老朽化だけが問題じゃない 上下水道を襲う未来

上下水道のメンテナンスコストが問題になっている。民営化や集約化を試みる自治体もある。だが、これと並ぶ問題がもう一つある。

[David Jones，Cybersecurity Dive]

　安全な上下水道は電力やガスの供給と並んで重要な社会インフラだと考えられており、現在は上下水道の老朽化が問題になっている。さらに新しい問題がもう一つ見えてきた。

安全な上下水道を脅かすもう一つの問題とは

　ホワイトハウスが2023年3月2日にバイデン政権の「国家サイバー戦略」を発表しことがきっかけとなって、公共水道システムのサイバーセキュリティ対策が一歩進んだ。

　米環境保護庁（EPA）は各州に対して、このセキュリティ対策がどの程度実践されているのか評価することを義務付けた。各州は水道システムの定期的な監査である衛生調査の一環としてサイバーセキュリティを含めなければならない。

　「ほぼ全ての重要インフラの所有者や運営者は、安全規制のリストを順守しなければならない」と、サイバーおよび新興技術担当の国家安全保障副顧問のアン・ニューバーガー氏は、2023年3月2日（米国時間）の記者との電話会談で述べた。「特にサイバー攻撃は嵐や物理的な脅威と同じかそれ以上の被害をもたらす可能性がある。従ってサイバー攻撃に対しても同様の要件を設けなければならない」（ニューバーガー氏）

　「米国には10万以上の公共上水道システムがある」と、EPA Office of Waterのラディカ・フォックス氏（アシスタント管理者）は電話会談で述べた。最近のデータでは、米国内の上水道に対する犯罪者や「ならずもの国家」によるサイバー攻撃の脅威が高まっている。

　「水道施設を標的にしたサイバー攻撃は、米国の安全保障に現実的かつ重大な脅威をもたらすことを知っている。水道システムに対する悪意のあるサイバー攻撃はすでに、重要な水道処理プロセスを停止させるなどの被害を引き起こした」（フォックス氏）

　フォックス氏によると、制御システムネットワークがランサムウェアにロックされて、水道ポンプ場の配水システムインフラの監視と制御に使われる通信が不能になるという攻撃があった。

　同水道と下水道は長年にわたり連邦政府当局の大きな関心を集めてきた。近年最も悪名高いインシデントの一つは、フロリダ州オールズマーの同水道プラントで起きた攻撃だ（注1）。施設の監視や制御とデータ収集のためのシステムを攻撃者が遠隔操作して毒を混入しようとした。このプラントは旧態依然とした「Windows 7」で運用されていた。

　FBI（米連邦捜査局）とEPA、NSA（米国家安全保障局）、CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は（注2）、2021年に水道システムに対するランサムウェアの脅威の可能性について警告を発した。

　EPAは近年で最も悪質な事例として、カンザス州の水処理施設におけるインサイダー攻撃を挙げた（注3）。この事件では、解雇された従業員の資格証が無効化されておらず、施設の運用システムが遠隔操作されて、処理工程をオフラインにされてしまった。

　EPAはサイバーセキュリティ保護の実施を助けるため、州や地域の水道事業者に対して技術支援などを提供している。

日本の対策はどうなっている

　日本では厚生労働省が水道事業者のサイバーセキュリティ対策について調査を実施し、水道施設の技術的基準を定める省令を改正したものの、パスワード認証やアンチウイルスソフトウエアの導入、サポートが終了したOSの使用禁止、サーバルームや端末が置かれた施設の施錠、ネットワークからの分離、USBメモリの禁止などごく基本的な対策にとどまっている（厚生労働省「水道分野におけるサイバーセキュリティ対策」）。

出典：EPA unveils cybersecurity oversight for public drinking water systems（Cybersecurity Dive）

注1：Security flaws enabled Florida city water utility hack（Cybersecurity Dive）

注2：Federal agencies warn of ransomware targeting water, wastewater treatment plants（Cybersecurity Dive）

注3：Federal agencies warn of ransomware targeting water, wastewater treatment plants（Cybersecurity Dive）