東京五輪ではサイバーセキュリティ”競技”も注目されている

東京オリンピックは、無観客、あるいは限定的な人数の観客を入れる事で開催を迎える事になりそうです。しかし、このバタバタを見越して、運営に支障を与える可能性があるサイバー攻撃への懸念は特に海外から大きくなってきています。

beta.darkreading.com

東京オリンピックは前任者よりも安全ではありません。実際、テクノロジーに大きく依存しているということは、これらのオリンピックがこれまでで最も脆弱なゲームである可能性があることを意味します。今後のオリンピックでのテクノロジーの使用は、これまでで最も革新的なものになるだけでなく、COVID関連の視聴者制限により、観客はイベントに電子的に対応する必要があります。追いつくイベントがあるので、自分のスキルを披露する準備をしているのはアスリートだけではありません。

キタきつねの所感

ロンドン五輪では競技場証明システムを狙った大規模DDoS攻撃が40分続いた他、大きなサイバー攻撃に分類される攻撃が6回あったとされます。平昌五輪では「Olympic Destroyer」の攻撃が観測され、ウェブサイトやプレスセンターのシステムに障害が発生した他、チケット発券システムにも影響があったとされます。

当然の事ながら、東京オリンピック・パラリンピック競技大会組織委員会は、こうした過去に発生したサイバー攻撃パターンへは十分な対策をしていると思いますが、観客を入れる入れない、大会関係者は入れる入れない・・・と1か月を切った中で、運用が未だに決まらず大混乱している事もあり、こうした混乱の隙を攻撃側が狙ってくる事は十分に予想されます。

DarkReadingの記事では、サイバーの世界での「金メダル」を狙った悪意のある攻撃について、いくつかの観点から潜在的な脆弱点を指摘しています。

答え合わせは暫く先になりますが、ビックイベントをTV越しに見る事になるであろう私たちに、TV映像の裏側で繰り広げられるであろう”戦場”について考えるヒントを提供してくれるかも知れません。

まず挙げていたのが、シャドーITの問題です。資産の棚卸を終わらせ、見える化が出来ていると考えるところに、大きなシステムであればある程、死角が潜んでいる事を言っているのだと思います。

巨大な国際イベントを支える端末（PCのみならずカメラやモバイル機器、Wi-fiといったIoT端末も含む）は膨大な数になると予想されますが、その一部が見える化出来ておらず、例えば標準設定のままである穴を突かれて大きな被害に繋がる。一般企業・組織でも十分考えられるシナリオです。

真実＃1：あなたが見ているものはあなたが得ているものではない
企業はしばしば、完全なハードウェア資産インベントリを持っていると真に信じており、したがって包括的なセキュリティアプローチを持っています。しかし、これはめったにありません。実際、ITマネージャーの60％以上が、ITデバイスのインベントリが不完全です。デバイスが管理されていないか、非表示になっているか、正規のデバイスになりすましているかにかかわらず、企業のハードウェアインベントリには深刻な意図しないギャップがあります。

（DarkReading記事より引用）※機械翻訳

2番目に挙げられていたのが、サプライチェーンの”穴”です。SolarWinds、直近ではKaseyaもサプライチェーンを狙われて大きな被害を出したと言えますが、今や閉域網と思われるシステムであっても、何らかの形で外部と繋がっている事が多いのです。

それが例え信頼できるサードパーティ組織（極端な例だと政府や警察）であったとしても、完全に信頼するのは危険であると言い直す事ができるかも知れません。

当該システムに資産が無くても、そのシステムが、大きな資産を持つネットワークに繋がっている場合、『踏み台』にされる可能性は十分に考えられます。つまりゼロトラストの思想で重要資産を守る事が重要な時代になってきたのだと思います。

真実＃2：あなたは自分自身を過小評価している
攻撃者は洗練されているかもしれませんが、これは必ずしも彼らが彼らのスキルを使ってターゲットに直接侵入することを意味するわけではありません。場合によっては、洗練とは、ハードではなく、スマートに作業することを意味します。サプライチェーンは前者を考慮に入れています。

高度に保護されたターゲットは、侵入が非常に困難になる可能性があるため、安全性の低いサプライヤが悪意のある攻撃者の侵入ポイントになることがよくあります。サプライヤはターゲットの機密情報にアクセスできるか、サイバー犯罪者にターゲット組織への経路を（ハードウェアまたはソフトウェアを介して）提供します。サプライチェーン攻撃は2020年の後半に7倍に増加し、この数字は大幅な改革なしに増加し続けるでしょう。また、重要なインフラストラクチャが大規模なサプライチェーンに依存しているため、オリンピックには多くのエントリポイントがあります。自分には価値がないと信じている小さな組織は、攻撃者とその標的との間の障壁（またはエントリポイント）にすぎない可能性があります。

（DarkReading記事より引用）※機械翻訳

最後に挙げられていたのは、「教育」に対する期待です。オリンピックの1年の延期は、防衛側である東京オリンピック・パラリンピック競技大会組織委員会にも十分な時間を与えた事は間違いありません。

筋書きの無いドラマが（裏側で）続くのがオリンピックだと言われる事もありますが、最後の砦である「人」が優れていれば、想定外のトラブルにも十分対応できるかと思います。

防衛側が大きなトラブル無く大会を終わらせ、隠れた「金メダル」を手に入れる事を大いに期待したいと思います。

トレーニング
1年延長東京オリンピックの2021年への延期により、アスリートとオリンピックのサイバーセキュリティチームにトレーニングの1年が追加されました。さらに、COVID-19パンデミック中の攻撃の増加は、高度なサイバーセキュリティの取り組みの重要性を強化するはずでした。わずか数週間で、世界はアスリートが金を競うのを見るでしょう。サイバーセキュリティの世界にいる私たちは、攻撃の兆候がないか監視します。あなたにはスリルがあります。私たちは私たちのものを持っています。

（DarkReading記事より引用）※機械翻訳