「Industroyer2」をウクライナのエネルギー会社へ展開しようとしていました。Industroyer2は、2016年12月にキエフの一部で停電を発生させたIndustroyerと呼ばれる巧妙なマルウェアの新しい亜種であり、ESETとCERT-UAによる調査によって発見されました。

また、2015年12月にはAPTグループであるBlackEnergyのオペレーターが複数の電力会社のシステムに妨害工作を仕掛け、ウクライナのイワノフランキフスク地方で数時間にわたって停電を引き起こし、数十万人がその影響を受けました。

このような重要インフラへの攻撃は、現実の世界では起こり得ないSFのストーリーだと思っていた人々にとっては大きな衝撃を受けたことでしょう。しかし、重要インフラへの攻撃にマルウェアが使用されたのは、これが初めてではありません。

2010年6月、イランのナタンズにある核燃料濃縮施設では精巧に設計されたマルウェアStuxnetによる攻撃を受け、多くの遠心分離機が破壊され、イランの濃縮ウランの生産能力の低下に追い込みました。Stuxnetは、最初に発見された産業システムを標的としたマルウェアであり、現代の重要インフラに対する最初のサイバー攻撃で使用されたマルウェアとして知られています。

これらの攻撃は、さまざまな種類の重要インフラが直面しているリスクを改めて認識させるものです。歴史を振り返ってみると、現代のデジタルコンピュータが登場する遥か前の時代にまでこのような攻撃は遡ります。

 

重要インフラへのサイバー攻撃 - 200年前まで遡る脅威

18世紀末にフランスの皇帝ナポレオン・ボナパルトは、自軍の機密情報を迅速かつ確実に伝達するために通信網を構築しました。「腕木通信」を使用する視覚によるこの通信システムは、フランスの技術者であるクロード・シャップによって発明され、通信塔の責任者が保持している秘密の暗号帳によってのみ解読可能な視覚による暗号通信を可能にしました。

この通信システムは、16キロメートル離れた高い丘の上に建造された塔による通信網を使用します。塔の頂上には、人形の腕部のように可動する2本の機械的な腕木が設置されており、望遠鏡を装着した士官がそれらの腕木を制御していました。腕木の位置が示す暗号メッセージは、塔から塔へと伝達され、目的地に到達します。

当時のフランス政府は、馬に乗ったメッセンジャーよりもはるかに速く、長距離間でメッセージを伝達できるようになりました。暗号メッセージが最後の塔に到着すると、士官が暗号帳を使用してその記号をフランス語に翻訳します。

これは当時、まさに革命的な仕組みであり、ナポレオン軍は秘密で専用の通信網を手に入れたのです。しかし、このシステムにも問題がありました。数年後、この最初の長距離通信網である重要インフラが、ハッキングされた最初の事例となったのです。1834年、フランソワ・ブランとジョセフ・ブランの2人の兄弟が、初の通信詐欺、あるいは初のサイバー攻撃とも呼ばれる罪を犯しました

この兄弟は、パリの証券取引所の国債レートの上げ下げを指標としながら、ボルドー株式市場で取引していました。この情報は馬で伝達されており、フランスの南西部に到達するまでは5日間もかかっていました。パリの取引所で何が起こっているのかを誰よりも早く知ることができれば、有利に取引することができたのです。

腕木通信はこのための完璧な解決策となりました。仕掛けは単純であり、ブラン兄弟が考案した特別な記号を使った定型文が、パリの通信塔にいる共犯者によって、ボルドーにいる彼らの元に届けられる仕組みでした。通信される小さな記号は、単純なエラーのように見せかけており、腕木通信のプロトコルでは、大都市に設置されているいくつかの通信塔に駐在している管理者がエラーをチェックして除去するように定められていました。ボルドーまでの通信の途中には、トゥールの通信塔に管理者がいたため、フランソワとジョセフは信号を修正しないように賄賂を贈って懐柔しました。

ボルドーには最後の共犯者がおり、塔でエラーに見せかけた記号を監視および検知して、ブランに届けていました。フランソワとジョゼフは、この仕組みによって、長い間人知れずに、パリ証券取引所の最新データの内部情報を入手することに成功したのです。政府が出資している高価な通信網を私利私欲のために利用し、莫大な利益を上げ、フランス軍の通信を妨害したのです。

2年が経過し、膨大な利益を得ていたことからこの兄弟を疑う者も出始めました。最終的には不正が発覚しています。

近年では、より斬新で狡猾な方法による攻撃が検出されるようになりました。

 

国会、銀行、研究機関を混乱させ、燃料価格を上昇させる現在の攻撃

歴史は私たちに多くの教訓を与えてくれますが、同時に歴史は繰り返すことも教えてくれます。現在のサイバー攻撃は、何千もの小さな民間企業や個人、大規模な公共機関や政府組織を襲っています。

Clarotyが、2021年に米国、英国、ドイツ、フランス、オーストラリアの重要インフラに従事しているITおよびOTセキュリティの専門家1,000人を対象に行った調査では、65%が重要インフラへの攻撃について懸念していました。回答者の9割が2021年に攻撃を受けたと回答しています。

ブラン兄弟の通信詐欺は国民全体に影響を及ぼすことはありませんでしたが、ウクライナの電力網への攻撃は何十万人も市民に影響を与えました。これらの攻撃による直接的な影響のリスクは深刻化しています。

 

エストニアでは、国全体のネットワークがサイバー攻撃によって初めて影響を受ける

2007年4月27日の朝、エストニアの政府機関、銀行、通信会社、メディアのWebサイト、ATM機器、国会のWebサイト、その他の多くのオンラインサービスがドミノ倒しのように崩壊しました。この攻撃は22日間も継続したことから、攻撃の終りを見通すことができない状況が続きました。

