NIS-Be通信+(No.7)

《TOPIC》

  • セキュリティのさじ           :サイバーテロ/マイナンバー/みずほ障害(続報)
  • NIS-Be最新情報                :海外最新情報
  • コラム                               :仕込まれた脅威
  • One TERM(用語解説)        :サイバー攻撃その2(フィッシング

【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】

●4月11日にイラン政府の高官は、原子力発電施設へのサイバー攻撃があり配電網が被害を受けたと公表し、翌12日には別のイラン政府高官が「イスラエルが関与したテロ行為」と非難声明を出したと報じられました。

一方でイスラエル政府は今回の件に直接言及しておらず、当事国以外では真実を知りようもありませんが、2015年に発生したウクライナの電力設備への「サイバー攻撃」が、標的と疑惑の類似点から思い起こされました。今回のコラムは、そのウクライナの事件を振り返っております。

参考 「イラン原子力設備が被害 『サイバーテロ』と批判」             :日経新聞 4/12

    「イランの核施設攻撃『イスラエルが関与』 米の核合意復帰に暗雲:日経新聞 4/12

●デジタル改革に向けての関連法案が4月6日に衆院を通過し、デジタル庁は9月1日にも発足予定ですが、その中核をなすものと予想される「マイナンバーカード」の活用は、セキュリティ面からも注目されるところです。

同じ4月6日に、その試金石ともなる「マイナンバー健康保険証」が、プレ運用におけるデータ不整合を頻発させ、3月からの稼働予定を半年程延期するとの記事が掲載されていました。ただこの記事や元ネタの厚労省の審議会資料では、「今回は不整合の解消は人海戦術で対応し、今後については『ヒューマンエラー』前提でシステム対応をする」とあったのが気になりました。

今回の対応がITシステムの見直しのみに終始し、エラーの原因分析や体制・運用要領を評価した上でのルール見直しや利用者への周知徹底などを実施しなければ、今後も同様なトラブルが継続的に発生し、「人海戦術」を繰り返したり、その過程での情報漏洩リスク増大が危惧されます。

参考 「デジタル関連法案が衆院通過 9月1日にデジタル庁発足」    :日経新聞 4/6

「健康保険証「誤り3万件」が映すマイナンバーの不思議      :日経新聞 4/6

「マイナンバー保険証で露見? 医療デジタル化の死角」       :日経新聞 4/12

「厚労省社会保証審議会医療保険部会資料(オンライン資格確認等システムについて):厚労省HP 3/26

●前号で当欄でも取上げた「みずほ銀行」のATM障害について、銀行側が4月5日に中間報告を公表しました。内容は障害の経緯や原因をまとめた上で、緊急で実施した対策および今後の再発防止策の方向性が記されていました。

個人的な感想としては、障害事象個々に対する当面の策については具体的に書かれていましたが、今後の再発防止策については具体性に乏しい印象を受けました。今後事象発生の根本原因を見極めた上で防止策を決定し、かつ継続的対応を実践することが再発防止のポイントだと考えます。

同様の事故を起こした「東証」の社長が、4月5日に「バグゼロは不可能、障害回復力が重要」として、継続的対応の実践を重要視していると発言した事と共通性を感じました。

参考 「システム障害に係わる対応状況について」         :みずほファイナンスグループHP  4/5

「みずほ社長「顧客への影響、認識不十分」システム障害で」 :日経新聞         4/5

「システムのバグゼロは不可能、障害回復力が重要」     :ロイター         4/9

__________________________________________

【コラム:仕込まれた脅威】

筆者:齋藤 隆 

6年前、クリスマスも近い2015年12月23日のことでした。日没間近の午後3時半、ウクライナのイヴァーノ=フランキーウシクでは、シフトが終わった電力会社の作業員が帰り支度をしているところでした。  

その時、目の前にあるコンピュータのカーソルが動き始めました。カーソルは画面上を勝手に動き回ってメニューを弄り回し、電力遮断器を遠隔操作し、次々と電力の供給をストップし始めました。驚いた作業員はマウスを動かして阻止しようとしましたが、カーソルは言うことをききません。そのうち大規模な停電に発展し、ついには電力会社の非常用電源までがハッキングにより作動できなくなり、最後の砦の制御室も真っ暗になってしまったのです。

原因は「悪者」が電力遮断器をコントロールするソフトを書き換え、制御不能にしたためでした。

しかし、悪者はどうやってこのソフトをのっとったのでしょうか? 

