2021年2月初旬、米国のある水道施設(浄水場)がサイバー攻撃を受けて、飲用水に含まれる水酸化ナトリウムの濃度の設定値が100ppmから1万1100ppmに引き上げられた。職員がすぐに気づいたために実害はなかったが、重要インフラを狙ったサイバーテロとして話題になった。
保安官が事件の経緯を説明
被害に遭ったのはフロリダ州タンパ近郊のオールズマーの水道施設。約1万5000人の住民に水を供給している。同施設の制御システムに外部から不正アクセスがあったのは2月5日の金曜日。翌週月曜日の2月8日、同州ピネラス郡のボブ・ガルティエリ保安官が記者会見を開き、事件の経緯を説明した(図1)。
同施設では施設外からトラブル対応などが可能なように、特定の職員はインターネット経由で制御システムにアクセスできるようにしていた。リモートアクセスソフトTeamViewerを使って施設内のパソコンに接続し、そこから制御システムにアクセスしていたようだ。
ガルティエリ保安官によると、2月5日の午前8時ごろ、施設を監視していた職員が制御システムに誰かがアクセスしているのに気づいたという。ただ、上司などは定期的にシステムにリモートアクセスしているので、上司によるアクセスだと思い疑わなかった。また、アクセスは短時間だった。
そして同日午後1時30分ごろ、攻撃者は制御システムに再度アクセスし、飲用水に投入される水酸化ナトリウムの量を変更した。水道施設では水の酸性度の調整や水中の金属除去のために水酸化ナトリウムを使用している。通常は約100ppmに設定している濃度を1万1100ppmに変更したという。実に100倍以上である。
水酸化ナトリウムは劇物だ。規定量を超えて投入されれば「毒」になる。もし攻撃者の設定通りに水酸化ナトリウムが投入されていれば大変な事態になっていただろう。だが職員がすぐに気づいて設定を元に戻したため実害はなかった。このときの攻撃者の「滞在時間」は3~5分間だったとされる。
重要インフラへのサイバー攻撃は以前より懸念されている。「国家が支援する高度な攻撃者グループが、敵対する国の重要インフラをネットワーク経由で破壊する」といったサイバーテロのシナリオはよく語られる。「なぜオールズマーが狙われたのか分からない」とはガルティエリ保安官の弁だ。また、「犯人は不明。まだ誰も捕まっていない」とした。
だがその後、そういった類いの攻撃である可能性は低いことが判明する。施設のセキュリティーレベルは著しく低かったのだ。
