congerdesign
congerdesign

カンザス州エルズワースの水道システムの制御用コンピューターにリモートで侵入し、水道局の浄水場監視操作システムを不正に操作したとして、地元に住むワイアット・トラヴニチェクを米連邦検察が逮捕・起訴しました。トラヴニチェクは2018年に地元の水道局に勤めていたことがあり、そこでは時間外でもリモートで水道局のシステムにログインし状況を監視する業務が割り当てられていたとのこと。

起訴状によると、トラヴニチェクは2019年の3月下旬に、前年務めていた水道局のシステムに遠隔からログインし、システムを故意にシャットダウンする操作を行っていました。特別捜査官のランス・エーリグ氏は、この悪意ある操作で「公共の飲料水システムを不法に改ざんすることにより、被告はコミュニティ全体の安全と健康を脅かした」と述べました。実質的な被害はなかったものの、被告の行為の影響範囲はこの水道局の管轄のうち1500世帯と10の事業所におよびます。

トラヴニチェクがどのように水道局のシステムにアクセスしたかについては起訴状には記されていませんが、本人が務めていたときの立場を考えると、トラヴニチェクの退職後も彼のアカウントが削除されずに放置されていた可能性が考えられます。もし起訴による裁判の結果、有罪が確定すれば、トラブニチェクには最大25年の懲役と50万ドルの罰金が科せられる可能性があります。

ちなみに、米国ではこの今年2月にもフロリダ州オールズマーの水道局のシステムに何者かが遠隔から侵入し、管轄範囲の住人約1万5000世帯の飲料水に通常の100倍の量の苛性ソーダ(水酸化ナトリウム)を投入する事例がありました。

苛性ソーダは酸性になっている水のpH値を中和するため、通常はごく少量が投入されるようになっています。この水道局ではファイアウォールによる保護がないWindowsマシンが使われており、従業員は日常的に共通のTwamViewerパスワードでシステムを使用していたとのことで、内情を知る人物なら、いとも簡単に外部からログインできる状態だったと推測されます。

幸いにも監視システムが投入薬品の量に異常値を検出して、すぐに水の送出停止と対応作業が行われたため外部に被害は及びませんでしたが、このような小規模な公共インフラ設備は、選任のIT管理者がいることの方が少ないとも考えられ、従業員への最低限のセキュリティ教育もが不足しがちなのかもしれません。

※関連 フロリダの水道局システムがハッキング、飲料水に100倍の薬剤投入

Source:U.S. DoJ
via:ksn.com