米国の海港は、非常に現実的なサイバー脅威に直面している。近年、港湾は重要なインフラを破壊しようとするサイバー犯罪組織や国家ハッカーの格好の標的となっている。過去1年半の間に、米国の港湾やより広範な海上輸送システム(MTS)に関わるサイバー攻撃や警告が急増している。これを受けて、米国沿岸警備隊(USCG)は、港湾を含むMTSをサイバー脅威から保護するためのサイバーセキュリティに関する基本的な要件を定めるに至り、長年の奨励政策から実施政策へと転換した。この規制は2025年7月16日に施行される。
この記事では、新たな義務付けに至るまでに米国の港湾で話題になった攻撃のいくつかを検証し、現代の港湾が脆弱である理由を説明し、港湾当局が規制に準拠するだけでなく、デジタル・インフラを保護するために取ることのできる積極的な措置を推奨する。
米国海港に対する最近のサイバー攻撃
年間1,000万個近い貨物を処理するロサンゼルス港は、西半球で最も多忙なコンテナ港である。2023年には、月間 約6300 万件のサイバー侵入を阻止したと報告されている。
2023年10月、USCGは、MTSに影響を及ぼすランサムウェア集団Cl0pによる悪質な活動を観測した後、セクター全体のアラートを発表した。同警告は、被害者の多くが港湾業務に直接携わっているか、港湾に重要なサービスを提供していたことを指摘した。
2024年8月 、シアトル・タコマ国際空港を運営するシアトル港をランサムウェア攻撃(Rhysidaグループによるもの)が襲った。この侵害は、港湾が運営する空港システムを数週間にわたって混乱させ、メディアの注目を集め、サイバー攻撃がいかに交通の要衝に波及するかを浮き彫りにした。
ランサムウェアに感染すると、ビジネスデータと、クレーンやゲート、ポンプを動かすソフトウェアの両方を暗号化し、物理的なオペレーションを事実上麻痺させることができる。
これらの事件は、単独のサイバー攻撃がいかに迅速に港湾物流を停止させ得るかを物語っている。オペレーショナル・テクノロジーOT)やモノのインターネットIoT)デバイスが重要な港湾機能を動かす時代において、たった一度の侵害が、クレーンやタグボートから最終目的地まで商品を届ける長距離トラックまで、サプライチェーン全体に波及する可能性がある。
なぜ米国の海港はサイバー攻撃に脆弱なのか?
現代の港湾は、伝統的な重機と最先端のデジタル・システムが複雑に融合した、驚異のハイテク港湾である。しかし、このような新旧の融合は、サイバー脆弱性に満ちた攻撃対象領域を生み出している。USCGは、港湾施設のネットワークに接続されたOT ますます攻撃者の標的になっており、多くの場合、アクセス制御が不十分な時代遅れのソフトウェアやプロトコルに依存していると指摘している。
クレーンコントローラー、産業用センサー、安全計装システムなどの港湾OT システムは、時代遅れの技術で稼働していることが多い。その多くは数十年前に設置されたもので、サイバーセキュリティを念頭に置いて設計されたことはありません。時が経つにつれて、新しいデジタル機能がこれらのレガシー・システムにボルトで固定されるようになります。例えば、1990年代や2000年代初頭に製造された機器は、現在ではリモートアクセス制御、メンテナンス、モニタリングのためにインターネットに接続されている可能性があります。港湾クレーンのソフトウェアにパッチが適用されていない脆弱性が悪用されると、クレーンの動きを停止させたり、不安定な動作を引き起こしたりして、貨物や人員を危険にさらす可能性があります。
特に4つの問題が、米国の海港をサイバー攻撃にさらしている。
1.中国メーカーへの依存
脆弱性はさておき、中国資本のメーカーZPMCの技術や機器への過度の依存は、米国の海運業界にとって文書化されたサイバーセキュリティ・リスクを生み出している。世界中の船舶対陸上クレーンの70%近くをZPMCが製造しており、同社は米国の港湾に対し、同社の機械へのリモート・アクセスを求めて圧力をかけてきた。米国政府関係者は、これらのクレーンの制御システムにはスパイウェアやバックドアが隠されている可能性があると懸念を表明している。
2.IoT デバイス:管理されず、安全ではない設計
もうひとつの課題は、港湾業務全体でIoT デバイスが爆発的に増加していることだ。今日のスマート港湾では、コンテナの温度追跡から橋の振動監視まで、あらゆるものにIoT センサーが使用されている。セキュリティカメラであれ、スマートゲート制御であれ、それぞれのIoT デバイスはネットワーク上のノードである。残念ながら、このようなデバイスの多くはセキュリティが脆弱なまま出荷されている。デフォルトのパスワード、暗号化されていない通信、何年もアップデートされていないファームウェアなどが一般的だ。攻撃者は、これらのガジェットが簡単に侵入できることを知っている。適切に隔離されていなければ、侵害された1つのIoT センサーが、より広いポートネットワークに侵入するための軸となる可能性がある。
3.ランサムウェア参入障壁の低さ
ランサムウェア攻撃は、悪評や政治的な影響よりも金銭的な利益を求めるサイバー犯罪者にとって、依然として有益である。Ransomware-as-a-Serviceのようなツールは、素人のサイバー犯罪者でも簡単に脆弱性を悪用できる。港湾など、ダウンタイムを許容できない重要インフラ事業者は特に魅力的である。
荷役管理ソフトウェアを実行している旧式のWindowsサーバーや、ターミナルオフィスにあるパッチの適用されていないデータベースは、格好の標的だ。ランサムウェアに感染すると、業務データと、クレーンやゲート、ポンプを動かすソフトウェアの両方を暗号化し、物理的なオペレーションを事実上麻痺させることができる。従業員が一時的にオフラインで作業するオフィスとは異なり、港湾は長い間単に「マニュアル化」することはできない。
