経営リスクをもたらす制御系システムへのサイバー攻撃とは

「公共機関のサイバー対策」第2回 - 経営リスクにもつながる、交通機関やライフライン等の制御系システムへのサイバー攻撃について、過去の攻撃と影響について解説する。

経営リスクにもつながる、交通機関やライフライン等の制御系システムへのサイバー攻撃について、過去の攻撃と影響について解説する。

鉄道・空港・道路などの公共交通や通信・電力・ガス・水道などのライフラインの中核となる制御系システムは、最新技術の追求やコストを抑える狙いで、汎用系のシステム・通信手順の採用が進んでいる。その結果、サイバー攻撃を受けやすくなり、被害や事件が報道される機会が増えている。さらに、あらゆるモノがネットにつながるIoT技術の導入で、この傾向に拍車がかかっている。なかでも電力分野の事例として国家が関与した世界初のサイバー兵器として話題となったマルウエア(悪意あるソフト)の「Stuxnet(スタックスネット)」が有名であり、イランの原子力関連設備が標的となった。マルウエアがネット経由で伝搬し、隔離されているはずの制御システムにUSBメモリなどのポータブル記憶媒体を介して侵入し、数千台もの設備を停止する事態に及んだ。

これを境に巧妙化した標的型攻撃の時代が到来したといわれている。中東の石油化学プラントではプロセスの安全停止を保証するはずの安全計装システムが標的となり、マルウエア「Triton(トリトン)」により制御プログラムが改竄され、システムが緊急停止した。「Stuxnet」に次ぐ大規模な攻撃となり、ハッカーによる遠隔操作に成功した事例としては初となった。航空分野ではスペインで飛行機が離陸に失敗し炎上、ポーランドでは電車が脱線する事故などから死傷者が多数発生している。
2017年、世界的に猛威を奮ったランサムウエア(身代金要求型ウイルス)「WannaCry(ワナクライ)」は米国の市営鉄道にも深刻な影響を与えた。地下鉄の料金システムが停止し券売機が使用できなくなり、一日無料乗車を強いられることとなった。
水道では、下水処理システムの誤動作から大量の汚水が河川に流出し悪臭被害となった。情報系システムとは異なり、このような公共インフラの制御系システムが攻撃された場合には、人や環境への影響、いわゆるHSE(Health,Safety & Environment)のリスクが新たに注目される。

また、標的となるシステムは事業に直結している場合が多く、システム停止・誤動作による社会的影響や事業機会損失、事業競争力低下を招くおそれが大きい。サイバーリスクはもはや経営リスクの1つとして捉える必要がある。
 

公共機関へのサイバー攻撃、そのほかの例

時期 地域 業界 原因 被害
2000年 オーストラリア 水道 不正操作 ポンプの稼働を停止
2003年 米国 電力 SQL Alammerワームに感染 送電障害
2003年 米国 鉄道 W32/Blasterワームに感染 信号システムの停止
2008年 米国
鉄道
不正操作
列車が脱線
2008年
スペイン
航空
ウィルスに感染
離陸に失敗し炎上事故が発生
2010年 イラン
電力 マルウェアStuxnetに感染
遠心分離機が破壊、施設が一時停止
2015年
ポーランド 航空 不正アクセス 20便が欠航
2017年 中東 石油 マルウェアTritonに感染 制御プログラムのプロセスが停止


日経産業新聞 2019年4月17日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング
マネジャー 新井 保廣

公共機関のサイバー対策

お問合せ