サイバーセキュリティ: 戦前の現実点検
(berthub.eu)- 欧州のサイバーセキュリティは、ハッキングやランサムウェア対応を超えて、戦前の時代において通信・電力・橋梁・政府ITが混乱の中でも持ちこたえられるかを問う問題へと変わっている
- 中核となる条件は、自壊しない堅牢なインフラ、把握された依存関係、問題発生時に自力で修理できる技術的所有権である
- Stuxnet、Viasatモデム破壊、ウクライナ電力網・Kyivstar攻撃は、サイバー攻撃がサービス障害を超えて機器破壊と社会インフラ麻痺へつながりうることを示している
- オランダの非常通信網と橋梁運用は、クラウド、電話網、VPN、海外の保守要員に依存しており、停電・戦時には復旧チェーンが途切れる可能性がある
- Google、Microsoft、AWSや海外の通信機器運用への依存が強まる一方で、社内の技術人材は減少し、組織の自己復旧能力も弱まっている
戦前の時代のサイバーセキュリティ
- Donald Tuskは欧州が「新しい時代」、すなわち戦前の時代に入ったと述べ、この文脈ではサイバーセキュリティは機密保護やランサムウェア防御を超えて、社会インフラの生存性の問題として扱うべきだとされる
- NATO事務総長のMark Rutteも、2024年12月12日の演説で「戦時の思考へ転換するときだ」と語った
- 停電、インターネット障害、病院の機能停止のような破局的なサイバー事案は誰もが懸念しているが、まだ限定的にしか起きていない
- 2013年、Brenno de WinterはTitanic沈没のような大事故が起きて初めて規制が本格化すると見ていたが、そのような事件がなくてもEUはいくつものサイバーセキュリティ法を整備した
- すでに6〜7本の法律が存在するが、部分的に有効化されたものは1本だけで、残りはまだ導入途上にある
- これらの法律は、ある程度サイバーセキュリティの状態を改善できるTitanic後の環境に近い
実際の軍事的サイバー攻撃の事例
- Stuxnetはイランのウラン遠心分離施設を狙った作戦で、施設を単に停止させるだけでなく、物理的に自壊させた
- ロシアのウクライナ侵攻直前には、Viasatモデム攻撃が発生した
- 攻撃者は衛星通信用モデムのファームウェアを消去し、機器を交換しなければならない状態にした
- ドイツではこのモデムを使っていた風力タービン4,000基が運用不能になった
- ウクライナ軍の通信も大きく妨害され、ロシアに有利に働いた
- ロシアは以前にも同様の方法でウクライナの電力網を麻痺させたことがある
- ウクライナ側はシステムが単純で堅牢であり、対応能力も高かったため、障害は約6時間にとどまった
- こうした事例はまれではあるが、戦時のサイバー攻撃がネットワーク障害を超えて機器破壊と社会インフラの麻痺につながりうることを示している
混乱時に必要な三つの条件
- 戦争、大規模な混乱、停電の状況では、三つの特性が重要になる
- 堅牢性: インフラは攻撃されなくても自ら倒れないこと
- 限定され把握された依存関係: 5,000km離れたコンピュータや人に依存しているのかを把握していること
- 修理可能な所有権: 機器、ファームウェア、配線、構成状態を自ら理解し、応急処置までできること
- Microsoft 365のような現代の通信ツールは、攻撃がなくても年に1日か2日ほど障害が起こりうるため、この意味での堅牢なインフラとは言い難い
- 機器保守が5,000km先で行われる通信事業者は、接続が切れれば支援を受けにくい
- 非常時には、正しいケーブルがなくて非公式のケーブルを使ったり、ファームウェアを自力で修正しなければならないこともある
非常通信網の後退
- sound-powered phoneは電気なしで動作する単純な装置で、船が燃えている状況でも甲板と通話できる
- ハンマーで叩いても動くほど単純で堅牢である
- 最大10ステーションと通話でき、50kmのケーブルでも動作する
- オランダの旧Mini-noodnetは、20のバンカーを結ぶ銅線ベースの非常通信網だった
- 一般の電話網から完全に独立しており、戦争や災害で生き残るよう設計されていた
