まえがき

あるセキュリティの専門家があるイベントで、タイトルの件について間違った情報を伝えてしまっていた。反面教師として、考えられる原因を記録しておく。合わせて、正しい情報もお伝えします。

専門家の誤解のその原因

その専門家は、最近発生しているサイバー攻撃の事例とそれらから得られる教訓について講演をしていた。この中で、「米国の電力網に対する初めてのサイバー攻撃により、小規模な”停電”が発生した」と伝えていた。後述するが、"停電"は発生していない。

この誤解の原因は、次の記事にあると思われる。

この記事は、エネルギー専門の情報サイトE&Eの記事を参照し、「アメリカ西部の電力管理センターおよびいくつかの小規模な発電所内で、停電が起きた」と説明している。

本件について、この他に日本語の記事は見当たらない。また、誤解の内容と前後の話の流れからも、当該専門家はこの記事から情報を得て、講演で話をしたと考える。

だが、この記事自体がすでに事実と異なることを伝えているのである。

事実は、この記事の参照元であるE&Eの記事と、E&Eが情報源としているNERCの報告書等を読むことでわかる。

E&E（原文）とNERC報告書の確認

2019年9月6日、E&Eが、米国の電力網に対する初めてのサイバー攻撃により、米国西部の電力網管理センターと複数の小規模な発電所において「死角 (blind spots) 」が生まれたと報じた。

北米電力信頼度協会 (NERC: North American Electric Reliability Corporation) の報告によると、このインシデントは2019年3月5日のおよそ午前9時から午後7時まで発生した。この報告では、インシデントの概要を次のように説明している。

Cyber event that causes interruptions of electrical system operations.

NERCは、「Cyber event」を下記のように幅広く定義している。E&Eによると、ハッカーだけでなく、従業員や侵入者によるハードウェア、ソフトウェア、データに対する承認されていないアクセスによって引き起こされる電力系統や電力網の通信ネットワークの停止を示す。

Cyber Event (Information Technology): An event occurring on or conducted through a computer network that actually or imminently jeopardizes the integrity, confidentiality, or availability of the electrical system. An Information Technology (IT) cyber event is an electrical service impacting cyber attack on the business systems/networks.

2019年9月5日、NERCは、このインシデントについて詳細と対応、教訓をまとめた「Lessons Learned」を公開した。この報告書によると、正当なアクセス権のない攻撃者が、Webインターフェスの脆弱性を衝いて、電力網管理センターと各発電所にあるファイヤウォールを再起動した。このファイヤウォールが各施設間および施設内にある端末間の通信を制御していたため、再起動によって5分未満の「通信停止 (communications outages) 」が発生した。つまり、停電が発生したとは一言も書かれていない。

Problem Statement
A vulnerability in the web interface of a vendor’s firewall was exploited, allowing an unauthenticated attacker to cause unexpected reboots of the devices. This resulted in a denial of service (DoS) condition at a low-impact control center and multiple remote low-impact generation sites. These unexpected reboots resulted in brief communications outages (i.e., less than five minutes) between field devices at sites and between the sites and the control center.

本件以外にも、過去にCyber eventは報告されている。例えば、2018年1月には、研修中の従業員が誤って1万5千人に影響する停電を起こし、Cyber eventとして報告されている。E&Eは、本件を「サイバー攻撃」による初めてのCyber eventだとして報じた。

※著者注：上記のように報じられてはいるが、米国では2016年に、ロシア政府の関与が疑われる攻撃者が、電力会社の社内システムを経由して、隔離された制御ネットワークに侵入し「スイッチを押して停電を引き起こす」おそれがあったと報告されており、すでに電力網に対するサイバー攻撃は発生している。

まとめ

原文を読むとわかるとおり、今回紹介したインシデントでは停電は発生していない。調査を行う場合、3次情報よりも2次情報、2次情報よりも1次情報を確認し、より正確な情報を収集する必要がある。今回の場合、1次情報はNERCの報告書、2次情報はE&E、そして3次情報はE&Eの記事を参照する記事となる。また、海外の記事を参照・翻訳する日本語の記事の中には、邦訳を間違えているものが散見される。

間違った情報は、間違った状況認識を生む。間違った状況認識は、間違った判断を生む。正しい判断をするためにも、正しい情報を集める、情報を正しく伝えることは重要である。

サイバーセキュリティについては、日本語よりも外国語の情報の方が多く、伝達スピードも速い。正しい情報をいち早く入手するために、外国語の情報を自分で確認することは有益である。