近頃、英国では公共放送 BBCで放映されたハッキングされて暴走する電車に乗り合わせた人たちの人間模様を描いたドラマが話題になっている。
もちろん、架空のストーリーとして描かれた作品ではあるが、奇しくもこの1ヶ月ほどの間にロンドン交通局や主要ターミナル駅のシステムがハッキングされるなどの事件が発生しており、単なるフィクションではなく、私たちが直面するリアルな脅威であることを示している。
サイバー攻撃による鉄道システムの混乱は、公共の安全と経済活動に重大な影響を与える可能性さえあるが、なぜ鉄道システムがサイバー攻撃のターゲットとなっているのか、今回はいくつかのケースを考察していく。
鉄道システムへのサイバー攻撃は近年目立つようになっており、2022年にデンマークの鉄道会社がサイバー攻撃を受けた際には、一時的に運行が停止した。このサイバー攻撃では鉄道の運行管理システムが標的となり、システムが停止したことで列車の運行が不可能となった。幸いにも、この攻撃による人的被害は報告されなかったが、数時間にもおよぶ鉄道の停止は数千人の乗客に影響を与え、国全体の経済活動にも甚大な影響を及ぼすこととなった。
2020年にインドで鉄道システムがサイバー攻撃を受けた際には、鉄道の予約システムが標的とされ、オンラインでの予約サービスが停止した。その結果、膨大な数の乗客が予約を行えなくなり、駅での混乱が生じることとなった。
また、駅での混乱ということでいえば、2017年にドイツの鉄道会社がランサムウェア攻撃に遭った際、駅の電光掲示板が動作しなくなったことで乗客に対する情報提供が停止した。このことによって直接的な運行停止は発生しなかったものの、情報の不提供によってドイツ国内広範で混乱が生じた。
これらのケースからも分かるように、鉄道システムがサイバー攻撃を受けた場合、その影響は広範かつ深刻なものとなる。鉄道の運行停止や遅延は、日常的に鉄道を利用する通勤者や旅行者に直接的な影響を及ぼし、更にビジネスや学校への影響、場合によっては緊急時の医療輸送にも支障をきたすことさえある。
加えて、サイバー攻撃によるデータ流出やシステムの損害は、鉄道会社に対して高額な復旧費用や信頼性の低下をもたらす可能性もあり、公共交通機関の信頼性が損なわれることは利用者の信頼を失うだけでなく、経済全体にも悪影響を与える。
前述した鉄道システムへのサイバー攻撃のケースでは、それぞれ異なる手法や結果をもたらしているが、いくつかの共通点も見られる。現代の鉄道システムでは、運行管理、チケット販売、乗客への情報提供など、ほぼすべての面でデジタルシステムに依存している。このデジタル化の進展によって鉄道運営の効率は飛躍的に向上してきたが、それらをサイバー攻撃の標的としている。リアルタイムでのデータ処理とネットワーク接続を必要とする鉄道システムが標的となれば、その影響は広範に及ぶこととなる。
多くの鉄道システムでは、複数のサプライヤーから提供されるソフトウェアやハードウェアが使用されている。そのため、一つのサプライヤーが脆弱であれば、鉄道全体のシステムに影響を与える可能性もある。例えば、サプライヤーが提供するアップデートに悪意あるコードが含まれていた場合、システム全体に被害が広がるリスクが考えられる。こうした攻撃をサプライチェーン攻撃と呼ぶが、鉄道以外でも近年急増している。
9月に発生した英国主要駅での公衆Wi-Fiサービスへのサイバー攻撃は、Wi-Fiサービスを提供しているサプライヤーの従業員によって引き起こされたことが後に判明している。
また、サイバー攻撃で金銭的な利益を目的としていることも多い。特に鉄道システムへのランサムウェア攻撃では、鉄道会社にとって運行停止や混乱への懸念が大きなプレッシャーとなるため、結果的に身代金の支払いを強いられることもある。
そして、一部のサイバー攻撃は国家間の対立を背景にしていることもあるが、鉄道システムは国家にとっての重要なインフラストラクチャでもあることから、特定の国が他国に対して行うサイバー攻撃の一環として狙われることもある。そうした攻撃は、単なる経済的損失にとどまらず、国家の安全保障にも深刻な影響を与える可能性さえある。
鉄道システムのデジタル化に伴って効率が飛躍的に向上してきたが、サイバーリスクも増大している。そのため、鉄道に限らずデジタル化の進展と同時に、セキュリティ対策の強化は必要不可欠である。また、セキュリティ対策は一度きりのものとせず、定期的に評価を行い、セキュリティ対策をアップデートしていくことで、サイバー攻撃を未然に防ぐ努力を怠ってはならない。
また、近年増加しているサプライチェーン攻撃に対しては、サプライヤーが提供する製品やサービスの信頼性を確保し、厳格なセキュリティ基準を設けることが不可欠である。更に、サプライチェーン全体にわたるサイバーリスクを評価し、包括的な対策を講じることが求められている。既に、一部の業界では業界のガイドラインが示されていたり、法制化されている地域もある。
そして、サイバー攻撃が発生した場合には、迅速にシステムを復旧させるための計画が必要であり、平時から取り組むべきことだ。鉄道システムの場合、社会にとって重要なインフラであり長期間の停止は大きな混乱を招くが、多くの事業者も同様に事業中断に伴う経済的・社会的影響は計り知れない。そのため、システムのバックアップやリカバリープランを事前に策定し、緊急時には迅速に対応できる体制を整えておくことが重要である。
サイバーセキュリティは既にIT部門固有の問題ではなく、重要な経営課題の一つでもあり、社会課題ともなっている。その取り組みは、教育や啓発も含め全社的な取り組みとなっていなければならない。
更に、デジタル化の進展とITへの依存度が高まることで、サイバーリスクは今後も高まり続けていくため、サイバーセキュリティの手を緩めず、高め続けていかなくてはならない。当たり前のことを述べているが、当たり前のことを積み重ねていくことが重要なのだ。
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。
