スマートシティ技術の危うさにもっと注目を

午後4時、ニューヨーク市の信号機が何者かの手によって一斉に止められたらどうなるか、想像してみてほしい。

Black Hatで開催されたスマートシティのセキュリティに関するラウンドテーブルで、当社セキュリティエキスパートのライアン・ナレイン（Ryan Naraine）が口にしたことが、ずっと私の頭を離れません。

主に技術研究者の間で交わされた会話ですが、世界で最も交通量の多い都市で信号機が止まるという考えを、どうしても振り払うことができませんでした。近ごろは、あらゆるものがネットにつながっています。携帯電話、テレビ、時計、フィットネストラッカー…それに玄関だって、ネットにつながっているかもしれません。では、信号機、列車制御システム、電力網もそうであることはご存じでしょうか？

私たちの日々の生活に欠かせない産業システムのどれかが止まってしまう。想像するだけでもゾッとする話です。

電気が？
電車が？
信号機が？

どれか1つでも不適切に扱われたら、命取りになりかねません。ですが、多くのモノと同じように、スマートシティのセキュリティはまだ十分な対策がとられていません。

https://www.instagram.com/p/BIqLhaeA32B/

お役所仕事やシステムの開発期間の短さなどの要因が重なって、セキュリティ対策は後手に回ることが多々あります。

この問題をめぐる議論は、セキュリティ業界でも同様に厄介なことになっています。というのも、普通の人たちはセキュリティのことをまったく考えていないため（考えるべきなのですが）、議論が業界内に留まり、業界の外へと発展しないのです。

セキュリティを語るとき、私たちは日常的に使う身近なモノに目を向けがちです。たとえばPC、モバイルデバイス、フィットネストラッカー…とても大事なモノのように思われるかもしれませんが、これらは実際にはぜいたく品であり、生活必需品ではありません。ハッキングされたら大きな痛手となりますが、だからといって死ぬようなことには、普通なりません。

産業制御システムに対するサイバー攻撃は、社会に大きな影響を及ぼす可能性があります。一方で、複雑極まりない産業制御システムの保護は一筋縄ではいきません。求められるのは「協力体制」です。 https://t.co/uLx2zJaVGO pic.twitter.com/P73cmWnZcr

— カスペルスキー 公式 (@kaspersky_japan) July 14, 2016

先日開催されたRedditのAMAで、こんな質問がありました。「ICS（産業用制御システム）のハッキングによって大量の被害者、もしかすると死者まで出るような事態を、私たちはいつ頃から目にし始めることになるのか、何か予想されていることがあれば教えていただけないでしょうか？今の時点でもその可能性はあるのでしょうか？ドイツの製鋼所に対する攻撃やマルウェア のBlack Energy、スウェーデンの航空管制システムに対する攻撃などを見ると、まだ現実になっていないとはいえ、危機は目前のように感じます」

この質問に、ブライアン・バーソロミュー（Brian Bartholomew）はこう回答しました。「素晴らしい質問ですが、エキスパートにとっては厳しい質問です。私の考えでは、誰かがどこかで最後の一線を越え、被害者が出るのは時間の問題です。セキュリティ対策がとられておらず、サイバー攻撃への耐性がない重要インフラが溢れていることを考えると、正気を失った人と、ICSの動作に関する基本的な知識が揃えば、大規模な被害が生じる可能性があります」

「だからこそ、ICSのセキュリティ対策は、セキュリティ分野の政策立案者などの専門家が今すぐ取り組むべき最重要課題です。いただいた質問のような厳しい問いを、関係者にもっとぶつけていかなければなりません。誰が対策を実施するのかについてですが、…また個人的な意見になりますが、誰も『十分な』対策を実施できていないと思います。そもそも『十分な』では、ダメです。侵入できないようにする必要があります。今すぐに。ところが、現状はそうではありません。ICSに対する攻撃は、もはや都市伝説などではありません。すでに起きていることであって、今後は悪化するばかりでしょう」。

産業施設もサイバー攻撃の対象となり得ます。化学工場がハッキングを受けた場合、攻撃者の意図はどこにあると考えられるでしょうか。また、ハッキングはどう進行するでしょうか。https://t.co/g6u2Gv6Mn7 pic.twitter.com/hfXS3EIuvY

— カスペルスキー 公式 (@kaspersky_japan) August 31, 2015

ヴィタリー・カムリュク（Vitaly Kamluk）は、次のように回答しています。「正直言って、考えたくありません。前に、マルウェアが仮想世界と物理世界との境界を越えて物理的な対象を破壊する可能性について考えを巡らしたことがありましたが、Stuxnetの事件が起きたのはそのまさに翌月でした。当時はひたすら、『なぜ、こんなに早く？』と考えていました。飛行機の墜落や列車の脱線のような突然の惨事を耳にするたび、そのときと同じ妙な気持ちになります」

「halvarflakeの名で知られる有名なセキュリティリサーチャーが今年初め、こんなことを言いました（僕の記憶の中で再構築するとこんな感じです）。『物理的な対象は、あなたが所有することができる。ただし、コンピューターシステムにはもう1つ、制御という側面がある。コンピューターを所有することはできるかもしれないが、現行のシステム設計では、誰が制御しているのかは決してわからない』」

「これが僕の安眠を妨げるのです。コンピューターシステムに対して僕たちが抱く『制御』という幻想は、自らの力を他人に向けて行使する人々によってもたらされる悲劇の可能性を限りなく拡げますから」。

では、この厄介な問題に対して、何ができるのでしょうか？

手始めにできることは、グローバル社会の住人として、選挙で選ばれた人々が私たちのためにどのような安全対策を実施しているのかを注視していくことです。

重要インフラを狙うマルウェアとして、昨年大きな話題になったStuxnet。最初にターゲットとなった具体的な施設が判明…このマルウェアが登場した意味の重さがうかがえます。 http://t.co/h4b2UiBaFd pic.twitter.com/sJ8S6IaVZ7

— カスペルスキー 公式 (@kaspersky_japan) November 28, 2014

教育と意識向上は、極めて重要です。この議論はセキュリティ業界を超えて交わされるべきであり、ゴールデンタイムのニュース番組で取り上げてもらわねばなりません。こうした超重要システムに対するハッキング行為は、破滅的としか言いようがありません。有名人のスキャンダルや出会い系サイトのハッキングなどよりも、もっと注目されるべきテーマです。