メインコンテンツへスキップ
main content, press tab to continue
特集、論稿、出版物 | 企業リスク&リスクマネジメント ニュースレター

サイバーリスク:熱波でクラウドサービスが停止

執筆者 足立 照嘉 | 2022年8月16日

おそらく本稿が公開される頃にも暑い日々は続いており、暑い日に暑さの話など読みたくも無いかもしれない。今回はその暑さのせいでサイバー空間にどのような問題が起こったのかということから触れていきたい。
Risk and Analytics|Corporate Risk Tools and Technology|
N/A

暑さで止まった

この夏、欧州を熱波が襲い、7月19日には英国での観測史上初めて40℃以上を記録した。

英国ではこの猛暑により鉄道のレールが曲がり、滑走路に穴が開き、そして熱に耐えることができなかったデータセンターでは、いくつかのクラウドサービスが停止した。

最初にクラウドサービスが停止したのはOracleで、冷却システムに障害が発生し「重要ではないハードウェア」の電源をシャットダウンしたことでクラウドサービスが停止した。*1 ハードウェアが損傷することで長期的にサービスが停止してしまうことを防ぐためにとった措置であると理由を説明している。続いてOracleでの停止からおよそ2時間後には、Googleで冷却システムに障害が発生し、同様にクラウドサービスが停止することとなった。*2 その後両社は冷却の問題を解決し、19日晩にGoogle、20日朝にOracleのサービスが復旧している。

これらの問題によって両社の提供するストレージやコンピューティングに関連した様々なサービスが影響を受け、例えばGoogleCloudを利用しているWordPressのWebサイトがダウンしている。

WordPressとは世界中のウェブサイトの4割程度が利用しているとも言われるウェブサイトの制作やブログサイトを制作するためのCMS(コンテンツ・マネジメント・システム)のことだ。WordPress自体のWebサイトがダウンしていたとしても、WordPressで制作されたWebサイトに直接的な影響は無いが、偶然にもこの日、何らかの情報を得るためにアクセスを試みた場合は閲覧に不具合があった可能性もある。

WordPress以外にも多くの企業や組織がこれらのクラウドサービスを利用しているため、熱波によるサイバー空間への影響が皆無だったとは言えないだろう。

空調から!?

さて、何も冷却システムに影響を及ぼすのは熱波だけではない。そう、サイバー攻撃もだ。

空調を管理するシステムのことを総じてHVAC(暖房・換気・空調)システムとも呼ぶが、このようなシステムの多くはネットワークに接続されている。快適な環境と、効率的な電力消費を監視するために接続されている。そのため、ネットワーク経由で不正侵入され、冷房を不正操作されてしまう可能性もある。

逆に、米国の大手スーパーマーケットで4000万件のカード情報と7000万件の個人情報漏洩が発生した2013年の事件では、HVACシステムがエントリーポイントとなって不正侵入された。そして、同じネットワークに接続されていた決済システムにマルウェアを仕込むことで、顧客のカード情報を窃取することに成功している。

冷却システムを狙われることもあれば、冷却システムを踏み台とされてしまうこともあるのだ。

まだ暖房の季節には早いが、暖房システムに対するサイバー攻撃への影響を分析した中国の研究者らによる論文が、今年5月に公開されている。*3

近年では宇宙ステーションでの実験に関連して、熱制御の要件が厳しくなっていること。また、有人宇宙ステーションでは死傷者を出す可能性もあり影響が深刻であることなどから、この研究が行われたとしている。

この研究では、原子力発電所の熱制御システムにおけるサイバー脅威に優先順位を付けるためのセキュリティマージン計算アプローチを用いた検証などを行っており大変興味深い内容ではあるが、本稿では割愛し結論のみを紹介することとする。

この研究では、センサーのハードウェア障害、センサーのソフトウェア障害、そして、コントローラとバルブ間の通信を妨げるDoS攻撃について検証している。DoS攻撃とは、アクセスを集中させることで負荷を上昇させ、サービスを停止させてしまう方法である。

そして、センサー障害などの物理的な障害だけでなく、サイバー攻撃によっても暖房システムを安全では無い状態にできることが確認できたと結論付けている。

何が問題なのか?

ここまで熱波や猛暑や暖房について述べてきたので、最後に炎上について考えてみたい。そう、オンラインでの炎上についてだ。

今年6月、ある自治体にて住民およそ46万人の個人情報が記録されたUSBメモリが、一時的に所在不明となった。このことを受けて関係者による記者会見が行われたが、そこでの発言が一時話題となった。

USBメモリにはパスワードが設定してあるが、英数字で13桁のパスワードを設定しており解読するのは難しいと思うといった主旨の発言だったのだ。

このことの何が問題なのか?

アルファベットの大文字小文字は合わせて52種類ある。そして、数字は0から9で10種類ある。つまり、パスワードにはこの62種類の文字のいずれかが使用されている。そして、13桁ということは、組み合わせのパターンが62の13乗あるということだ。

これ自体は物凄く膨大なパターンの組み合わせが存在しており、2022年現在のプロセッサで一つずつ探っていっても1200年を要する。*4

しかしながら桁数や使用されている文字種別が分からなければ、62の13乗パターン以上に探っていく必要があったかもしれない。更に、偶然なのか必然なのか、この都市名と今年の西暦を組み合わせた数字が条件に一致したことから、ソーシャルメディアでも話題のキーワードとして注目された。

つまり、第三者がパスワードを解明し易くしてしまう発言をしたことが、問題視されることになった。

良かれと思って

ここで一つ着目していただきたいことがある。何故、そのような発言をされたのだろうか?

私が直接面識のある方ではないためあくまでも憶測となるが、この発言によって安心してもらおうとしたのではないだろうか。解読するのは難しいと思うといった発言をされていることからも、そのような意図があったように思われる。

実際、これまで私が直接見てきたいくつかの記者会見やプレスリリースなどでも、発言者の本来の意図とは異なる伝わり方をするような原稿が用意されており、修正されるようアドバイスを差し上げたことがある。ここで具体的な内容には触れないが、そのような発言をすることで被害拡大に繋がってしまう場合もある。

多くの場合、”良かれと思って” 発言したことが、裏目に出てしまっている。

本稿が公開される頃にも相変わらず暑い日々が続いていることと思うが、炎上を避けるためにも一度冷静になる必要があるかもしれない。


出典

*1 https://ocistatus.oraclecloud.com/#/incidents/ocid1.oraclecloudincident.oc1
.phx.amaaaaaavwew44aa7zoskanlspjh4ll6wxhwxrbkbed4d4cnupxexzqzvlyq


*2 https://status.cloud.google.com/incidents/fmEL9i2fArADKawkZAa2

*3 https://www.mdpi.com/1424-8220/22/13/4780/htm

*4 https://www.hivesystems.io/blog/are-your-passwords-in-the-green

執筆者


サイバーセキュリティアドバイザー
Corporate Risk and Broking

英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。


Contact us