水道局とパイプライン企業へのサイバー攻撃、制御システムで起こったインシデント2例追加

独立行政法人情報処理推進機構（IPA）は10月18日、「制御システムのセキュリティリスク分析ガイド」補足資料として新たに「2021年水道局への不正侵入と飲料水汚染未遂」と「2021年米国最大手のパイプラインのランサムウェア被害」を追加し公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021.10.21 Thu 8:00

　独立行政法人情報処理推進機構（IPA）は10月18日、「制御システムのセキュリティリスク分析ガイド」補足資料として新たに「2021年水道局への不正侵入と飲料水汚染未遂」と「2021年米国最大手のパイプラインのランサムウェア被害」を追加し公開した。

　IPAでは、制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開し、制御システム保有事業者の事業に重大な被害を与えるサイバー攻撃からの回避に重点を置いた「事業被害ベースのリスク分析手法」を紹介しているが、その補足資料として過去の制御システムのサイバーインシデント事例をもとに概要と攻撃の流れ（攻撃ツリー）を紹介した「制御システム関連のサイバーインシデント事例」シリーズを今までに7件公開していた。

　今回、追加されたのは、2021年2月に米国のフロリダ州 Oldsmar（人口約15,000人）の水道局の水処理システムに何者かがインターネット経由で不正侵入し、水酸化ナトリウムの投入量を高く設定変更するという事例。なお、現場操作員が不正な操作に気付き設定値を元に戻したため、供給される水は影響を受けず人的被害は発生しなかった。

　もう1件追加されたのは、2021年5月に米国最大手のパイプライン企業 Colonial Pipeline がランサムウェアによるサイバー攻撃を受け業務を停止した事例で、停止は 6 日間続き、米国東部南部でガソリンスタンドの休止や油価の上昇を招いた。

　IPAでは今後も、事例の追加拡充を図る予定。

《ScanNetSecurity》