【東京オリンピックで予想されるサイバー攻撃とは】
東京オリンピックでは、IoTがさまざまな業界で進展し、加速度的な普及が進む中で開催される大会であるため、これまでに観測されなかったタイプの新たなサイバー攻撃が実行されることも予測されています。
攻撃対象としては、おもに以下の3タイプが考えられます。
重要インフラ(交通・金融網や電気水道など)
オリンピック・パラリンピック以外のタイミングでも、世界各国の公共機関を狙った重大なサイバー攻撃が起きており、停電や工場の生産ラインが停止するといった被害が観測されています。
2021年の東京大会でも、日本の信頼を失墜させる目的で、対立国家などのハッカー集団が重要インフラを攻撃する可能性は否めません。
たとえば、空港や駅です。電力系や運行システムへの攻撃によって交通麻痺などが引き起こされる可能性があります。また、原子力関連施設など、日本の信頼失墜に効果的な攻撃対象を選定する可能性もあります。
競技会場・大会本部
2018年の平昌大会では開催の妨害を狙ったとみられる大規模なサイバー攻撃が実行されましたが、東京大会でも同様の攻撃が行われる恐れがあります。
実際に東京大会も開幕前、すでに大会本部がサイバー攻撃を受けており、2015年には組織委員会の公式Webサイトが半日ほど閲覧不可になるという被害が起きています。
東京大会では、選手の体調管理や競技の測定、小型カメラを活用した映像中継などIoTが積極的に活用される予定になっています。攻撃者にとっては、それだけ攻撃対象機器が増えるため好都合です。マルウェアに感染させたIoTデバイスを踏み台としたDDoS攻撃が実行される可能性も高いでしょう。
また、平昌大会同様にサプライチェーン攻撃が実行される可能性もあります。警視庁は、2019年11月の段階で、公式パートナー企業に対しサプライチェーン攻撃への注意喚起と攻撃を想定した訓練を実施しました。
ただし、パートナー企業に紐づく取引先企業も含めると膨大な企業が関わっており、そのすべてにおいて万全なセキュリティ対策を徹底することは困難です。直接、大会に関わらない企業も自社のセキュリティ対策を見直して強化したり、攻撃を受けた際の対応を検討するべきしょう。
政府・自治体、一般企業、一般ユーザーなど
東京大会開催に乗じたサイバー攻撃では、大会関連の組織やシステムだけが狙われるわけではなく、日本全体が標的になり得ると考え、備える必要があるでしょう。
東京大会に関わる自治体は、選手を迎え入れるホストタウンを入れると日本全国におよび、巨大なサプライチェーンを呈しており、自治体のシステムがDDoS攻撃を受けたり、標的型メール攻撃を受けるなどして、政府やほかの自治体が狙われるといったケースも考えられます。
建築、インフラ関連、通信業界を中心に一般企業も攻撃対象にされる可能性があります。大会の開催・運営に大きな影響を与える以外にも、攻撃者にとってはオリンピックという大舞台で日本企業のブランドを傷つけたり威信を損なって恥をかかせ、自国のビジネスを有利にする目的があります。
また、個人が狙われる場面もいくつも考えられます。たとえば、大会のチケットや中継の視聴などに関するスパムメールやフィッシングサイト、公共のWi-Fiなどからクレジットカード番号や銀行口座番号などの個人情報が窃取されるといったケースです。
外出先でWi-Fiを利用する際はVPNを併用するなど、個人でも対策が必要となるでしょう。
まとめ
過去のオリンピック・パラリンピック大会でもさまざまなサイバー攻撃が観測されましたが、サイバー攻撃が年々高度化していることや、日本が高度なIT資産を保有するIT先進国であることなどから、東京大会で大規模なサイバー攻撃が実行される可能性は決して低くはありません。
東京オリンピック・パラリンピック大会は、攻撃者にとっても格好のイベントです。
法人・個人を問わずオリンピック期間でできる対応を、改めて考える必要があるでしょう。