空港を狙うサイバー攻撃 対策は進んでいるのか

サイバー攻撃の対象はいかに対価を得やすいか、政治的な目的を達成しやすいかによって決まる。空港はどちらの条件も満たしている。

[David Jones，Cybersecurity Dive]

　サイバー攻撃に対して脆弱（ぜいじゃく）な空港や航空会社がある。攻撃を受ければ、空港の運営企業だけでなく、利用者を含めて大きな影響がある。どのような対策が必要なのだろうか。

空港と航空会社に求められる対策とは

　米国政府が空港や航空会社のサイバーセキュリティ対策に乗り出した。2023年3月7日に米運輸保安庁（Transportation Security Administration、TSA）が公開したサイバーセキュリティ修正案だ（注1）。

　この修正案によればTSAは、規制対象となる航空会社や空港に対して、悪意ある攻撃に耐える能力を強化するよう求める予定だ。

　この動きは、バイデン政権が「国家サイバーセキュリティ戦略」を発表してから1週間もたたないうちに始まった。なお、今回の空港に対する要求よりも数カ月前先んじて、旅客鉄道会社や貨物鉄道会社に対しても同様の要求が出されている（注2）。

　TSA長官のデビッド・ペコスケ氏は声明で次のように述べた。

　「わが国の輸送システムを保護することは、われわれの最優先事項だ。TSAは安全で安心、効率的な旅を支援するために、サイバーセキュリティのリスクを低減し、サイバーレジリエンスを改善するために、航空輸送に関わる業界関係者と緊密に連携していく」

　TSAの広報担当者によれば、今回の措置はTSAの既存の要件に対する緊急修正案の一部として即時発効されており、全ての対象航空会社と空港に連絡済みだという。

　規制対象の航空会社と空港に対して、次のステップを含む承認済みの実施計画の策定が求められている。

・IT侵害が発生した場合でも、業務用技術システムを安全に稼働させるためのネットワークセグメンテーションポリシーとコントロールを構築する

・重要なサイバーシステムへの不正アクセスを防止するためのアクセス制御策を構築する

・重要なサイバーシステム運用における脅威や異常を検出し、対応するための継続的な監視と検出の方針と手順を実施する

・重要なサイバーシステムのOSやアプリケーション、ドライバ、ファームウェアを保護するためのセキュリティパッチとアップデートをリスクベースの手法で適用する

既に攻撃は起こっている

　サイバー攻撃者はここ数カ月、さまざまなタイプの侵入手法を用いて、世界中の航空業界を標的にしている。

　例えばアメリカン航空は2022年7月、フィッシング攻撃の標的にされて「Microsoft 365」環境への不正アクセスを受けた（注3）。

　さらに米国の複数の空港は2022年10月にロシア語を話すハッカーによってDDoS攻撃の標的にされた。

出典：TSA unveils emergency cybersecurity requirements for airlines, airports （Cybersecurity Dive）

注1：TSA issues new cybersecurity requirements for airport and aircraft operators

注2：TSA issues new cybersecurity requirements for passenger and freight railroad carriers

注3：American Airlines phishing attack involved unauthorized access to Microsoft 365 （Cybersecurity Dive）