- A/Bの完全冗長構成だった
- このネットワークは廃止され、現代化された非常通信設備はKPNのVPNサービスとDSLモデムに依存している
- すべての通話がKPNの複数のルーターを通過するため、何か壊れれば真っ先に壊れる可能性が高い
- 数年前の停電時にこのシステムを使おうとしたが、動作しなかった
- WhatsAppはオランダ政府の事実上の災害通信手段のように広く使われている
- 短いテキストメッセージベースの非常網という発想自体は有用である
- しかし米国とのケーブルが切れればWhatsAppも停止しうるため、非常網そのものの冗長性は低い
橋梁と現場修理能力
- Rijkswaterstaatは、橋が閉じないとき「エンジニアを呼んだ」と案内することが多い
- 橋を修理するには電話網が動作している必要があり、エンジニアの電話番号がクラウド上のExcelファイルにあるかもしれない
- 2024年の橋梁復旧チェーンには、クラウド、電話網、現場車両、場合によっては電動バンのクラウドまで含まれうる
- 現代の社会インフラは、電力、米国向けケーブル、クラウド、電話網がすべて動作して初めて維持できる構造になっている
- Botlek Bridgeは近代的な橋で、合計250回故障し、初期には年間75回程度の故障があった
- トラック交通の要路であるため、障害の影響は大きかった
- 専任エンジニアを現場のバンに常駐させ、ダウンタイムを半分近く減らした
- 障害追跡サイトとSMS通知サービスまである
- 数年後、原因は状態とセンサーを管理するサーバーの不良Ethernetケーブルまたはポートだと判明した
- 3年以上原因を突き止められなかったことは、自前インフラに対する統制力の不足を露呈している
- Maeslantkeringは逆に、単純で堅牢な大型インフラの事例である
- 高水位を防ぐための構造物で、閉鎖に使う赤いエンジンは構造物を押して閉める役割しか持たない
- エンジンが動かなくても閉じる別の方法があり、完全に閉じなくてもよい
- 受動的な構造であり、センサーに依存しない
通信インフラと海外依存
- 5Gをめぐる議論当時、政界は中国製機器を新たに採用するかを決める問題のように扱っていたが、現実には中国側がすでに多くの通信機器を運用していた
- KPNの採用情報で5G関連の運用職が見当たらないことは、通信事業者がそのインフラを自ら運用していない状況を示している
- 過去には20のバンカーと独立通信網を持つほど通信を重視していたが、今では北京で運用される構造を受け入れている格好だ
- 通信事業者がEricssonやNokiaの機器へ移行しているのは前向きだが、保守要員がスウェーデンの「Sven」ではなく遠隔地の人員である可能性がある
- 中国とインドはロシアと緊密に足並みをそろえており、ロシアによるハッカー攻撃時にInfosysのような外部組織が救援に来られるかは不確実である
- 欧州は高度な光学やチップ製造装置の分野では力を持つが、重要インフラを自ら運用することには十分な重点を置いてこなかった
脆弱性はあまりに基本的で多すぎる
- オランダの記者Joost Schellevisは、週末の間にオランダのインターネットをスキャンし、ハッカーに開かれた箇所を10,000件見つけた
- NCSCなどは改善作業を進めており、脆弱性スキャンも可能になっている
- かつては記者がこうしたスキャンをできた一方で、オランダ政府は法的理由でできなかった
- 「良いファイアウォールを買えば安全だ」という類いの助言も通用しにくい状態である
- 大手セキュリティベンダーの多くが、毎年何百もの問題を抱えた非常に不安定な製品を出している
- OracleやMicrosoftのような大手ベンダーのセキュリティ更新で、毎月何百もの脆弱性が出る状況が繰り返されている
- 最近の多くのセキュリティ事故は、高度な攻撃だけでなく非常に基本的なミスから生じている
- ヘルプデスクソフトウェアでは、URLの末尾にスラッシュを一つ追加するだけで新しい管理者としてアクセスし、パスワードをリセットできた
