米フロリダ州オールズマー市の浄水システムに何者かが不正侵入し、飲料水に含まれる水酸化ナトリウム(苛性ソーダ)量を100倍以上に増やす設定変更を行った事件。この時は管理者がすぐに気付いて対応したため実害は免れたものの、パスワードの使い回しや「Windows 7」の使用など、地方自治体の水道システムが抱える問題の一端が浮き彫りになった。こうした実態はたまたま明るみに出たにすぎず、氷山の一角だと専門家は指摘する。

 オールズマー市の浄水システムが不正侵入されたのは2月5日。何者かがPC遠隔操作ソフトウェアの「TeamViewer」を介して2度にわたって浄水場の産業制御システム(SCADA)にアクセスを確立し、飲料水に混ぜる水酸化ナトリウムの量を、約100ppmから1万1100ppmに変更した。

 事件を受けて水道局に警戒を促したマサチューセッツ州の通知によると、オールズマーの浄水場では職員の使うコンピュータが全てSCADAシステムに接続されていた。コンピュータのOSは、サポートが1年前に終了しているWindows 7(32ビット版)だった。さらに、リモート接続用のパスワードが全コンピュータで共有され、ファイアウォールを通さずにインターネットに直接接続されていたらしい。

 フロリダ州の事件は保安官が記者会見を開いて発表したことで表面化した。しかしセキュリティ関係者は何年も前からこうした事態に警鐘を鳴らしていたという。

 セキュリティジャーナリストのブライアン・クレブス氏が運営する「Krebs on Security」によると、TwitterやRedditなどのSNSを検索すれば、電力や水道、下水、製造工場などを遠隔操作するリモート管理画面にアクセスできたことを証明する投稿がいくらでも見つかるという。

 クレブス氏は今回の事件について、「恐らく未熟な侵入者がオールズマーの水道システムにリモートアクセスするための認証情報を何らかの方法で知り、自分の行動をほとんど隠すことなく、まず見過ごされないほど大幅な設定変更を試みた」と推測する。

 では、もっと高度な本格攻撃が仕掛けられた場合でも察知して阻止できるのか。オールズマーは人口約1万5000人の小さな自治体だった。Krebs on Securityにコメントを寄せた専門家によれば、全米には約5万4000もの水道システムがあり、その大多数が5万人以下の住民を対象にしている。大半は遠隔管理される無人施設で、年中無休で24時間IT監視ができる態勢はなく、不正侵入や危険な設定の変更などを検知してアラートを出せるセキュリティシステムも配備されていないという。

 「水道施設の運営ではやるべきことがあまりに多く、現状の改善に費やせる時間はほとんどない。それがリモートアクセス側に及ぶこともあり、リモートアクセスのセキュリティ対策や2段階認証の設定といった対策ができるIT担当者がいない場合もある」(マサチューセッツ州水資源局の管理コンサルタント)

 そうした実情は米国に限ったことではない。「サイバーセキュリティ問題に対する認識が不十分なだけでなく、予算が不十分なことにも原因がある。これは米国にとどまらず、ほかの国でも同じような状態だ」とポーランドCERTの専門家は言う。

 報道によると、米国土安全保障省のサイバーセキュリティ機関CISA長官だったクリス・クレブス氏は10日に米下院の委員会で、「オールズマーは恐らく例外ではなく常態だ」と証言した。「これは彼らの過失ではない。こうした自治体はセキュリティ対策のためのリソースが不十分で、自分たちの施設を守るために必要な収益を確保できていない」とクレブス氏は訴える。

 CISAは今回の事件を受け、TeamViewerのような遠隔操作ソフトウェアを使う場合の対策の徹底を促すとともに、サポートが終了して脆弱性も修正されないWindows 7は、サポートが継続しているWindows 10に更新するよう改めて呼びかけている。(鈴木聖子)

ITmedia NEWS 2/15(月) 8:06配信
https://headlines.yahoo.co.jp/hl?a=20210215-00000034-zdn_n-sci
https://amd-pctr.c.yimg.jp/r/iwiz-amd/20210215-00000034-zdn_n-000-1-view.jpg