ハッカーが英国の飲料水供給業者を攻撃している

昨年初めから、英国の飲料水供給業者は5件の記録されたサイバー攻撃の標的となっています。これらの事件は飲料水監査局（DWI）に報告され、情報公開請求を通じてRecorded Future Newsに部分的に明らかにされました。これらの攻撃はいずれも安全な飲料水の実際の供給を侵害することはありませんでしたが、水システムを管理する組織に影響を与えました。この2年間で最も多いサイバー活動の増加は、英国の諜報機関が国家の重要インフラに対する悪意あるサイバー攻撃者の脅威の増大を警告していることを裏付けています。\n\n2024年1月から2025年10月の間に、DWIは英国の水セキュリティを監督する法的枠組みの一部であるネットワークおよび情報システム（NIS）規則に基づき、水供給業者から15件の報告を受けました。そのうち5件は厳密なNISの範囲外のシステムに関連するサイバーセキュリティ事件で、残りはサイバー攻撃に関連しない運用上の問題でした。現在のNIS規則では、重要サービスに直接的な混乱をもたらすサイバー事件のみが報告義務の対象です。つまり、Volt Typhoonの事前配置キャンペーンのようなハッキングがあっても、法的に開示義務はありません。DWIは、5件のサイバーセキュリティ報告は水供給の回復力に潜在的リスクがあったため自主的に共有されたと明言しました。\n\n英国の当局は、今後のサイバーセキュリティおよび回復力法案を通じてこれらの報告要件を改正し、サイバー防御の強化と透明性の向上を目指しています。政府のスポークスパーソンは、この法案は今年後半に議会に提出される予定で、ますます高度化し執拗になるサイバー脅威から重要な公共サービスを保護するためのものだと強調しました。\n\nサイバーセキュリティ専門家は自主的な報告を前向きな兆候と見ています。Sophosの脅威調査副社長ドン・スミスは、重要インフラ提供者は犯罪グループから日々攻撃を受けており、コンプライアンス努力にもかかわらず事件は避けられないと指摘しました。規制以上の報告共有は、すべての運営者が一般的かつ高度なサイバー脅威をよりよく理解し、情報交換の文化を促進して全体的な認識を広げるのに役立ちます。\n\n英国やスペインのSouth Staffs WaterやAigües de MataróでITシステムに対するランサムウェア攻撃は発生していますが、実際の水供給の混乱はまれです。例外的に2023年12月、親イランのハッキンググループがアイルランドの遠隔地で数日間の断水を引き起こしました。これは運用技術（OT）機器を標的にしたもので、米国政府は水セクターのインフラで広く使われるUnitronicsのプログラマブルロジックコントローラ（PLC）の脆弱性について警告を出しており、重要インフラ防御者にとって重要な懸念事項です。\n\n米国での水システムセキュリティ強化の取り組みは、ランサムウェアや国家支援攻撃の増加にもかかわらず、水業界団体が共和党議員と協力して連邦のイニシアチブを阻止したことで挫折しています。一方、カナダ当局は最近、産業制御システムへの一連の侵入の中で、地元の公益事業で水圧を操作するハクティビストの報告を行いました。\n\n英国の国家サイバーセキュリティセンターは、水供給業者に対しITとOTシステムを適切に分離してサイバー侵入の影響を限定するよう助言しています。同センターは8月に組織の回復力向上を支援するサイバー評価フレームワークも公開しました。スミスは、まれで特殊な攻撃に過度に注目するよりも、日常的で一般的なサイバー脅威に対する防御を優先すべきだと助言しています。彼は、より大きなリスクは高度な敵対者からではなく、基本的なセキュリティが不十分なためにランサムウェアが重要インフラを停止させることにあると警告しています。