- GitLabでは、パスワード再設定時に二つ目のメールアドレスへ再設定リンクを送りながら、一つ目のメールアドレスだけで管理者かどうかを確認する問題が約6か月存在した
- Ivantiでは、
../のような基本的なパストラバーサルが2024年でも通用する事例が残っている
- 米国政府はIvantiの使用を禁止したが、オランダ政府は前段に別のファイアウォールを置けば問題ないという立場を取っている
クラウドは自動的な解答ではない
- 「クラウドへ移せば安全になる」という結論は成り立たない
- Microsoftは侵害を認識して対応中だとしていたが、その後もなお侵害されたままだったと認めた
- 企業の実際のセキュリティ状態を見るには証券市場への開示を読むべきだ、という解釈も可能である
- 開示で問題を隠せば取締役会が処罰されうるため、比較的率直になる
- 米国のCyber Safety Review BoardはMicrosoft関連の事故を調査しており、関連報告が重要な参考資料として挙げられている
- 欧州とオランダは多くのITをGoogle、Microsoft、AWSのような大手クラウドへ移している
- オランダ政府は機密情報や基本的な政府登録など一部はクラウドへ移さないとしている
- それ以外の大半はクラウド移行の対象になりうる
- 自前でITを運用していた組織がクラウドへ移ると、社内運用人材が去っていく
- 仕事自体が退屈になって自ら去る場合もある
- 優秀な技術者はクラウド企業へ移り、その後はその企業内部の運用方式を把握しにくくなる
- 核心的な問題は、重要な組織の中に、コンピュータが実際に何をしているのか知る人が残らなくなることである
非技術的な意思決定のコスト
- オランダと欧州の意思決定は非常に非技術的に流れうる
- クラウド戦略のような決定を下す場には、法学、歴史、芸術、フランス語などを学んだ人がいるかもしれないが、コンピュータが何をしているか分かる人は不足しがちである
- 技術者が会議に出席していない間に、会社がすべてを海外へアウトソーシングする決定を下すこともありうる
- 現在の傾向は、自分たちが運用しているものについてますます理解が薄れ、ますます遠くの人々に依存する方向にある
- この流れはすでに行き過ぎており、止まるというよりさらに悪化する側に近い
Kyivstarと戦時復旧能力の差
- ウクライナはすでに2年間の戦争を経験しており、単純に壊れうるものの多くはすでに壊れた状態だった
- ロシアはその後、ウクライナの大手通信事業者の一つであるKyivstarに対して破壊的な攻撃を行った
- Kyivstarとウクライナ側は混乱に備えており、システムをゼロから復旧できたため、2日で再稼働した
- VodafoneZiggoやOdidoが同じ攻撃を受け、外部支援を得られなければ、半年間停止したままになる恐れがある
- 理由は、自前のシステムを十分に理解していないためである
- コロナ禍で個人用防護具やマスクを自力で作れず中国に依存した事例のように、戦時にインドやDonald Trump政権へクラウド問題の解決を頼らなければならない状況は危険である
小さなソフトウェア実験と複雑性の問題
- クラウドを使わず画像共有をしようとすると、Imgurのような現代の画像共有サイトは約500万行のコードと高い複雑性を持つものとして扱われる
- 自作の画像共有ソリューションは1,600行のコードで、競合サービスより数千倍小さかった
- IEEEがこの事例を取り上げ、紙の雑誌にも掲載された
- セキュリティ専門家がこの1,600行のコードを監査し、三つの主要な脆弱性を見つけた
- 小さなコードでも深刻な脆弱性を隠しうる
- 500万行規模のコードは、事実上ずっと安全でない可能性があるという結論につながる
- 小さなコード、少ない依存関係、理解可能な構造は依然として可能だが、それだけで安全が自動的に保証されるわけではない
現在の状態と実務的な警告
- 日常生活を支えるシステムは複雑すぎて脆弱であり、攻撃がなくても自壊する
- 大手通信事業者で障害が起きた場合、もはやサイバー攻撃なのか単なる無能なのかを見分けなければならない状況である
