CO2排出権ビジネスを狙うサイバー攻撃

地球温暖化防止のため、二酸化炭素(CO2)やメタン(CH4)などの「温室効果ガス」の削減目標を掲げる「京都議定書」が2005年2月に発効されて以降、現在世界中で排出権ビジネスが注目を浴びています。グローバルに売買する排出権ビジネスは、組織的なサイバー犯罪者や攻撃者にとっても同様に大きな商機であり、徐々にそのターゲットとして狙われつつあります。今回のMcAfee Blogでは、CO2割当量管理システムを狙ったサイバー攻撃について取り上げます。

ここ最近、欧州においてCO2割当量管理システムを狙ったサイバー攻撃が散発的に起こっています。このサイバー攻撃は、京都議定書ならびにEU排出量取引制度に則って、温室効果ガス排出量やその中に含まれる炭素の割当量を調整する際に利用する、コンピューターシステムを破壊しています。なお1EU排出枠単位 (EAU)とは、一定期間に1トン相当のCO2を排出できる権利のことです。

最初に標的にされたのはデンマークのCO2排出枠レジスターで、1月12日にシャットダウンに追い込まれました。攻撃は、デンマークエネルギー省からのメールに見せかけた、受信者の認証情報を盗むミラーサイトにリダイレクトするメールが送信されてくる、というものでした。このメールを、レジストリーのユーザーが受信したのを受けて、デンマーク当局がシャットダウンを決断しました。

攻撃者は、その後も度々攻撃を行っており、同様のメールが欧州13カ国のカーボン金融サービスに届き始めています。目的は前回同様、その国のCO2割当量管理システムにアクセスするための、ユーザー名とパスワードを盗むことが目的だったようです。これにより、また別の排出量取引市場が閉鎖に追い込まれました。

犯罪者は認証情報を入手するだけで、製造業者や政府機関、排出権ブローカーに容易になりすますことができ、排出量の売買を行うことが可能になります。この約1年半の間で、CO2市場関連の詐欺により、50億ユーロの損失が税収入に発生しています。CO2割当量管理システムにアクセスできれば、国際割当量を操作することで自国の排出量超過ペナルティを減少させることが可能になるため、CO2を大量に排出する国にとっても大きなメリットがあるといえるでしょう。

以下は、このような犯罪の一連の流れを示しています(欧州刑事警察機構提供)。

クリックすると拡大します(PDF)

拡大図(PDF)

今回の事例から言える確かなことは、このような攻撃の背後にいる人物は、単なるハッカーではないということです。攻撃者は、ルールに則った国際取引を拒否する、悪質な国に雇われている可能性が高いと考えられます。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Hackers Disrupt European CO Market

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速