米国大停電とMSBlastの関係

　8月14日に発生した米国北東部における大停電の原因はMSBlastだったのだろうか。当局の公式見解は「ノー」だが、私はそうは言い切れないと見ている。

　11月に米政府と業界関係者が発表した暫定報告書によると、停電はオハイオ州の電力会社FirstEnergy（FE）で発生した一連のミスが連鎖的につながった結果だとしている。人為ミスとコンピュータの不具合が重なり、小さな問題が雪だるま式に大きな問題に発展したというわけだ。重要な警報装置が正しく動作しなかったために、FEの係員は連鎖停電を食い止める手を打たなかった。そもそも、何が起きているのかを分かっていなかったのだから仕方あるまい。

　私が今回の停電にMSBlastが関与していたのではないかと思うのはここだ。

　報告書には不具合が発生した時刻が詳細に記されている。米国東部夏時間午後2時14分、FEの管理センターの「警報・ログ作成ソフトウェア」が停止した。このソフトウェアは「重要な機器の状態が許容範囲から問題のある状態に移行すると、アラーム音と共に警報を表示する」仕組みになっている。もちろん、このときは警報装置が止まっているなど誰も思っていない。

　6分後、複数の遠隔制御装置が停止。午後2時41分、警報機能を稼働させているプライマリサーバがダウン。プライマリサーバの機能はバックアップコンピュータに引き継がれたが、これも2時54分にダウンした。

　まるでFEの運用コンピュータが次々とワームに感染しているようではないか。

　報告書はこう続く。「1時間以上にわたり、FEの管理センターでは誰1人としてシステムが正しく作動していないことに気づいていなかった。唯一、同社のITサポートスタッフだけが問題を察知し、事態の解決に取り組んでいた」

　このくだりはまるで、IT部門の担当者がワームに感染したネットワークの復旧に取り組んでいるように聞こえないだろうか。

　FEで発生した大規模なシステム障害は、北米を襲った連続停電と深く関わっている。報告書にはさらに次のような記載がある。「電力システムにおいて、オペレータはほとんどの場合、聴覚警報、視覚警報、及び警報ログを通じて重大な異変を察知している。8月14日の東部夏時間午後2時14分以降、FEのオペレータはこうしたツールがないというきわめて不利な条件のもとで作業を強いられていた。ここでさらに危険なのは、FEのオペレータが警報装置の停止に気づいていなかったことだ。このため、誰もシステムの状況が変化していることに気づかなかった」

　また同報告書は、別のコンピュータ障害についても言及している。この地域の配電を監視する運用機関Midwest Independent Transmission System Operatorには、「状態推定機」と呼ばれる機器が設置されている。これは配電網に問題が発生していないかを監視するコンピュータだが、このコンピュータも午後12時15分に停止した。ある技術者が修復を試みたものの、電源を入れるのを忘れたまま昼食に出かけてしまったと報告書は伝えている。

　MSBlastが最初に登場したのは8月11日、その後数日で感染は100万台以上のコンピュータに及んだ。このワームはMicrosoftのOSの脆弱性を突くもので、感染したコンピュータはさらに別のコンピュータに感染を広げようとする。こうしてMSBlastはコンピュータからコンピュータへ、ネットワークからネットワークへと自動的に広がっていった。

　MSBlastは感染したコンピュータに危害を加えるものではなかったが、システムのリソースを使い果たすため、ホストコンピュータがダウンすることがあった。このワームを駆除するには、まず対策プログラムを走らせて悪意あるコードを消去し、その後攻撃対象となった脆弱性にパッチをあて、再感染を防ぐことになる。

　偶然の一致と呼ぶには、あまりにも符合する点が多い。東部夏時間午後2時14分というと、MSBlastが北米一帯で猛威を振るっていた時間だ。報告書はなぜFEのプライマリコンピュータとバックアップコンピュータの両方が次々と、しかもほぼ同時刻にダウンしたのかを説明していない。しかし、MSBlastが重要な容疑者であることは間違いないだろう。

　残念ながら、報告書はMSBlastや、このワームがFEのコンピュータに及ぼした影響に直接触れてはいない。私がかろうじて発見したのは99ページのこのくだりだ。「停電の前と最中、北米では多数のワームおよびウィルスがインターネットやインターネットに接続しているシステム、さらにはネットワークに影響を及ぼしていた。しかし、SWGの予備調査では、ワームやウィルスが発電・配電システムに深刻な影響を与えた形跡は発見されなかった。この点は今後の分析でさらに検証される予定である」

　このような文章をひねり出したのはなぜか。報告書の執筆者たちはわざわざ「発電・配電システム」はMSBlastに感染していないと書いている。しかし、警報システムの不具合はどう説明するのか。これらのコンピュータが何らかの影響を受けていたことは間違いない。しかも、ほぼ同じ時刻にだ。

　公平に考えてみよう。私にはMSBlastが停電の原因かどうかは分からない。この報告書もMSBlastが停電を引き起こしたとは言っていない。世間一般の通念からいうと、MSBlastは停電の原因ではなかったということになる。しかし、MSBlastと停電の関連性は否定できない。警報システムを稼働させていたプライマリコンピュータとバックアップコンピュータは、MSBlastがインターネット上でWindowsコンピュータを攻撃していたのと同じ時間帯にダウンした。これらの警報システムを動かしていたコンピュータのOSは何だったのか。インターネットには接続していたのだろうか。その答えをぜひ聞いてみたいと思う。

　ともあれ、今回の一件は重要な教訓を残すものだった。重要インフラを支えているコンピュータがネットワークに接続される例はますます増えている。こうしたインフラは攻撃を受けやすいだけでなく、ずさんなソフトウェアやずさんな運用の影響も受けやすい。しかも、こうした脆弱性は表面的にはわかりにくいものなのだ。

　電力網を直接制御しているコンピュータは厳重に守られている。保護が甘く、攻撃を受けやすいのはその周辺のシステムだ。また、重要インフラを狙った攻撃が行われたとしても、攻撃が成功する可能性は低い。インフラの中核部分に接続するのはきわめて難しく、具体的な場所もよく分からないからだ。大規模なシステムダウンが発生するとすれば、それは偶然の産物でしかない。MSBlastがまさにそのタイミングでシステムに感染し、小さな不具合が大問題に発展してしまったように。

　2003年1月末、米ワシントン州ベルビューではSlammerワームによって緊急通報番号911が利用できなくなった。最近では、Nachiワームに感染したDiebold社製のATM機が利用不能に陥ったことが記憶に新しい。商用OSが重要なシステムに利用される例が増えていることを考えると、今後、この種の出来事はますます増えることになるだろう。