- 技術保守はますます遠方へ移っており、通信事業者の採用情報でも無線網を直接扱う人材はあまり見当たらない
- 自前の技術力は弱まりつつあり、通信を動かし続けるには世界各地の支援が必要になっている
- この状態を戦時に当てはめれば、非常に悪い結果が予想される
- 原因は、非技術的な意思決定者が安く済むか面倒でない方向を選んできたためであり、より多くの技術的思考が必要だが、それを実現する方法は明確ではない
1件のコメント
Hacker Newsのコメント
著者の観点には全面的に同意する。たとえば European Train Control Systems では列車の安全な位置確認にGPSを使いたがる人が多いが、Galileo のような衛星を軌道に上げた費用を正当化できるので宇宙分野としては都合がよい。
しかし戦前点検訓練をしてみると、GPSが妨害電波を受けたり干渉されたりした場合、ヨーロッパ中の列車がのろのろ進んで停止するしかないという結論がすぐに出る。ウクライナ戦争前までは、こうした警告はあまり聞かれなかった。
重要インフラ は宇宙や地球の反対側にあるものに依存してはならない。こうした領域では市場原理より規制が先に来るべきで、次の Titanic を待つわけにはいかない。
Wabtec は侵害事故を受けたが、制御システムではなく従業員情報だけが関係していたと主張している。
https://www.wabteccorp.com/digital-intelligence/signaling-an...
https://industrialcyber.co/ransomware/wabtec-suffers-data-br...
パンデミックのように、自分が直接影響を受けるまでは大したことがないように見える面がある。
https://en.wikipedia.org/wiki/Ascension_(healthcare_system)
https://www.wired.com/story/change-healthcare-admits-it-paid...
また、5,000km 離れたコンピュータが必ずしも悪いわけではない。ハリケーンにさらされる Gulf Coast に住んでいるなら、その地域の外で予備の計算資源が稼働していてほしいと思うはずだ。Katrina 後、Tulane 医学部はルーマニアの VM 上で動いていた掲示板のおかげで素早く再編できたが、他は水没していた。
音力電話は艦船でダメージコントロールを担当したときに使ったことがあるが、ほとんどまともに機能しない。実際の火災対応の調整には無線機と船内放送が必要で、これは電力に依存する。
2011年に San Diego 全域が通勤時間帯に4時間停電したときも携帯電話網は動いており、信号機のない車の中から Tokyo に文書をメールで送れた。
米国側のケーブルが切れた事例もあるが、ケーブルが無事な災害も多い。優雅な性能低下 は広く分散した選択肢を持つことから生まれるので、IP 網が脆弱だと思うなら、Starlink 端末とアマチュア無線免許を備えておくほうがよいと思う。
https://en.wikipedia.org/wiki/SpaceX_Starshield
これまで HN で読んだ中でも指折りに良い文章で、もっと多くの人に読まれてほしい。「オタク」である立場からしても、もっと単純に解ける問題を、わざわざ オタク的アプローチ で解こうとしていないかとよく考える。
私たちは、それをすべきかどうかよりも、自分や他人に「できる」と証明するために、いちばん複雑な方法やいちばんオタクっぽい方法を選びがちに見える。もちろん、そうしたアプローチが常に悪いという意味ではなく、問題によっては単純な解法のほうが適している。
https://en.m.wikipedia.org/wiki/Therac-25
非技術者が安いものを最適化した選択をしたという点には同意するし、そこにはさらに2つの要素がある。サイバーセキュリティの 悪意ある行為者 は分散・分権化されていて、すばやく革新し共有する一方、防御側は中央集権的・独占的で、境界の内側に縛られている。
