サイバー攻撃で世界は滅ぼせる？

どうもSakakibaraです。4日目の投稿です。せっかくですので明日までは毎日書こうと思います。そっから先は本当に気分次第で不定期に書きます。

今日も基本的には業界外の方向けです。よって、業界の方からすれば割と軽い話を書きますが、こういうのを触れた方がいいという方は是非コメントで援護射撃してください(笑)

さて今日の話はサイバー攻撃の可能性です。いったいどこまで何ができるんだという話。色々な話が浮かんできますし、眉唾ものも多いです。少なくとも、僕はどこぞの変なオッサンのように、絶対に検証もできないような謎の独自論をひけらかして、

「詳細を知りたい方はこちら」

と自分の研究所のリンクを貼ったりはしませんのでご安心。というかここでは宣伝はしないと決めております(笑)

実際に発生した事件の中で最大級のインシデントだったもの。1つ目はスパンエアーというスペインの航空会社が2008年に起こした離陸失敗事故。これは172名の乗員乗客のうち、154名が亡くなった大事故です。色々サイバー攻撃ではインシデントが発生していますが、死者が出ており、しかも人数も多いという点で最大級だと僕は考えています。

元々、この機体は整備不良だったようです。飛行機というのは沢山のセンサーが付いていまして、ここからの信号を管制塔が受信することによって機体に異常が無いかどうかを判断し、離陸を許可します。異常信号が出ていれば止めます。ところが、この管制塔のシステムが「トロイの木馬」と言われるマルウェアに感染していて、異常に処理速度が劣化した結果、離陸するまでに異常信号を受け取って停止を指示することができなかった、ということが顛末。

ここから学ぶべきことは、攻める場所を工夫することによって色々な事故や災害を引き起こすことが可能であるということ。サイバー攻撃というと、なんだか「飛行機の飛行システムそのものを攻撃して墜落させる」みたいなことをしないと飛行に影響を与えるイメージが沸かない、ということはありませんか？しかし実際には、飛行機１つ飛ばすにも、いろんな人とシステムが関わりあっているのです。飛行機のシステムそのものに侵入できなくてもどうにかできるということなのです。先日書いた「リスクシナリオアプローチ」も、こうした穴を探すために役立つ方法なのです。

次の例は有名なものを２つ。まずは2010年にイランで発生したStuxnetと呼ばれるマルウェアによる攻撃。これは世界初のサイバーテロと言われており、のちにスノーデンが米・イスラエルによる共同作戦で、オバマ大統領も承認したものであると暴露しました。これは核施設でウランを抽出するための遠心分離機という機械を攻撃しました。これは素材をブンブン振り回して欲しい物質を分離するためのものなのですが、それを異常な回転数にすることで、一説によると8,400台のほぼすべてを破壊したと言われています。これによりイランの核開発は３年分台無しになったとも。

これらのシステムはインターネットになんか繋がってはいませんので、直接攻撃することは不可能。しかし、メンテナンスをする際に外から技術者が修正パッチを持ってきたり、ノートPCを繋いで、センサーからの膨大なログを持って帰って社内で分析したりということは発生することがあります。米・イスラエルは、まず技術者に対してハッキングを行い、USBを感染させてマルウェアの「運び屋」にしたのです。麻薬・覚せい剤で聞くアレです。ここから、インターネットに繋がっていない工場系の「制御システム」の危険が広く認識されました。制御システムはセンサーから上がってくる温度・圧力等々の情報をもとに、原発なら水入れて冷やしたり、あるいは空気を入れたり抜いたりということをするんですね。化学物質は管理の仕方があって、常温で放っておくだけで爆発するようなものもあるわけですね。制御不能、というのはそういう問題が起こる可能性もあるというわけです。

これ、たぶん目的は施設の破壊だったからこの程度で済んだんですよ。本物のテロリストなら、そのまま原発を制御不能にするところまで狙うでしょう。

そしてもう一つはウクライナで二年連続で起きた、これまた有名な事例。クリスマスに大停電が起きたんですね。

日本の皆さんは3.11の輪番停電での大混乱を、あるいはそもそも東北で避難生活をしておられた方も多数おられると思いますので、広域停電が起こると人々の生活は実に広範な不便が起こること、場合によっては人命に危険が及ぶこともわかると思います。さっきの「放っておくと爆発する問題」がどこかで起こるかもしれませんよね。たいてい、予備電源くらい持っているはずですが、予備電源を持っていた福島第一原発が想定漏れによりあのような事態になったことを考えると、停電というのも非常に恐ろしいものだと思います。

ライフラインを寸断し、原発をひょっとしたらメルトダウンさせることも出来、挙句の果てには飛行機を落とせる。もうこれだけでおなかいっぱいですが、ヒヤリハットで言えば水道局のシステムに侵入し、どうやら攻撃者はカード情報を狙ったようなので気が付かれなかったものの、管理者権限奪っていたので塩素量をコントロールすることも可能だったという話も。

水道の塩素量を自在にコントロールできるとしたら、それってもはやバイオテロと言ってもいいのではないでしょうか。

こんなに色々あるのに日本ではなかなか聞きません、制御システムの事故。日本は安全かというと、そんなわけありません。単に公表をしないだけなのです。米国は法律で報告の義務があります。日本は金融庁を除き、報告を強制するような体制にまで至れていません。しかも、制御システムはマルウェア対策ソフトも入れていないので、検知する能力がありません。日本の本番は２０２０年のオリパラです。ロンドンオリンピックでは大会期間中に２億件のサイバー攻撃がありました。テロリストからすれば、この時期こそが本番。今のうちにバレないところで演習・潜入だけしておいて、一発大きな花火はそのとき、と思っているかもしれません。

そして最後。昨年・今年と大きな選挙がありました。アメリカ大統領選挙とフランス大統領選挙。どっちも選挙直前に情報漏洩が起きているんですね。どちらもロシアの関与が疑われていますが、上手い時期にサイバー攻撃で情報を盗んで公開すれば、選挙結果を他国がコントロールすることも出来てしまう。こうなると民主主義が根底から崩壊してしまうかもしれません。正々堂々と、正しい手順を取って傀儡政権を作ることができるかもしれません。これもまた大変な問題なのです。

そんな状況で言いたいことは、まずリスクの棚卸をするべきということです。そして、そのリスクが現実となった時の被害額を、機会損失も含めて算定することです。サーベイやってると、わかるんです。たぶん算定してないんだろうなと。サイバー攻撃受けているくせに、こんな被害額で済むわけないだろうがと。そうすれば、自ずとどのリスクをどこまで対処しなければならないのか、お金で定量的に測ることができるはず。まずはそっからなのだと思います。

今日はこんなところです。もう記事も４つ目ですので、これまでのリンクを。

5/12 世界的なランサムウェアに関するPickまとめ https://newspicks.com/news/2244624

ネットにつながなければ安全？ https://newspicks.com/news/2247032

個人情報が漏れるのは怖い？ https://newspicks.com/news/2249359

次に今日のPickです。

【実録】日本がすがる「テクノロジー大国」イスラエルの凄み https://newspicks.com/news/2241954

新たな大規模サイバー攻撃、水面下で進行WannaCry超える規模 https://newspicks.com/news/2250516

ハッカー集団、さらなるサイバー攻撃ツール公開か https://newspicks.com/news/2251397