英国の核施設セラフィールド、サイバーセキュリティの不備で44万ドルの罰金
2024年10月4日、英国の核廃棄物処理施設セラフィールドは、サイバーセキュリティ基準に従わなかったとして、英国原子力規制庁(ONR)から33万2,500ポンド(約44万ドル)の罰金を科されました。
2019年から2023年にかけて、重要な核情報を危険にさらしていたことが問題視されました。
ONRの発表によると、セラフィールドは自社で承認されたサイバーセキュリティのプロトコルを遵守せず、複数の脆弱性をITシステム内に放置していたとのことです。
この行為は「2003年核産業セキュリティ規制」に違反しており、ランサムウェアやフィッシング、データの損失といったリスクに施設をさらしていたことが指摘されています。
災害の危機を孕んだ状況
セラフィールドは、英国カンブリア州に位置するヨーロッパ最大級の核施設で、世界で最も多くの核廃棄物を一箇所で処理しています。
使用済み燃料棒やプルトニウム、ウランの保管、古い核施設の除染や廃棄作業など、重要な核廃棄物処理業務を担っています。
昨年、英紙ガーディアンによる調査報道では、セラフィールドのサイバーセキュリティに深刻な問題があることが明らかになりました。
報告では、契約業者が重要なシステムに容易にアクセスでき、USBドライブを接続することも可能だったとされています。
また、施設内にはよく知られた脆弱性が多数存在し、関係者からは「ヴォルデモート」と呼ばれるほどでした。
フランスのセキュリティ企業アトスによる監査では、セラフィールドのサーバーの約75%が攻撃に対して脆弱であり、壊滅的な結果を引き起こす可能性があると指摘されました。
セラフィールドの運営者は、2024年6月にITセキュリティ規則を守れなかったことを認め、有罪を認めました。
ONRによる調査と罰金
ONRの調査では、セラフィールドが英国の核施設運営に必要なサイバーセキュリティ基準に従わなかったことが確認されましたが、これまでのところ脆弱性が悪用された証拠は見つかっていないとされています。
一部報道では、ロシアや中国のハッカーが施設にマルウェアを仕込んだとされる件や、2015年からセキュリティ侵害が発生していた可能性が指摘されていましたが、ONRはこれを否定しています。
ONRは、「セラフィールドは自社の承認された計画に沿ったサイバーセキュリティ基準を満たせなかった。長期間にわたって重大な不備が存在し、ITシステムが不正アクセスやデータ損失に対して脆弱な状態が続いていた」と発表しています。
同施設では、サイバー攻撃が成功すれば、最大18か月間にわたり通常の運営が妨げられる可能性があるとされています。
セラフィールドは、昨年からサイバーセキュリティのリスクを迅速に改善するため、上級幹部やIT管理職の人事を見直し、ONRは現在の進捗を評価しています。