デジタル先進国であったエストニアのサイバー空間が大規模な攻撃を受けました。2007年にはすでに、エストニアは世界で最もデジタル化が進んだ国になっていました。駐車場の支払いにスマートフォンを使用でき、行政サービスや投票システムもオンライン化され、国内の至る所でWi-Fiが整備されていました。しかし、バルト海沿岸にあるエストニアは、激烈なサイバー攻撃を受けて大混乱に陥りました。

攻撃者は、サービス拒否(DoS)攻撃の一種であるPingフラッド攻撃から、不正なWebクエリやメールスパムなどの一般的な手法を使用していますが、これらの攻撃の多くはエストニア国外から実行されていました。これらの攻撃は膨大で継続的でしたが、さらに多くの保護レイヤーを実装していれば防御できた攻撃もありました。エストニアが受けた試練は、他国に対してサイバー攻撃に対する安全保障の脆弱性に警鐘を鳴らすことになりました。

即時に攻撃を停止するための解決方法がないまま、攻撃者が望むままに攻撃は継続しました。攻撃のほとんどは海外から実行されていたため、公的機関や民間企業は、世界中のインターネットサービスプロバイダーの協力を得て、悪意のあるトラフィックの発信元を特定しフィルタリングする時間を確保するために、自社のWebサイトへの海外からのトラフィックをすべてブロックしました。

その後、犯罪捜査が行われましたが、当然のことながら、サイバー攻撃に関する法整備が十分に進んでおらず、具体的な発信元の住所や攻撃者の追跡が不可能であったため、捜査で成果を得られることはほぼありませんでした。20歳のエストニア人大学生であったDmitri Galuškevitšは、エストニア国内で攻撃に加わった唯一の攻撃者であることが確認されています。Galuškevitšは、自分のPCからエストニア首相の政党であるエストニア改革党のWebサイトを攻撃し、17,500クローニ(当時の換算レートで約700米ドル)の罰金の支払いを命じられています。

 

新型コロナウイルス:情報を巡る争い

新型コロナウイルスのワクチン開発ほど、世界共通の関心事となったものはないかもしれません。しかし、このワクチン開発は機密情報を狙ったサイバー攻撃を引き起こすことになりました。世界中の多くの研究機関が、世界初の安全なワクチンを開発するための競争を始めました。2020年4月23日、世界保健機関(WHO)は、同機関のスタッフへのサイバー攻撃が5倍に増加していることを報告し、今後数カ月間注意するように呼びかけました。

そのわずか数日後、英国の国家サイバーセキュリティセンター(NCSC)は、新型コロナウイルスの研究を行っている英国の大学や研究所が、ワクチン開発に関連するデータを収集しようとする他国からの攻撃など、複数のハッキングを受けていることを警告しました。

数か月後の12月9日、EUの健康規制機関である欧州医薬品庁(EMA)は、サイバー攻撃を受けたことを明らかにしました。同日、BioNTech社は、ワクチンの認可を受けるために同社のサーバーに保管されていた文書の一部が「不正にアクセス」されたことを確認しました。EMAは2020年12月22日に続報を公開し、このハッカーはあるITアプリケーションのセキュリティを侵害し、新型コロナウイルス関連の情報を狙ったことを伝えています。盗み出されたデータは、その後、2021年1月13日に流出しています。

このサイバー犯罪については、CERT-EUとオランダ警察と共同で捜査しましたが、捜査結果が公式に発表されることはありませんでした。オランダの新聞社deVolkskrantは、攻撃者は新入社員向けの多要素認証の設定に使用されるトークンを盗み、EMAのシステムにアクセスしたと報じています。捜査にあたった関係者は、このサイバー犯罪はEUの新型コロナウイルス対策に関する機密情報を奪うことを目的とした国家的なスパイである可能性があると考えていることを同紙は報じています。

 

燃料供給が打撃を受ける

2021年5月7日、ランサムウェアグループであるDarkSideが複数の脆弱性を攻撃して、パスワードを窃取し、Colonial Pipeline社を攻撃しました。この攻撃によって5日間にわたって米国最大の燃料流通のパイプラインシステムの稼働が停止に追い込まれました。これは、57年間の同社の歴史の中で初めてのことであり、ホワイトハウスの直接の介入を招くこととなりました。

このランサムウェア攻撃によって、いくつもの大手ガソリンスタンドチェーンが燃料不足で閉店に追い込まれるなど、大きな影響が発生しました。米国における燃料価格も急騰し、2014年以来の高値を付けました。

攻撃が発生した当初は国家によるハッキングの可能性が疑われましたが、後に金銭目的であったことが判明しています。攻撃を実行したDarkSideは、政治的な動機のもとで攻撃していないことを認めており、「私たちの目的は金銭であり、社会で問題を起こすことではない」と表明しています。DarkSideは、別のサイバー犯罪組織にサービスとしてランサムウェアを提供していることが判明しています。また、Colonial Pipeline社から440万米ドルの身代金を奪いましたが、その半分は後にFBIによって回収されました。

サイバー攻撃は今後も続く

私たちは誰もが瞬時につながることができる環境で暮らしていますが、その利便性には代償も存在します。あらゆるものが簡単につながり合うということは、脆弱性が増加し、攻撃が巧妙化して増加することにもなります。デジタル環境と物理的な環境がさらに密接になる中で、公共機関や民間企業のインフラ部門には新しい厳格な安全対策が求められています。

近年になって、重要インフラ事業者のセキュリティ対策は進んできましたが、依然としてサイバー攻撃の標的になることが多く、社会にとって不可欠なサービスをサイバー攻撃から守る必要性はさらに高まっています。