ウィルスで停電

ウクライナでインターネット経由の攻撃による大規模な停電が発生した模様。

強くなったトロイの木馬、ウクライナ電力システムへの攻撃の裏側
http://ascii.jp/elem/000/001/108/1108639/


この問題は現在のコンピュータとインターネットを利用した各種システムが、サービスの健全性に対する大前提であるセキュリティ問題の、根本的な問題を解決できずにいることを証明する非常にわかりやすい事例だ。

IoTなどという言葉がもてはやされ、ありとあらゆるサービスがコンピュータとインターネットを介するようになりつつある現代。だがそのサービスは、消費者の立場から見た場合セキュリティリスクの存在を前提としていない。全てのサービスは常に健全に運用される事が保証され、サービスの成立はそれが前提となっている。ゆえに利用者も悪意のある者からの攻撃で被害を被る事を想定する事ははない。

もちろん、サービスを提供する側はサービスの健全性に関して程度の差こそあれまったく問題にしないという事はそれほど多くは無いかもしれない。しかし現実には、どれほどセキュリティに関しての防御を心がけていても、そのサービスの根幹たるコンピュータソフトウェアに欠陥が存在しない事例は皆無であり、いつその欠陥が元でサービスが崩壊するのかは常に時間の問題となっている。
そのうえ、システムの設計やソフトウェアに存在するセキュリテイの欠陥以上に問題なのは人間そのものであり、現実にセキュリティを回避する手段として最も有効な攻撃がソーシャルエンジニアリングであるという話は有名だ。

この問題への対処は常に対症療法的なもので、各種の攻撃に対し常に後手に回っているのが現実である。


今回のウクライナでの停電が、日本で起きる可能性はゼロではない。
現実に日本では原子力開発の現場であってすら、コンピュータがウィルスに侵される事態も起きている。ひとたび事故が起きたらとりかえしのつかない事態になる可能性がある場所ですら、そこで働く職員のセキュリティリテラシーは講習やセミナーで通り一遍の説明を聞いた程度あり、スマートフォンしか触った事の無い子供と比べても大差ない状態なのである。

ゆえに、いつでもウクライナと同じ事が日本で起きてもおかしくはないし、実際そこまで大事には至っていない事例であるならばすでに無数に起きている。


ソフトウェアの欠陥を無くす事は現実的に不可能であるし、サービスの提供者がセキュリティに関する勉強を自ら絶えず日常的に行い事故を未然に防ぐという事も現実的に不可能である。

であるならば、私のような種類の人間は、事故は必ず起きるという前提の元で各種サービスを利用すれば良い。

少なくとも、私はそう考えている。