社会インフラを狙ったサイバー攻撃の実態

社会インフラへのランサムウェアによるサイバー攻撃が相次いでいます。今年5月には、米国最大級の石油パイプラインがサイバー攻撃によってITシステムに対して攻撃を受けたため、予防措置としてOTシステムであるパイプラインの操業が停止に追い込まれました。同社が運営するパイプラインは、東海岸の燃料供給45％を担っており、6日間にわたり操業停止となったため市民生活に支障が出ました。ランサムウェアによる攻撃を受けたため、操業再開に向けて440万ドル(約4億8200万円)相当のビットコインの身代金を攻撃者に支払ったと報じられ大きな話題となりました。
サイバー攻撃の標的として多くの顧客情報や機密情報を扱っている組織から、重要な公共サービスにシフトしている傾向があります。これは、「情報の窃盗」から「ランサムウェアを通じた操業妨害」に移っていることを意味します。ランサムウェアによる攻撃を受けた組織は、多額の支払いに応じなければ、機能不全となったシステムを復旧することは困難です。そのため、社会インフラにおけるダウンタイムは受け入れらないという判断となり、攻撃者にとってサイバー攻撃は金になるという都合のよい条件になっています。
本コラムでは、社会インフラに対するこれまでのサイバー攻撃の事例をもとに、その実態を把握し、自らを守るために認識しなければならないことについて述べたいと思います。

なぜ、社会インフラがサイバー攻撃のターゲットに

ITが普及したおかげで、コンピュータやスマートフォンで使うさまざまなアプリやシステムによって生活が便利となり、取り扱う情報やお金が国境を越えて瞬時にやり取りできるようになりました。一方で、国境を越えてつながるITを悪用したサイバー攻撃も蔓延するようになりました。
サイバー攻撃を行う犯罪集団や国家は、自ら国境を越えて相手の建物の中に入り込まなくても、ITを使うことで、最新技術や機密情報を盗めるようになりました。今や工場や発電所などの社会インフラは、コンピュータで制御されているのでサイバー攻撃によって業務停止に追い込まれる危険性があります。こうした社会インフラがサイバー攻撃によって突然停止すれば、経済活動や市民生活は混乱に陥います。さらに深刻な事態が起こる危険性もあります。サイバー攻撃によって交通機関や医療機器の管制・制御システムが機能停止や誤作動・暴走を起こせば人命が危険にさらされます。管制・制御システムにおいてもWindowsやLinuxなど一般的なものが使われるようになり、サイバー攻撃の標的になりえるのです。
社会インフラにおけるサイバー攻撃が注目されるようになったのは、2010年9月に発生したイランの核燃料施設に対する攻撃が大きなきっかけの一つです。インターネットから隔離されたネットワーク環境に対してUSBメモリー経由で侵入したマルウェア「スタックスネット」により、ウラン濃縮用遠心分離機が稼働不能に陥ったという事例です。数千台の遠心分離機の回転数を極端に高めて破壊したことで、マルウェアにより機器を物理的に破壊できることが実証されたのです。この攻撃は、イランの核開発を遅らせるために米国とイスラエルが共同で仕掛けたと指摘されています。
これ以降、欧米を中心に多くの重要な社会インフラを対象にサイバー攻撃によるある種のテロ行為が行われており、毎年増加しています。攻撃者は多くの場合、金銭目的、政治的主張、軍事目的などで、標的の企業や組織を選択します。攻撃は国家の支援を受けて行われたりすることもあります。
このように、社会インフラへのサイバー攻撃の実行主体としては、政治的な主張を持ったハッカー、テロ集団、対立する国家などの関与が疑われるケースが多くあります。サイバー攻撃は、世界中どこからでも標的に攻撃を仕掛けることができます。

金銭目的として社会インフラを狙ったサイバー攻撃

社会インフラを狙ったサイバー攻撃は、ランサムウェアという新たな攻撃手法の登場により、その状況は破壊や操業停止という直接的な被害ではなく、身代金目的の攻撃という新たなステージへと移行しています。これまで社会インフラを狙った大規模なサイバー攻撃というとなんらかの政治的な意図をもって行われ、攻撃の背後には国家が関与しているとの見方が一般になされてきました。そのため今回の石油パイプラインへの攻撃についても国家関与の憶測が流れましたが、アメリカ当局は国家との関係を直接示す事実はないとしています。さらに攻撃者自身が政治的な意図のないことを明らかにし、金銭目的であることを表明するという過去にあまり事例がない展開となりました。これはランサムウェア攻撃というサイバー攻撃が、一企業や組織への被害にとどまらず、社会インフラやその利用者にも及ぶ範囲まで拡大・成長していることを示唆しています。一方でランサムウェア攻撃が金銭目的であったとしても、不正に得た金銭が何に使われているのかは定かでなく、ランサムウェア攻撃を行っているサイバー犯罪グループの中には明らかに国家の支援を受けて攻撃を行っていると見られているグループも存在します。
政治目的による攻撃だけでなく、今後さらに営利目的とした犯罪者集団による社会インフラを狙ったサイバー攻撃が発生するおそれがあります。社会インフラを麻痺させ、人命を人質に取って高額な身代金の要求をしてくることが考えらえます。

