ハッキングであわや大量毒殺発生の危機だった水道処理施設のずさんなセキュリティー体制とは？

2021年2月5日、フロリダ州オールズマー市の水処理施設に何者かが遠隔でアクセスし、上水に含まれる水酸化ナトリウムの量を基準値の約100倍に設定するという事件が発生。幸い早期に発覚し被害者はいなかったものの、国家安全保障上の問題だとしてFBIやシークレットサービスなどが調査に乗り出していました。調査が進んだ2021年2月11日、ハッカーはファイアウォールを設定していないPCに侵入し、PCにインストールされていた遠隔操作ソフト「Team Viewer」を利用していたことが明らかになったと報じられました。

Hack exposes vulnerability of cash-strapped US water plants
https://apnews.com/article/water-utilities-florida-coronavirus-pandemic-utilities-882ad1f6e9f80c053ef5f88a23b840f4

Hack exposes vulnerability of cash-strapped US water plants
https://apnews.com/article/water-utilities-florida-coronavirus-pandemic-utilities-882ad1f6e9f80c053ef5f88a23b840f4

Breached water plant employees used the same TeamViewer password and no firewall | Ars Technica
https://arstechnica.com/information-technology/2021/02/breached-water-plant-employees-used-the-same-teamviewer-password-and-no-firewall/

フロリダ州ピネラス郡保安官事務所の発表によると、問題の水道処理施設への不正アクセスは2021年2月5日の午後1時30分頃に発生したとのこと。職員がシステムを監視していると、画面上のカーソルが勝手に動いてプラントの設定を変更し、上水中の水酸化ナトリウム濃度を通常の100倍にまで上昇させました。しかし職員はすぐに設定を元に戻して当局に通報し、事なきを得ています。

水道システムがハッキングされて市民が大量毒殺される危険があったと判明

この事件を調査していたマサチューセッツ州環境保護局の調査では、不正アクセスが行われた水処理施設のPCの1つには遠隔操作ソフト「Team Viewer」がインストールされており、職員はこのソフトを介して水処理プラントのステータスチェックやシステム制御などを行っていたことが分かっています。しかしTeam Viewerを利用するためのパスワードは全てのPCで同じものが使用されており、さらにPCはファイアウォールが無効のままインターネットに接続され、全てのPCのOSはサポートが終了した「Windows 7」だったといいます。FBIも同様の調査結果を発表しており、「ハッカーはセキュリティ上の弱点を突いてシステムにアクセスした」としています。

Team Viewerは世界中で多数の利用者がいますが、以前から各国のハッカーの攻撃手段として使用されてきた歴史があり、Team Viewerはセキュリティ対策として「推測されにくい安全なパスワードを設定すること」を推奨しています。

PCをリモート操作するTeamViewerの乗っ取りで被害が続出した件で開発元が声明を発表

サイバーセキュリティ企業のFire Eyeによると、水処理施設へのハッキングの試みは過去1年間で増加していますが、ほとんどが素人によるものだとのこと。Fire Eyeのテクニカルマネージャーであるクリス・シストランク氏は「アメリカの水道業者にとってサイバーセキュリティの問題は比較的新しいものであり、水道管の詰まりやパイプの破損などの問題の方が重要視されている」としており、「今回のハッキングにより基本的なセキュリティ対策が必要なことが判明したが、抜本的な制度の改革などは必要ない」と述べています。

なお該当の水処理施設には以前からセーフガードが設定されており、この事件を担当したピネラス郡保安官事務所のボブ・グァルティエリ氏は「給水までには24時間以上の猶予があり、その間に化学変化が検出されていたであろう」と述べています。