ダムや原発に忍び寄る、サイバー攻撃の魔の手

＜原子力発電所などの重要インフラがハッキング攻撃を受けたら？　ダムへのサイバー攻撃が示唆する計り知れない代償＞

アルフレッド・ヒッチコック監督の映画『逃走迷路』（42年）にはフーバー・ダムの爆破計画が出てくる。ネバダ州とアリゾナ州の州境に位置するこのダムはコンクリート製で高さ221ｍメートル、長さ379メートル。歴史家によれば、ナチスもフーバー・ダムの爆破を計画していたという。

13年には実際に米国内の別のダムがイラン政府とつながりのあるハッカーに狙われた。マンハッタンから北へ50キロ足らずのライブルックにあるボウマン・アベニュー・ダムだ。水門の幅が約4.6メートル、高さ76センチという小さなダムで実害はなかったものの、このダムの制御システムにアクセスできたのなら、パイプラインや公共交通システムや電力網といった重要インフラのシステムにも侵入できた可能性が高いと、サイバーセキュリティーの専門家は指摘する。

米司法省は16年3月、11〜13年に米大手金融機関46社に対するサイバー攻撃に関与した容疑でイラン人7人を起訴したと発表した。容疑者の1人、ハミド・フィルージ（34）はボウマン・アベニュー・ダムのシステム侵入にも関与したとされる。フィルージはダムの水位や水温の情報を入手しており、通常であれば水門の遠隔操作も可能だったという。

ライブルックはウェストチェスター郡ライ市にある人口9500人の村だ。当時水門は保守作業でシステムから切り離されていたため、被害はなかった。しかし「水門を実際に操作できていたとしたら、どんな被害が出ていたか」と、ライ市のポール・ローゼンバーグ市長は懸念する。

もしも嵐の最中に水門を開けられていたら、付近の住宅や企業は浸水していた可能性がある。この地域では07年、10年、11年と洪水が相次いでおり、地元の住民にも企業にも多大な損害を与えた。ライ市が07年の洪水で被った損害は8000万ドルを超えている。

ハッキング事件で村とダムは全米の注目を浴びた。「ボウマン・アベニュー・ダムへの侵入は、サイバー犯罪の恐るべき新たな最前線を象徴する」と、マンハッタンのプリート・ブハララ連邦検事（当時）は語った。「今は金融システムやインフラ、私たちの生活に、世界のどこからでもクリック1つで攻撃を仕掛けることができる時代だ」

インフラの脆弱性が露呈

ローゼンバーグは13年に市長に就任してすぐに不正アクセスの件を知ったが、捜査関係者に口止めされた。「絶対に口外するなと言われた。妻にも話さなかった」

15年末にウォールストリート・ジャーナルが初めて報道し、16年1月にはニューヨーク州連邦地裁の大陪審が容疑者を起訴した。FBIによれば、イラン人7人はイラン政府から仕事を請け負っている民間のコンピューターセキュリティー会社2社で働いていたという。

被告のうち6人はそれぞれハッキングの実行・幇助・教唆の罪で、最長で懲役10年。フィルージの場合は厳重に警備されたシステムに不正アクセスした上データを入手した罪が加わり、さらに最長5年が上乗せになる可能性がある。

水門が遠隔操作された場合の被害が洪水程度だとしても、この事件がサイバー攻撃の脅威に対するインフラの脆弱性を示していることに変わりはない。「イランはアメリカの基幹インフラを十分攻撃できる技術を持っている」と、セキュリティーコンサルティング企業アプライド・コントロール・ソリューションズの業務執行社員ジョー・ワイスは言う。

ワイスによれば、ボウマン・アベニュー・ダムの制御システムは、はるかに重要なインフラのものと同種である可能性が高い。「発電所、製油所、パイプライン、交通システムなどもダムの場合と全く同じ問題がある。原子力発電所にも同じことが言える」

水力発電所はたいてい辺ぴな場所にあって無人の場合が多く、ある程度の遠隔監視と遠隔操作が必要だ。そのため重大なトラブルを発生させやすい。その一例が05年にミズーリ州のタウム・ソーク水力発電所で発生したトラブルだ。水位計の不具合で水があふれ、貯水槽の一部が崩壊した。原因は制御システムの故障で、ハッキングやサイバー攻撃ではなかったが、「悪意を持って同じことができたかどうかと言えば、いとも簡単にできただろう」と、ワイスは言う。

「予行演習」の可能性も

イランがボウマン・アベニュー・ダムを狙ったのは似たような名前のより重要なダムと勘違いしたせいかもしれないと、ローゼンバーグは言う。「さらに大きな企ての予行演習」だった可能性も疑っている。

ニューヨーク州のアンドルー・クオモ州知事はダム事件が明るみに出た後、サイバーセキュリティーを「最優先事項」とし、「旧式のインフラの刷新」などのセキュリティー向上に取り組んでいると述べた。

連邦政府も近年のサイバー攻撃に対するインフラの脆弱性について警鐘を鳴らしている。国土安全保障省は14年、オバマ政権の大統領令を受けて、「重要インフラセクターおよび組織がサイバー関連のリスクを軽減・管理するのを支援」するべく新たなプログラムを立ち上げた。

しかし現実には、重要インフラを保有・運営する民間企業のほとんどはこうした備えができていない。銀行など一部のセクターは大規模な対策をしてきた。当然だろう。顧客の資金と信頼を必要とする銀行にとって、サイバーセキュリティーはビジネスモデルの要だ。

一方、電力業界ではそうはいかない。電力会社の経営陣にとってサイバー攻撃はあくまでも仮定の話だ。彼らの多くはサイバー攻撃を未然に防ぐには攻撃を受けた後の後始末と同じくらいカネがかかる（しかも無駄かもしれない）と考え、あまり投資したがらない。

だがそんな考え方は大きな間違いであり、危険もはらんでいる。敵の狙いは必ずしも破壊だけとは限らない。インフラを「人質」にして身代金を要求する可能性もある。

16年にロサンゼルスの病院のコンピューターシステムがランサムウエアに感染した際には、病院側はハッカー集団の要求どおり身代金1万7000ドルを支払った。

フーバー・ダムや原子力発電所が標的になったら身代金をいくら要求されることやら......。防御策を講じるのとどちらが高くつくか、計算してみるといい。

＜本誌2017年12月26日号「特集：静かな戦争」から転載＞

ニューズウィーク日本版のおすすめ記事をLINEでチェック！

【お知らせ】ニューズウィーク日本版メルマガのご登録を！気になる北朝鮮問題の動向から英国ロイヤルファミリーの話題まで、世界の動きをウイークデーの朝にお届けします。ご登録（無料）はこちらから=>>

[2017.12.26号掲載]

マックス・カトナー