重要インフラとサプライチェーン攻撃
重要インフラは、国民生活と経済活動の基盤であり、その機能停止は社会全体に深刻な影響を及ぼします。サプライチェーン攻撃は、重要インフラを狙う主要な攻撃手法の一つとなっています。
重要インフラの定義(14分野)
日本政府は、以下の14分野を重要インフラとして指定しています。
| 分類 | 分野 |
|---|---|
| 生活基盤 | 電力、ガス、水道、医療、金融 |
| 情報通信 | 情報通信、放送 |
| 交通・物流 | 航空、鉄道、物流、港湾 |
| その他 | 政府・行政サービス、クレジットカード、石油 |
攻撃の影響の大きさ
重要インフラへのサイバー攻撃は、以下のような深刻な影響をもたらす可能性があります。
- 国民生活への直接的影響
- 電力、水道、ガスの供給停止は、国民の生命・健康に直接影響します。医療機関のシステム停止は患者の生命に関わります。
- 経済活動への影響
- 金融システム、物流、通信の停止は、経済活動全体に波及します。製造業、小売業など他の産業にも連鎖的に影響します。
- 社会不安の増大
- 重要インフラの停止は、社会不安やパニックを引き起こす可能性があります。情報通信の停止は、正確な情報伝達を妨げます。
国家安全保障上の重要性
重要インフラは、国家安全保障の観点からも重要です。国家支援型の攻撃(APT)グループが、政治的・軍事的目的で重要インフラを標的にするケースが増えています。サプライチェーン攻撃は、直接攻撃が困難な重要インフラに侵入するための有効な手段として使われています。
重要インフラへのサプライチェーン攻撃事例
ウクライナ電力網攻撃(2015年、2016年)
ウクライナの電力会社を狙った攻撃は、重要インフラへのサイバー攻撃の代表例です。
- 2015年12月の攻撃
- ウクライナ西部の電力会社がサイバー攻撃を受け、約23万人が停電の影響を受けました。攻撃者は、フィッシングメールで初期侵入し、数か月かけて偵察を行った後、変電所の制御システムを遠隔操作して停電を引き起こしました。
- 2016年の攻撃
- 翌年にも同様の攻撃が発生し、キエフ郊外で停電が発生しました。より高度なマルウェア「Industroyer」が使用されました。
- サプライチェーンの関与
- これらの攻撃では、制御システムのベンダーが提供するソフトウェアや、保守作業員の認証情報が悪用された可能性が指摘されています。
Colonial Pipeline(2021年)
米国の石油パイプライン会社Colonial Pipelineへのランサムウェア攻撃は、重要インフラの脆弱性を示す事例となりました。
- 攻撃の概要
- ランサムウェア「DarkSide」により、Colonial Pipelineの業務システムが暗号化されました。同社は操業を5日間停止し、米国東海岸のガソリン供給に混乱が生じました。
- サプライチェーンの要素
- VPNアカウントの認証情報が漏洩したことが侵入経路とされています。外部からのアクセス管理がサプライチェーンリスクの一部であることを示しています。
- 身代金の支払い
- 同社は約440万ドルの身代金を支払いました(後に大部分を回収)。
詳しい事例はサプライチェーン攻撃の海外事例をご覧ください。
NISCの重要インフラ保護政策
NISC(内閣サイバーセキュリティセンター)は、重要インフラのサイバーセキュリティ政策を統括しています。
「重要インフラのサイバーセキュリティに係る行動計画」
NISCは、重要インフラ分野のセキュリティ対策の基本方針を示す行動計画を策定しています。
- 経営層の責任
- 重要インフラ事業者の経営層は、サイバーセキュリティを経営課題として認識し、リーダーシップを発揮することが求められます。
- リスクマネジメント
- 重要インフラ事業者は、リスクアセスメントを実施し、リスクに応じた対策を講じる必要があります。サプライチェーンリスクも評価対象です。
- 情報共有・連携
- 政府、重要インフラ事業者、セキュリティ関係機関との間で、脅威情報の共有と連携を推進します。
