オリンピック・パラリンピック開催に向けたサイバーセキュリティ対策

この資料は、地方公共団体情報システム機構発行「月刊Ｊ－ＬＩＳ」2021年８月号に掲載された記事を使用しております。
なお、使用に当たっては、地方公共団体情報システム機構の承諾のもと使用しております。

オリンピック・パラリンピック開催に向けたサイバーセキュリティ対策
地方公共団体情報システム機構

　本稿の執筆時点ではオリンピックは大部分の競技で無観客での開催が決まったところですが、皆様のお目に触れる頃にはオリンピック・パラリンピックが盛り上がっていることと思います。日本のアスリートは皆持てる力を発揮できていると思いつつ執筆しています。

　本稿では、オリンピック・パラリンピックを始めとした国際的なスポーツイベントをターゲットとしたサイバー攻撃等の過去の事例を紹介し、今大会期間中における地方公共団体での情報セキュリティに係る自己点検、対策について、解説させていただきます。

（1）リオ五輪
　大会前には、ブラジル政府のWebサイトが改ざんされました。また、ATM機器でのスキミング行為や、クレジットカード情報を狙ったPOSマルウェア1）、フィッシング詐欺など個人が攻撃される傾向がありました。

　大会開催中には、大会公式サイト等へ540Gbps（ピーク時）、200Gbps（平均）ものDDoS攻撃トラフィックが発生しました。さらに、当該サイト等に対して223回もの大規模な攻撃が行われました。

　開会当初は大会関連Webサイトを標的とした攻撃が多く確認されましたが、徐々に攻撃の対象は、連邦政府や州政府など周辺のWebサイトへと移行しました（図）。

　認知した攻撃の多くは、SNS等にて攻撃の予告や実施の書き込みが確認されました。

　オリンピック開会直後に攻撃のピークを迎えましたが、事前の対策、演習等の備えにより迅速に対処し大きな問題は発生しませんでした。

（2）平昌（ピョンチャン）五輪２）
　大会運営に重大な影響を与えるようなサイバー攻撃は発生しませんでした。

　大会準備期間に約６億件、大会期間中に約550万件のサイバー攻撃が発生、開会式においてサイバー攻撃に起因して以下のような事象が生じたとの報道がありました。

・大会が近づくにつれて、大会に関連するフィッシングメールが増加

・メインプレスセンター内で一部のネットワークに接続できない不具合

・大会公式サイトにおいて一時的に入場チケットを印刷できない状態

・組織委員会内部のインターネット、Wi-Fiが使用できない事態

１）商品等の販売時点情報管理システムに対し、不具合を引き起こさせる目的でつくられたソフトやプログラムの総称

２）内閣サイバーセキュリティセンター（NISC）サイバーセキュリティ戦略本部第18回会合資料４「2018年平昌オリンピック・パラリンピック競技大会における状況」

　IoTが様々な業界に広く使用され、次のような攻撃が考えられますが、思いもよらないサイバー攻撃が発生する可能性もあります。

・重要インフラをささえる基盤システム（通信・金融・電力・ガス・水道等）の機能不全を引き起こす攻撃リスク

・インターネットに接続しているIoT機器が乗っ取られ、さらなる攻撃の踏み台に悪用されるリスク

・東京2020大会関連システム及び大会にかかわる自治体システムへのDDoS攻撃リスク

・大会スポンサーの名をかたりフィッシング詐欺により個人情報を搾取するリスク

・大会の公式パートナー企業や関連企業等のシステムの中から比較的セキュリティ対策が手薄なシステムを攻撃、経由して大会関連システムを攻撃するサプライチェーン攻撃リスク

次世代とともに明日を築く｜地方自治の総合サイト