また、ソフトウェアやサービスの提供者は伝統的に安全なネットワーキングを製品に組み込めず、それを後から消費者が付け足すものとして押し付けてきた。ネットワークは最大かつ最も脆弱な攻撃面であることが多く、危険だ。
そのためできることは、「これさえ買えば安全になる」という何千ものベンダーのツールをまた1つ買うことくらいで、安全な製品を作ったことのある人には、そんな話は当然たわごとに聞こえるはずだ。
ほとんどのツールは少しは役に立つか、まったく役に立たないかで、決して万能の解決策ではない。安全な製品を作るには、セキュリティを 一級の要件 として初日から設計に組み込まなければならない。言うのは簡単だが、実行は難しい。
10年あまり前、西側のインフラはサイバー作戦に脆弱であるため、米国は小規模な同盟国を支援するために介入できなくなるだろうと予測する文章を書いたことがある。インフラ攻撃によって生じる国内の混乱コストのために海外戦争への介入をためらうようになり、その脆弱性がRussiaやChinaのような敵対国を大胆にする、という論理だった
これまでのところ、それは外れていた。最近のいくつかのインフラ事案は、「引き下がらなければこの程度は見せられる」というRussianの抑止作戦のようにも見えたが、米国は依然としてUkraine戦争に深く関与し、Iranに対抗するIsraelにも援護を提供しているようだ。両敵対国が米国の送電網を停止させる能力を持っているかもしれないという懸念は、あまり見られない
ChinaもTaiwanに対して強硬だが、完全な政治的併合ではなく管理することで満足しているようで、米国のTaiwan支援も真剣に受け止めているようだ。Chinaが半導体の入った米国内のほぼあらゆるものを停止できると仮定しても、である
もしかすると新しい世界秩序では、必要なものを効果的に管理できさえすれば、国家はあえて 主権領土 を広げる必要はないのかもしれない。ミサイル配備のような場合を除けば、牛乳を確保できるのに、なぜ牛を侵攻して統治の負担まで背負う必要があるのか。こうなるとサイバーは、宇宙・ネットワーク以前の地政学の想定よりも、さらに流動的な力学の中に置かれる
もし攻撃的サイバーにもっと投資すべきだという騒々しい議論が数多くあったなら、私は心配していただろう。存在しないかのように振る舞うやり方だけでも十分に分かる
筆者です。気になる点があれば知らせてください
またMicrosoftが防御を支援したので、悪い投資ではなかった。RussiansがNetherlandsに同様の攻撃を行った場合の潜在的被害を理解するための 定量的リスク評価 があったのか気になる
ITインフラ のあらゆるものがIndiaに、ましな場合でもPolandに外注されていた。EUのオフィスには有能な人がいても、自分のハードウェアを使う権限がない。外注会社の熟練度の低いチケット担当者たちに何週間も懇願し、終わりのない会議をしなければならない
EUの従業員は機能工場やプロセス管理者へと追いやられ、運用にはまったく関われない。「中核能力ではない」というような扱いだ
もう二度と「国家安全保障上重要な」ヨーロッパの大企業では働かない。魂が削られ、誰も気にしていないことがあまりにも明白だ
EU主権のために数百億ユーロが割り当てられるというニュースを見るたびに胸が痛む。管理者10人、エンジニア2人のチームで、長すぎる会議をしながら $indian_outsourcing_company チームに自分の仕事をやらせてくれと頼み込む経験をあまりにも多くしてきた
食料供給が、厄介で容易に妨害される衛星システムに全面的に依存していて、何の問題もないはずがない
https://www.404media.co/solar-storm-knocks-out-tractor-gps-s...
調べた限りでは、核心の詳細が少し違う。タービンは運転を続けており、数は4,000基ではなく5,800基だったようだ。失われたのは遠隔監視と遠隔制御の能力だったように見える
https://cyberconflicts.cyberpeaceinstitute.org/law-and-polic...