セプター(CEPTOAR)
セプターは、各重要インフラ分野における情報共有・分析の中核機能を担う組織です。
| 機能 | 内容 |
|---|---|
| 情報収集 | 分野内の事業者からセキュリティ情報を収集 |
| 分析 | 収集した情報を分析し、脅威評価を実施 |
| 共有 | 分野内事業者への情報共有、注意喚起 |
| NISC連携 | NISCや他分野セプターとの情報連携 |
情報共有の仕組み
NISCを中心とした情報共有の仕組みが構築されています。
- J-CSIP:サイバー情報共有イニシアティブ
- 重要インフラ横断的演習:分野を横断したサイバー演習の実施
- 注意喚起:NISCからの緊急注意喚起の発出
経済安全保障推進法の要件
2022年に成立した経済安全保障推進法は、サプライチェーン強靱化と基幹インフラの安全確保を柱の一つとしています。
基幹インフラ役務の安定的な提供の確保
経済安全保障推進法では、基幹インフラ事業者に対して、特定重要設備の導入・維持管理等に関する事前審査制度を設けています。
- 対象事業者
- 電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカードの14分野の基幹インフラ事業者が対象です。
- 事前審査
- 特定重要設備の導入・維持管理等の委託を行う場合、事前に政府の審査を受ける必要があります。
- 審査の観点
- 役務の安定的な提供を妨害するおそれがある行為が行われるおそれがないかどうかを審査します。
事前審査制度
事前審査制度の概要は以下の通りです。
| 項目 | 内容 |
|---|---|
| 届出義務 | 特定重要設備の導入等について事前届出が必要 |
| 審査期間 | 原則30日、延長の場合は最長4か月 |
| 審査結果 | 問題なし、条件付き許可、勧告・命令 |
| 罰則 | 届出義務違反、虚偽届出等に対する罰則 |
対象設備
特定重要設備として、基幹インフラ役務の安定的な提供に重要な役割を果たす設備が指定されています。サーバー、端末、ソフトウェア、クラウドサービスなどが含まれ、これらのサプライチェーンリスクが審査対象となります。
電力・ガス・水道の対策
重要インフラの中でも、電力・ガス・水道は国民生活に直結するライフラインです。
- 電力
-
SCADA・EMS:電力の需給調整、送配電制御を行うシステム。サプライチェーン攻撃の標的となるリスクがあります。
スマートグリッド:再生可能エネルギーの大量導入に伴い、IT/OT連携が進み、攻撃面が拡大しています。
規制対応:電力システム改革に伴い、発電、送配電、小売が分離され、事業者間の連携とセキュリティ管理が複雑化しています。 - ガス
-
制御システム:ガスの製造、供給を制御するシステム。長いライフサイクルを持つ設備が多く、レガシーシステムのリスクがあります。
サプライチェーン:LNG(液化天然ガス)の調達から消費者への供給まで、複雑なサプライチェーンを持ちます。
安全確保:ガス漏れなど安全に関わる問題のため、システム変更に慎重な対応が求められます。 - 水道
-
制御システム:浄水場、配水場の制御システム。多くの自治体で運営されており、セキュリティ対策のレベルにばらつきがあります。
レガシーシステム:古いシステムが使われ続けているケースが多く、脆弱性対策が課題です。
予算制約:特に中小の水道事業体では、セキュリティ投資の予算確保が困難な状況があります。
サプライヤー選定と国産化
重要インフラのサプライチェーンセキュリティにおいて、サプライヤー選定と国産化の議論が進んでいます。
信頼できるサプライヤーの選定
重要インフラ事業者は、セキュリティの観点からサプライヤーを選定する必要があります。
- セキュリティ評価
- サプライヤーのセキュリティ体制、過去のインシデント履歴、認証取得状況を評価します。
- 地政学リスク
- サプライヤーの所在国、経営への外国政府の影響などを考慮します。
- サプライチェーンの透明性
- サプライヤーがさらに利用しているサプライヤー(サブサプライヤー)まで含めた透明性を求めます。