事後調査によると、この「悪さ」が仕込まれたのは大規模停電の6ヶ月前でした。電力会社の社員がメールに添付されていたワード文書を開くと自動的にマクロが起動され、その結果、コンピュータが外部とつながるような「裏口」が、誰にも気づかれずに仕込まれたのです。「悪者」はこの「裏口」を通して、じっと潜み、こっそりと電力会社の内部を「スパイ」していました。

まずはネットワークの構造を調査します。そして、電力遮断器をコントロールするソフトなどにアクセスする権限を持った保守員のパスワードを盗みます。このように一連の「悪さ」を積み上げて、徐々に攻撃の準備を整えていきました。そしてクリスマス前の時期を狙って、電力遮断器の遠隔操作から始まる、周到に計画された総攻撃をかけてきたのです。

これは、ウクライナの電力会社を狙った「小規模」な攻撃でした。この電力会社は、幸運なことに自動化がそれほど進んでいなかったので、手動で電力を回復することができました。

同じことが日本で起こったらどうなるでしょうか?電力会社だけでなく病院、報道、運輸、銀行、政府機関などが同時に狙われたらどうでしょう。自動化が進んでいる日本で、コンピュータに頼らず素早く復旧することができるでしょうか?

同様の事故が最近も世界中で起こっていますが、この時の「悪者」とは誰だったのでしょうか?  個人ハッカーのレベルを超えた大きな組織が、「真剣に」攻撃に取り組んでいたのではないかと私は思います。そしてその目的は?社会に不安を与えることが目的だったのであれば、それは大成功でしたが、それにとどまらず多くの人命を奪うことになった可能性もあります。

ウクライナの停電の発端はメールに添付されたワード文書でした。まずはメールやインターネット上のセキュリティなどの身近な課題に真剣に取り組んでいかなければならないことを、今更ながら痛感しました。

参考文献:

  1. Andy Greenberg、2019, “Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers,” Doubleday
  2. Kim Zetter, 2016/3/3, “Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid”, WIRED, https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
  3. Michael J. Assante et al., 2016, “Analysis of the Cyber Attack on the Ukrainian Power Grid”, SANS ICS

___________________________________________

【One TERM(用語解説)】

●サイバー攻撃その2(フィッシング

「サイバー攻撃」の第二弾として、第一弾で解説した「ソーシャルエンジニアリング」を利用した攻撃に際しよく使われている「フィッシング」という用語を解説することとしました。

フィッシング

 フィッシングを「魚釣り(fishing)のこと」だと言ったら、当通信の読者の方には笑われてしまいそうですが、ここでの綴りはセキュリティの世界で使われる「phishing」であり、「インターネットのユーザから経済的価値がある情報を奪うために行われる詐欺行為(出典:Wikipedia)」を指します。

ここから派生的に、ターゲットを絞り「特定の個人や団体を標的とした詐欺行為」を「スピアフィッシング:spear phishing(モリ突き)」、価値の高い情報や権限を有する地位にある「企業幹部や有名人を標的とした詐欺行為」を「ホエーリング:whaling(捕鯨)」という名称で呼んだりしています。

いずれも、悪意をもった第三者がメール等で偽サイトなどに誘導して、犯罪に必要な情報(個人のクレジット番号やパスワード、企業の機密情報、場合によっては国家機密など)を取得することを目的とした詐欺行為です。

ここでポイントになるのは、利用者にいかに疑われずに「誘導」し、「行動」させるかという事であり、その「欺し」のテクニックとして、前号で解説した「ソーシャルエンジニアリング」の手法(不安を煽る、急がせる、身近な情報で信用させるなど)が活用されています。

「日本人を標的にした偽Amazonメールだけでも、20年8月から21年3月までの8ヶ月で1億8500万通であった」(日経新聞:4/5)と報道されていることからも決して他人事ではなく、またフィッシングで入手された情報が大規模なサイバー攻撃の入り口にもなり得ることからも、電子署名付きメールの推進など積極的な対策をとる必要性がより高まっていると感じます。

——————————————————————————————————

【編集後記】                 

 今回のコラムの筆者である齋藤さんから「サンドワーム」がテーマだと聞いた時は、昔見た映画「デューン/砂の惑星」に出てくる「ミミズのような巨大な砂虫(Sand Worm)」を思い出し、一体何を書くのだろうと興味津々でした。

参考文献の「Sand Worm」は翻訳本がなく題名に込めた真意は不明(単なる魚釣りの餌である砂虫の比喩?)ですが、今回のコラムを読み、得体の知れない何者かが「じっと潜み」「情報を集め」「突然の活動開始」する様は、まさに映画の「Sand Worm」の動きを思い起こさせました。

映画に興味をお持ちの方は、今年の10月にリメイク版が公開されるとのことですので、ご覧になってみてはいかがでしょうか。

                              (佃)