水道施設が受けたサイバー攻撃:他国の事例より
「公共機関のサイバー対策」第16回 - サイバー攻撃を受けた場合、健康上の不安をももたらす水道施設の制御システムについて過去に起きた他国の事例と脆弱性を考察する。
サイバー攻撃を受けた場合、健康上の不安をももたらす水道施設の制御システムについて過去に起きた他国の事例と脆弱性を考察する。
私たちの生活を支える公共サービスが誤作動や制御不能に陥ると、不便なだけではなく、危険を伴う場合もあり得る。例えば、水道は水質異常や断減水などが起きれば生活や社会活動に支障をきたし、ごみ処理は焼却時の燃焼制御が不能になれば、ばいじんや最悪のケースではダイオキシンなどの毒性物質が散乱する恐れもある。こうした各種公共サービスは、いずれも何らかの制御システムを活用して提供している。それらの制御システムのセキュリティ対策はどうなっているのか、水道を事例にリスクと課題を考察する。
水道システムにおけるサイバーインシデント(事故につながる恐れのある事態)は国内では未発生だ。しかし、海外では過去に制御システムが不正侵入を受けて汚水や汚泥が放出されたことがある。最近も東欧の水道事業者の塩素プラントプロセス制御システム(緊急警報システム含む)にマルウエア(悪意あるソフト)が感染した事案や、別の欧州の水道事業者の制御システムがマイニング(採掘)マルウエアの侵入を受けた事案が報告されている。東欧と欧州の事例は幸い水道供給などへの実害はなかった。しかし、制御システムを狙ったマルウエアや不正侵入事件が相次いでいる。中には制御システムの情報を自動で収集したり、不正侵入から破壊行動を起こしたり、万一の際に強制終了するための安全計装システムに侵入してシーケンス(制御設定)を破壊するものまで登場している。
このような背景から対策に乗り出している国もある。米国では上下水道設備とコンピューターシステムのレジリエンス(回復力)とセキュリティに関するリスクアセスメント(評価)が義務化された。オーストラリアでは自社管理・アウトソーシングを含めた重要インフラシステムやデータの所有・制御・管理状況について届け出の義務化を進めている。
公共サービスを支える制御システムにはDCS(分散制御システム)やSCADA(監視制御システム)など様々なタイプが使用されているが、これまではセキュリティを考慮した設計や対策の実装がなされていなかった。税金で構築・運営しており、低コストと安全の両立が求められることも、これまでセキュリティが後回しにされがちだった一因である。
水道へのサイバー攻撃例
| 発生年 | 内容 |
|---|---|
| 2000年 | オーストラリアで元契約社員が下水制御システムに無線で侵入、不正操作 |
| 2016年 | 米国の水道事業者で、ビジネスシステムと顧客データが感染 |
| 2017年 | ウクライナ水道事業者の塩素プラント制御システムと緊急警報システムが感染 |
| 2018年 | 欧州の水道事業者で制御システムにマイニングマルウエアが侵入 |
日経産業新聞 2019年5月16日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
シニアマネジャー 木下 弦