水道局とパイプライン企業へのサイバー攻撃、制御システムで起こったインシデント2例追加
独立行政法人情報処理推進機構(IPA)は10月18日、「制御システムのセキュリティリスク分析ガイド」補足資料として新たに「2021年 水道局への不正侵入と飲料水汚染未遂」と「2021年 米国最大手のパイプラインのランサムウェア被害」を追加し公開した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
IPAでは、制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開し、制御システム保有事業者の事業に重大な被害を与えるサイバー攻撃からの回避に重点を置いた「事業被害ベースのリスク分析手法」を紹介しているが、その補足資料として過去の制御システムのサイバーインシデント事例をもとに概要と攻撃の流れ(攻撃ツリー)を紹介した「制御システム関連のサイバーインシデント事例」シリーズを今までに7件公開していた。
今回、追加されたのは、2021年2月に米国のフロリダ州 Oldsmar(人口約15,000人)の水道局の水処理システムに何者かがインターネット経由で不正侵入し、水酸化ナトリウムの投入量を高く設定変更するという事例。なお、現場操作員が不正な操作に気付き設定値を元に戻したため、供給される水は影響を受けず人的被害は発生しなかった。
もう1件追加されたのは、2021年5月に米国最大手のパイプライン企業 Colonial Pipeline がランサムウェアによるサイバー攻撃を受け業務を停止した事例で、停止は 6 日間続き、米国東部南部でガソリンスタンドの休止や油価の上昇を招いた。
IPAでは今後も、事例の追加拡充を図る予定。
《ScanNetSecurity》
関連記事
関連リンク
特集
アクセスランキング
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多
-
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
-
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず
-
笛吹市商工会へのサポート詐欺被害、調査結果公表
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に