生活インフラ｢水道水｣を狙うハッカーの脅威 水酸化ナトリウム含有量をなんと100倍以上に

残念ながら、サイバー攻撃を受けた原因は複数存在する。この水処理施設では、業務効率化のため、複数のパソコンに「チームビューアー」と呼ばれるリモートアクセス用のソフトウェアをインストールしていた。ITシステムに問題が発生しても、職員同士でデスクトップ画面を共有し、チームワークで解決しやすくするためである。実際に「チームビューアー」を使って、上司が水処理施設のシステムを遠隔監視することもあった。

調査の結果、施設のサイバーセキュリティ体制に3つの大きな穴があったことが発覚した。第1に、職員間で「チームビューアー」のリモート接続用パスワードが共有されていた。パスワードが共有されていると、万が一、サイバー攻撃者がパスワードを見つけてしまえば、より多くのシステムに不正アクセスされてしまう。また、同じパスワードをずっと使い続けている場合、退職者に不正アクセスされ、情報漏洩してしまう危険性もある。

第2に、職員のコンピュータは、ファイアウォールを通さずにインターネットに直接つながっていた。ファイアウォールは、不正アクセスや情報流出を食い止める防火壁に相当する。

第3に、この施設では、2020年1月にサポートの終了したWindows 7を使っていた。メーカーのサポートが終了すれば、サイバーセキュリティ上の問題が見つかっても、対処されず、脆弱なままになってしまう。

アメリカ連邦政府当局は、サイバー攻撃者が脆弱なパスワードと古いOSなどサイバーセキュリティの隙を突いて水処理施設のシステムに侵入したものと見ている。

サイバー攻撃の背後に隠れた問題

残念ながら、アメリカの水処理施設は予算が不足しており、なかなかサイバーセキュリティにまで手が回っていないのが実情だ。

アメリカ水道協会が2020年に出した報告書によると、水道業界の最大の悩みは、老朽化した水道・汚水処理インフラの刷新である。アメリカ水道協会のアンケートに回答した水道業界の人々のうち、この問題を挙げたのはなんと59.2%にも上った。

アメリカの水道業界では、2020年に15件のサイバー攻撃被害が確認されている。それでも、サイバーセキュリティの重要度は、なんとか16番目（27.4%）にランクインしている程度だ。