ランサムウェアの被害にあったら、身代金を支払いますか？

ランサムウェアの被害を受けると、重要なシステムが利用不可な状況に陥り、業務が停止してしまうおそれがあるため、身代金を支払ってしまおうと考える企業は少なくありません。実際ランサムウェアの被害にあった企業の3分の2が身代金を支払ったという調査結果があります。攻撃を受けた企業は、復旧に必要なバックアップやその他のインフラを用意していなかったり、自力で復旧させる時間をかけられなかったり、あるいはかけたくなかったり、身代金を支払って、問題を片づけてしまったほうが安上がりだと判断するというのが理由としてあります。
海外では、サイバー保険において身代金を保険の対象としているケースが多くあります。サイバー保険は、基本的に外部からの不正アクセスが原因で起きた損害を包括的に補償する保険です。2020年度のサイバー保険の賠償額の41％がランサムウェアによる身代金でした。一方で、身代金の支払いは、サイバー犯罪を助長することになるとして批判の対象にもなっています。支払った身代金が保険で補償される点が企業の身代金払いを後押しする要因にもなっているからです。
また、2020年10月に米国財務省外国資産管理室（OFAC）の勧告で、ランサムウェア被害における身代金への支払いをする企業に対して制裁が行われることとなりました。このような流れから、身代金について保険の対象とすることを取りやめることを表明する保険会社も現れてきています。
今回の石油パイプラインの事例から、今後社会インフラの提供企業が狙われることが想定され、身代金が支払われるとわかれば、犯罪者集団は同様の手口で攻撃し続けることになります。病院や重要なインフラ、自治体のサービスが長期にわたって停止すれば、脅威となる対象は経済だけにとどまりません。人命がかかっている場合は、人命を優先しなければならないため、攻撃者に対して身代金を支払わないという自らの信念を貫くことができなくなります。このようなことから、経営層自らが、サイバーリスクは現状において優先順位の最も高いリスクであると認識し、サイバーリスクマネジメントに取り組む必要があります。

まとめ

金銭目的のサイバー攻撃が急増している理由として、RaaS（ランサムウェア・アズ・ア・サービス）と言われるサービスが出ているほど、サイバー攻撃自体がビジネス化しています。RaaSはダークウェブ上で公開・取引されるものが多く、安価にランサムウェアを入手することが可能です。また、仮想通貨の普及で身代金を受け取りやすくなったという理由もあります。身代金を受け取りやすくなって犯罪が拡大するということは、それだけ実際に身代金が支払われているということです。犯罪者の成功が積み重なって、さらに犯罪が増え、それがビジネスとして多方面に拡大するという流れは食い止めなければなりません。
企業にとって最も望ましいことは、身代金が要求されてもインシデント対応手順にしたがって確固たる対応を進めることです。そのために、事前の手順確立およびゆるぎない経営判断が求められます。これには、NIST SP 800-61（コンピューターセキュリティインシデント対応ガイド）に準拠した対策の考え方が参考になります。NIST SP 800-61 ではセキュリティ対策を、「準備」「検知・分析」「封じ込め・根絶・復旧」「事後活動」という４つのフェーズに分かれており、各フェーズに応じたランサムウェアの攻撃における対策が必要です。巧妙化するランサムウェア攻撃を完全に阻止することは困難であるため、攻撃を受ける、侵入されることを前提に、被害の最小化と再発を防止するための準備などをしっかり実施することが重要となります。

※弊社では、セキュリティ全般に関わる導入、推進に向けた各種コンサルティングサービスを提供しております。随時ご相談ください。

執筆者
佐土谷　暢彦
株式会社Dirbato（ディルバート）
コンサルティンググループ　マネージャー

通信キャリア、官公庁、自治体を中心にネットワーク、セキュリティ領域のシステム設計における導入プロジェクトを複数経験。直近では、金融、製造、官公庁等にテレワークにおける環境整備の検討やゼロトラストネットワークにおける提案支援に従事。