独立行政法人情報処理推進機構(IPA)は7月31日、「制御システム関連のサイバーインシデント事例」シリーズを公開しました。過去に実際に発生した制御システムのサイバーインシデント事例について、その概要と攻撃の流れ(攻撃ツリー)を紹介しています。事業被害ベースのリスク分析を実施する際に、事例に相当する攻撃ツリーの作成やセキュリティ対策の策定に活用することができます。
今回、第一弾として、2015年と2016年にウクライナで大規模停電を引き起こした電力設備に対する攻撃事例、および2017年に中東のプラントで発生した安全計装システムへの攻撃事例を取り上げました。今後、事例を追加していく予定です。
IPAは制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開しており、今回の事例シリーズはその補足資料となるものです。
