コンテンツにスキップ

イラスト:セキュリティ管理

カジノサイト

ハッカーがフロリダ市の水道に毒を入れようとする

スコット・ブリスコー著
2021 年 2 月 9 日

セキュリティの今日

2 月 5 日金曜日、フロリダ州オールズマーの水道技術者は、何者かが自分のコンピューターを制御し、水道事業の水酸化ナトリウムの量が 11,000 パーセント (100 ppm から 11,100 ppm に) 増加するのを目撃しました。

月曜のセキュリティ侵害を発表した記者会見で、ピネラス郡のボブ・グアルティエリ保安官は、「これは危険なものだ。悪質な行為だ。悪役だ。単なる少量の塩素や少量のフッ化物ではない。基本的に灰汁のことを言っているのだ。」

オールズマーはフロリダ州タンパのレイモンド・ジェームス・スタジアムから約25マイルに位置しており、ハッキングは同スタジアムでスーパーボウルが開催される2日前に発生した。ハッキングのタイミングや場所が今回の事件と関連しているかどうかは不明。実際、犯人についてはまったく知られていません。

「サイバーセキュリティの専門家らは、犯人は退屈した十代の若者、不満を抱いた従業員、あるいは国民国家や請負業者の言いなりになる可能性があると述べた。」ニューヨーク タイムズ 。 「攻撃の原因を特定するプロセスには数か月、あるいはそれ以上かかる可能性があります。」

米国エネルギー省アイダホ国立研究所のシニアグリッドストラテジスト、アンディ・ボックマン氏は、このハッキングが国のインフラに対する大規模攻撃の一部ではないと考えている。 「この事件についてはまだ調査中ですが、内部情報はまったくありませんが、これは非常に初歩的な攻撃のようです」と彼は言います。 「この特定の攻撃を実行するには、国家レベルの高度な技術や能力は必要ありません。」

技術者がその様子を目撃したため、処置はすぐに取り消され、給水には影響がありませんでした。グアルティエリ氏は記者会見で、水が市の水道に到達する前に変化を検出できる手動監視など、他の安全策が講じられていると指摘した。検出されると、水道事業者は悪水を供給源に供給する前に廃棄するまでの緩和措置を講じることができます。

グアルティエリ 有線ハッカーが浄水場の TeamViewer ソフトウェア (コンピュータのリモート アクセスと制御を可能にするプログラム) を侵害することでアクセスを獲得したようだと雑誌で報じられています。ソフトウェアがどのように侵害されたかについて何か分かっているとしても、調査が続いているため情報は公開されていません。この事件以来、施設はTeamViewerをアンインストールしており、他の重要なインフラストラクチャの設置にはスーパーボウル前に警告が出されていた。ただし、グアルティエリ氏は、そのようなコントロールへのリモート アクセスが無効になっているかどうかなど、追加のセキュリティ予防措置については詳細を明らかにしませんでした。

CPP の Scott Stephens は、水道事業のセキュリティを専門とするセキュリティ コンサルタントです。彼は、カジノサイト インターナショナルの公益事業セキュリティ評議会 (現在は公益事業セキュリティ コミュニティ) の元議長でもあります。 「事件を振り返ると」とスティーブンスは語るセキュリティ管理, 「プロセス制御システムにインターネット アクセスがあることに驚きました。ベスト プラクティスは、インターネットに接続されているシステムにプロセス制御を決して触れないようにすることです。」

資源が少ない小規模の公益事業では、給水を遠隔監視する必要があるかもしれないと彼は言う。 「市の水道システムは複雑な化学システムです。火災や水道本管の破損、商業利用の急増などで需要が高まる可能性がある場合には、迅速に対応できるように化学物質と供給レベルを監視するリモート監視が必要になる場合があります。しかし、実行する制御アクションはインターネットに接続されたマシンからは実行できません。」と彼は付け加えました。

スティーブンス氏は、全米のほとんどの水道事業体にはこの脆弱性はなく、インターネットに接続されたデバイスを介したリモート アクセスは存在しないと考えていると述べています。彼は、リスクと回復力の評価と緊急対応計画の要件を通じて問題に対処します。で水道事業者の同法遵守を支援する米国環境保護庁 (EPA) によると、「水プロセス制御システムに対するサイバー攻撃は一般的ではありません。報告されているプロセス制御システムへのサイバー侵入事件のほとんどは、制御ネットワークが企業ネットワークから適切に分離されていない場所で発生しています。」

この法律に基づき、すべての水道事業体はリスク評価と緊急対応計画を完了したことをEPAに証明することが義務付けられています。大手電力会社が認証を提出する期限はすでに過ぎている。オールズマーのような小規模の電力会社の場合、期限は 2021 年 6 月 30 日です。

ボックマン氏は、この事件は警告信号として機能するはずだと言う。 「浄水場やその他の重要な産業エンジニアリング現場のほとんどのエンジニアやオペレーターは、サイバーセキュリティに関する教育や訓練をほとんど、あるいはまったく受けていません」と彼は言います。

オールズマー施設では、誰かがTeamViewerツールによって付与されたアクセスを意図的に悪用しようとする可能性への備えができていないこと、およびそれに応じた計画が明らかにされていなかったことを彼は指摘した。 「健康と安全、そして公衆に直接影響を与える可能性のあるシステムを扱うオペレーターやエンジニアは、サイバーセキュリティの脆弱性をよく理解する必要性が強くなります。サイバーセキュリティの専門家である必要はありませんが、基本的な知識を自分の状況に適用することで、本当に身を守ることができます。」

arrow_upward