上下水道は「国家安全保障上の弱点」、セキュリティがそこまで重要なのか

上下水道施設はサイバー攻撃に弱いという。既に攻撃が始まっており、事業者側は保護を求めている。どのような状況にあるのだろうか。

[David Jones，Cybersecurity Dive]

　学校や病院と並んで、上下水道施設が次のサイバー攻撃の対象になる。既に散発的な攻撃が始まっており、上下水道事業者側の危機意識が高まっている。どのような状況にあるのだろうか。

水源に毒を投入しようとする事件が発生

　米国国立標準技術研究所（NIST）はさまざまな分野にわたる数千の施設を将来のサイバー攻撃から保護する計画を立てている。そこで、上下水道業界の関係者にもパブリックコメントを求めた。

　NISTの一部門のNCCoE（National Cybersecurity Center of Excellence）は、業界団体や政府機関などと緊急性の高いサイバーセキュリティの問題を扱っている。NCCoEは2022年11月2日（注1）、あらゆる規模の水道事業者に対して、業界のサイバー耐性を高めることを目的としたプロジェクトについて、2022年12月19日までに意見を述べるよう求めた。

　NCCoEは飲料水と廃水処理施設がサイバー攻撃に対してますます脆弱（ぜいじゃく）になると述べた。なぜならコネクテッドシステムへの依存度が高まっているからだ。今回のプロジェクトではリモートアクセスとネットワークセグメンテーションのセキュリティを強化する。

既に攻撃が始まっている

　フロリダ州オールズマーの水処理施設に対して2021年2月、遠隔操作で水源に毒を混入しようとした攻撃があり（注2）、上下水道処理業界のセキュリティは連邦規制当局の優先事項になっている。

　2021年夏には、LinuxのGNU Cライブラリ（glibc）の脆弱性を利用した「GHOST」亜種と「ZuCaNo」ランサムウェアを使用して、それぞれカリフォルニア州とメイン州の施設に対して攻撃が開始された。連邦規制当局は2021年末、上下水道施設を狙ったサイバー攻撃の可能性について警告を発した（注3）。

　2022年10月末、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、上下水道処理施設のセキュリティは優先度の高い注力分野の一つだと発表した（注4）。バイデン政権は重要なインフラを提供する主要な事業者の安全を確保する計画を展開している。

上下水道事業者自らが取り組む

　全米水道事業者協会（NAWC：National Association of Water Companies）は、上下水道処理施設を国家安全保障上の懸念事項として捉えている。しかし、NAWCによればサイバー脅威の活動を管理する能力という点で、大規模な事業者と小規模な事業者の間に技術的なギャップがあるという。

　NAWCのプレジデント兼CEO（最高経営責任者）のロバート・パウェルソン氏は電子メールで次のような声明を発表した。

　「NAWCとその会員事業者は州と連邦政府のイニシアチブを長年支持してきた。イニチアチブの目的は上下水道システム運用者のための均一なセキュリティについて、コンプライアンスを確立することと施行を推進することだ。これはサイバー攻撃から国家の上下水道を守るために重要だと信じている」

　パウェルソン氏はイニシアチブを全面的に支持する一方で、最終的には事業者に対する単なるガイドラインや勧告以上のものになることを望んでいると述べた。

　「上下水道部門を真に保護するためには、コンプライアンス基準を設け、その実施状況を監査する必要がある」

出典：NIST seeks water industry feedback on boosting cyber resilience（Cybersecurity Dive）

注1：Open for Public Comment-Draft Project Description for Securing Water and Wastewater Utilities

注2：Water system hack reveals thousands of organizations vulnerable to Window 7 exposure（Cybersecurity Dive）

注3：Federal agencies warn of ransomware targeting water, wastewater treatment plants（Cybersecurity Dive）

注4：CISA’s priority sectors for 2023: water, hospitals, K-12（Cybersecurity Dive）