国産製品の活用
重要インフラにおいて、国産製品の活用を促進する動きがあります。
- セキュリティ上のメリット:国内でソースコードの検証、脆弱性対応が可能
- サプライチェーンの管理:国内サプライヤーであれば管理が容易
- 課題:一部の技術分野では国産製品が存在しない、コスト競争力
特定国製品のリスク
経済安全保障の観点から、特定の国・地域の製品に関するリスク評価が求められています。
- 外国政府による不正なアクセス・データ収集のリスク
- 有事の際のサービス停止・供給停止のリスク
- バックドアや脆弱性の意図的な組み込みのリスク
国家関与型攻撃(APT)への対策
重要インフラは、国家関与型攻撃(APT:Advanced Persistent Threat)の主要な標的です。
高度な攻撃への備え
APT攻撃は、通常の攻撃と比べて以下の特徴があります。
| 特徴 | 内容 | 対策 |
|---|---|---|
| 高度な技術 | ゼロデイ脆弱性、カスタムマルウェアの使用 | 多層防御、異常検知、脅威インテリジェンス |
| 長期間の活動 | 数か月から数年にわたる潜伏 | ログの長期保存、定期的な侵害調査 |
| サプライチェーン経由 | 直接攻撃が困難なため、サプライヤー経由で侵入 | サプライヤーのセキュリティ評価 |
| 豊富なリソース | 国家の支援による潤沢な資金・人材 | 政府との連携、情報共有 |
政府との連携
APT攻撃への対応には、政府機関との連携が重要です。
- NISCからの注意喚起・脅威情報の活用
- インシデント発生時の政府への報告
- 政府主導のサイバー演習への参加
脅威インテリジェンスの活用
APT攻撃者グループに関する脅威インテリジェンスを活用し、プロアクティブな防御を行います。
- APTグループの活動状況、攻撃手法の把握
- IOC(侵害の痕跡)を活用した検知
- 自組織が標的となっている可能性の評価
詳しくは標的型攻撃(APT)をご覧ください。
関連する攻撃手法
重要インフラは、以下の攻撃手法の標的となっています。
- サプライチェーン攻撃
- ベンダーや委託先を経由した侵入。詳細はサプライチェーン攻撃の定義と仕組みをご覧ください。
- 標的型攻撃(APT)
- 国家支援型の高度で持続的な攻撃。詳細は標的型攻撃(APT)をご覧ください。
- ランサムウェア
- 重要インフラシステムの暗号化。Colonial Pipeline事案が代表例。詳細はランサムウェアをご覧ください。
- 制御システム攻撃
- SCADAやPLCを標的とした攻撃。Stuxnet、Industroyer等のマルウェア。
- 不正アクセス
- VPN脆弱性やリモート保守経路を悪用した侵入。詳細は不正アクセスをご覧ください。
- フィッシング詐欺
- 重要インフラ職員を狙ったフィッシング。詳細はフィッシング詐欺をご覧ください。
- 情報漏洩
- 重要インフラの設計情報、運用情報の流出。詳細は情報漏洩をご覧ください。
まとめ
重要インフラ・経済安全保障のサプライチェーン攻撃対策について、以下のポイントを押さえてください。
- 重要インフラの特殊性:国民生活と経済活動の基盤であり、停止の影響が甚大
- NISC行動計画への対応:経営層の責任、リスクマネジメント、情報共有の推進
- 経済安全保障推進法への対応:事前審査制度への対応、特定重要設備の管理
- セクター別対策:電力・ガス・水道それぞれの特性に応じた対策
- サプライヤー選定:セキュリティ評価、地政学リスク、サプライチェーンの透明性
- APT対策:高度な攻撃への備え、政府との連携、脅威インテリジェンスの活用
- 情報共有:セプター、J-CSIPを通じた業界内・業界間の情報共有
官公庁・自治体の対策も関連する内容です。業種別カテゴリトップやサプライチェーン攻撃の総合ガイドも参照してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す ← 現在のカテゴリ
人気のページ
更新履歴
- 初稿公開
