大きな混乱もなく終えた東京五輪・パラリンピック。その陰で、大会組織委員会のホームページ(HP)やネットワークシステムには約4億5000万回もの不審なアクセスがあり、幹部を装った偽メールも多数送り付けられていた。膨大なサイバー攻撃をどう防いだのか。得られた教訓は。組織委のサイバーセキュリティーの責任者を務めたNECネクサソリューションズ(東京都港区)の中西克彦氏に舞台裏を聞いた。(時事通信社会部 鈴木英明)【特集】社会コーナー
―組織委では何を。
2015年4月から21年9月まで組織委に出向し、サイバー攻撃対処担当部長として、セキュリティー対策のガイドラインの策定や脅威情報分析、政府機関との連携推進などに当たりました。大会期間中は24時間態勢のテクノロジーオペレーションセンターにシフト制で勤務し、サイバー攻撃に対処しました。
―サイバー攻撃にどのような備えをしましたか。
まず、組織委のシステムをつくる際、発注、構築、運用開始前の3段階で、専門家も交えて安全性をチェックするルールを策定しました。運用開始後も、どのようなリスクがあるかを洗い出し、サイバー攻撃の糸口となる脆弱(ぜいじゃく)性がないか、常に確認しました。大会運営に深く関わる通信、鉄道、電力といった重要サービス事業者に対しては、政府の内閣サイバーセキュリティーセンターが各事業者に聞き取り調査を行い、リスク対策を進めました。
攻撃を想定した訓練も繰り返しました。IDやパスワードといった情報を盗んだり、コンピューターウイルスに感染させたりする目的で送られてくるメールに対する訓練は10回以上行い、パートナー企業の社員も含め延べ1万人以上が参加しました。攻撃メールは取引先などをかたり、偽サイトにアクセスさせたり、ウイルスに感染する添付ファイルを開かせたりしますが、そうしたメールを実際に送り、引っ掛からないかを確認しました。高度な技術者らからなる「レッドチーム」にシステムへの侵入を試みてもらい、対策の不備を埋める作業も行いました。
―実際にはどのようなサイバー攻撃がありましたか。
2019~20年に、組織委の武藤敏郎事務総長や国際オリンピック委員会(IOC)のバッハ会長をかたった英文メールが、組織委関係者や各国のスポーツ関連団体に届きました。メールには偽サイトのURLが記載されており、サイトではIDとパスワードを入力するよう求められました。IDなどを盗む「フィッシング」と言われる手口です。メールは少なくとも6000件確認しました。偽サイトはIOCのサイトを装っていましたが、組織委関係者でIDなどを入力した事例はありませんでした。訓練など日頃の注意喚起が奏功したのだと思います。
公式サイトに類似したドメイン(インターネット上の住所)は約3000件確認されました。正当な目的で取得されたものもありますが、偽チケット販売サイトや不法な動画配信サイトに使われたものもありました。組織委ではこれらのサイトを継続的に監視し、違法なものは閉鎖する手続きを取りました。
大会期間中、公式サイトや組織委のネットワークシステムに約4億5000万回の不審なアクセスがありました。いずれもブロックし、運営に支障はありませんでした。サイバー攻撃は何もなかったわけではなく、すべてが想定の範囲内だったと言ってよいと思います。
―対策が成功した要因は。
組織委は2014年1月に設立されましたが、早い段階からセキュリティーの専門家を招集し、リスクを洗い出して対策を実施する作業を積み重ねてきました。2018年の平昌冬季五輪では、開会式当日にチケットが印刷できなくなるといったサイバー攻撃を受けました。こうした過去の事例や最新の攻撃手法を分析し、最悪の事態を想定して訓練を繰り返しました。政府や重要サービス事業者などの関連機関と協力する体制も整備しました。多くの関係者が、時間をかけて地道な準備を徹底したことが成功の要因だと思います。
―教訓は。
五輪には政府、関係機関、企業といった複数の組織が関わります。当初はサイバーセキュリティーに関する意識に差もありました。「安全に大会を運営する」という共通の目的を持ち、どのような脅威があるかといった認識を共有し、システムの重要性を踏まえながら連携して対応したことは、今後の大規模イベントでレガシー(遺産)として活用できると思います。(2021年12月12日掲載)
.jpg
){kind=small}
 (1).jpg){kind=small}