4.サプライチェーンのセキュリティ・ギャップ
内部システムだけでなく、サプライチェーンのセキュリティ・ギャップももう一つの弱点となる。ほとんどの産業は複雑なサプライチェーンを持っているが、港湾ほど目に見えやすく、グローバルなものは少ない。その業務は、世界中の船会社、物流業者、機器メーカーと緊密に統合されている。つまり、サードパーティーのシステムに脆弱性があれば、そのチェーンの全員に影響を及ぼす可能性があるということだ。これは仮定の話ではない。2023年、船舶対陸上クレーンの大手技術プロバイダーがBlackBastaによるランサムウェア攻撃を受けた。この攻撃はベンダーを狙ったものだったが、その影響はクレーンのメンテナンスのために同社のソフトウェアに依存している港湾に連鎖した。
海港における米国のサイバーセキュリティ要件について
20年以上にわたって、2002年海上輸送安全法(MTSA)は港湾と海事施設にセキュリティ計画の実施を義務付けてきた。しかし、2020年(33 CFR Part 105およびPart 106)になるまで、規制はサイバーセキュリティを含むように進化せず、施設は施設セキュリティ評価および計画においてコンピュータシステムおよびネットワークの脆弱性に対処することを義務付けていた。 それ以来、USCGはMTSAの規制対象施設に対し、NISTサイバーセキュリティフレームワーク(NIST CSF 2.0)およびNIST Special Publication 800-82(SP800-82r3)を適用することで、港湾施設運営者がサイバーセキュリティのベストプラクティスに従うことを奨励するなどの指針を発表している。 NIST CSF 2.0は、リスクを管理・削減するための共通言語を提供する。その 6 つの機能(Govern(管理)、Identify(識別)、Protect(保護)、Detect(検知)、 Respond(対応)、Recover(回復))を使用することは、港湾のサイバーセキュリティ・プログラムを構成する良い方法です。SP 800-82r3 は、港湾のOT 環境に直接適用される PLC や SCADA システムなどの産業制御システム(ICS)の安全確保に関する詳細な技術ガイダンスを提供しています。
近年になってようやく、USCGは港湾のサイバー基準を成文化しようとしている。2025年1月、USCGは前述の最終規則を発表し、7月から施行されることになった。この規則では、港湾およびターミナル運営者に以下を義務付けている:
- 包括的なサイバーセキュリティ計画と個別のサイバーインシデント対応計画を策定し、維持する。
- 定期的なサイバーセキュリティリスク評価と演習の実施
- サイバーセキュリティ・オフィサーを任命し、サイバーセキュリティ・トレーニングを実施する。
- アクセス制御、ホワイトリスト、データ暗号化、ログ管理、ネットワークセグメンテーションと監視、サプライチェーンセキュリティなどのセキュリティ制御を実施する。
- 重要なサイバーインシデントをナショナルレスポンスセンターに報告する。
港湾局がMTSサイバーセキュリティ準拠に備えるには
港湾当局は、以下のステップを踏むことで、コンプライアンスに備えることができます。発効日が迫っている中、最初のいくつかはすでに済んでいることを期待したい:
- 最終規則を読み、要件をよく理解すること。
- トレーニングの必要性と技術ギャップを判断するために、準備アセスメントを実施する。
- NIST CSF 2.0とSP 800-82r3をまだ適用していないのであれば、これらはデジタル・ポートのセキュリティ確保に必要な規定的ロードマップを提供する。これらの基準を遵守することは、セキュリティに役立つだけでなく、デューデリジェンスの証明にもなります。検査や監査の際に、自社のサイバー・コントロールがNISTの勧告に沿ったものであることを示すことができれば、有利な立場に立つことができます。
- NIST とは別に、業界特有のサイバーセキュリティのベストプラクティスにも目を向けてください。例えば、MTS-ISACは港湾間の脅威情報やベストプラクティスの情報共有、IMOの海事サイバーリスク管理ガイドラインのような国際標準を提供している。まだメンバーでない方は、今すぐ入会し、ニュースやイベントをチェックしてください。
Nozomi Networksコンプライアンスを加速する
サイバーセキュリティは、港湾にとってもはやITの脇役ではなく、貨物の輸送を維持し、国家の安全を確保する上でミッションクリティカルなものです。USCGのサイバーセキュリティ要件を満たすことは、施設セキュリティ計画から従業員トレーニングに至るまで、既存の安全・セキュリティ文化にサイバーセキュリティを組み込み、すべてを文書化することを意味します。まだ侵害を受け、防御を強化していない場合、学習曲線は険しいかもしれません。既存の海事規制の多くは、上級の船舶エンジニアやオペレーターの判断に依存する複雑な作業に関連しています。セキュリティ管理、レガシーシステムの脆弱性、OTIoT OT暴露を評価する同等の社内専門知識は、おそらく存在しない。
資産インベントリの自動化、資産リスクの算出、脆弱性管理の優先順位付け、脅威と異常の検出、インシデントレスポンスの支援により、Nozomi Networks プラットフォームは、全体的なサイバー耐性を大幅に向上させながら、規制遵守とNISTフレームワークへの準拠を加速させることができます。すべてのリスクを排除することは不可能ですが、備えあれば憂いなしです。