この違いを説明してもらえるとありがたい。この書き起こしを他の人にも確実に共有するつもりなので、整理する価値がある
最近、航空管制官たちにGPSが使えなくなったらどうなるかと尋ねたところ、皆が気まずそうな反応を示した
すべての航空機を着陸させるようベクタリングするので、非常に忙しい一日になるだろう。突然、ほとんどの航空機が安全に航法できなくなり、事実上離陸できなくなるからだ
地上ベースの航法支援施設 の予算を削るのは狂気だと思う
残念ながらGPSウェイポイントが好まれるようになったことで、こうした手段はますます使われなくなり、事実上廃止されつつある。まだ残っていても、パイロットが日常的に使わないため経験が減っている
この記事は、パイロットがGPSのみに依存するいくつかのシナリオを紹介している。追い風やより直線的な経路のために、VORのない場所でもGPSベースのウェイポイントを使い、RNAV出発・到着は「無線ベースの支援施設ではなく、GPSのみに」依存して、より精密な間隔と高い処理能力を提供している。山岳地形のような場所では、一部の進入でILSの代替としてGPSが使われている
https://simpleflying.com/gps-in-aviation-pilots-guide/
国家インフラの保守管理のあまりに多くの部分を China に外注しているのは狂気じみていると感じる
China が Taiwan に侵攻したら、向こうがそんなてこを握っている状況で、こちらに何ができるのだろうか。Russia のガス依存だけでも十分ひどかった
だからこそアメリカは Middle East にあれほど大きなプレゼンスを維持している
秘密裏にサイバー戦の 相互確証破壊 が存在するのか気になる
主要な大国はいつでも十分な 0-day を保有していて、それらをまとめて使えば世界中のコンピューターや携帯電話のかなりの部分を初期化できる、という仮定はかなりもっともらしく思える。ワームが IP を知的に使って特定の国を狙うようにするのも、それほど難しくないはずだ
業務用・家庭用コンピューターの 25% だけを消去しても、6か月以内に更新されていない携帯電話の大半やオンラインサーバーのかなり大きな部分を吹き飛ばしても、被害がどれほど大きいか想像するのは難しい
Kremlin がより深刻な衝突に備えて 0-day を温存している、という答えには説得力がない。Kremlin は Ukraine の状況を Russian の国家安全保障にとって非常に深刻な問題と見なしており、1発100万ドルを超えるミサイルを大量に使って Ukraine の電力網を弱体化させ、Ukraine 大統領の暗殺も何度も試みてきた
だとすれば、なぜサイバー攻撃で Ukraine に可能な限り大きな損害を与えようと総力を挙げなかったのだろうか
COVID-19 が海外に雑務を任せる依存を変えられなかったのなら、戦争直前の状況だからといって変わる可能性も非常に低いと思う
私たちは最短経路を最適化し、その過程で手を抜く種だ。何かが起きて焼け跡の上に座ってからようやく「いったい何を間違えたんだ」と考えることになる
一部の企業や政府は、国際市場とサプライチェーンへのアクセスを維持しながら地政学的リスクを減らすために Friendshoring を進めている。Bonnie Glick は Covid-19 パンデミック初期に USAID 副長官として働きながら「allied shoring」という言葉を最初に使い、USMCA や IPEF を含む新しいアメリカの通商政策も Friendshoring の枠組みに沿っている
https://en.wikipedia.org/wiki/Friendshoring
裁判所・司法ソフトウェアのセキュリティ懸念を多く提起していたら、その少し後に事実上解雇されたのが癇に障る
それ以来ずっと失業中で、収入は不安定になる一方なのに、求職はまったく進展していない
今、技術力が高いのに仕事を見つけるのが難しい人がどれほど多いのだろう。彼らは収入のために ブラックハット 側へ移りたくなる誘惑をどれほど感じているのだろう。こんなことを考えているのは自分だけではないはずだ
働いてきたすべての会社で巨大なセキュリティホールを見てきた。保険向けのチェックボックスさえ埋まれば、誰も気にしない
ブラックハットのコツを知っているなら、こちらにも送ってほしい……冗談だけど