トピックス 2020.01.29 東京オリンピック2020開催目前！その影に迫るセキュリティ脅威に備えよ

日本代表選手の活躍や世界最高峰の選手の残す記録、さらには新しく追加された新種目など、そのすべてをリアルタイムに感じることのできる一生に一度のチャンスです。

しかし、そういった私たちの期待や世界的注目とは裏腹に、過去を振り返ってみるとオリンピックが催される際にサイバー攻撃が集中する傾向がはっきりと見て取れます。

今回は過去の事例を参照しながら、オリンピックを楽しむためのサイバーセキュリティに目を向けてみましょう。

2012年のロンドンオリンピックでは開会式・閉会式の電気インフラを狙って大量のデータを送りつけるDoS攻撃やDDoS攻撃がありました。また、オリンピックの公式サイトには開催期間の2週間で2億2,100万回もの攻撃があったといいます。

ロンドン五輪はデジタル技術への依存度が高まった大会でもあり、チケットや宿泊施設に関わるオンライン詐欺やオリンピックの情報を餌にしたフィッシングサイトの発生なども数多く確認されました。

同様に、2016年のリオオリンピックでは、大会Webサイトなどにピークで540Gbpsという過去最大規模のDoS攻撃・DDos攻撃が観測されています。

この攻撃によるサイトのダウンは免れましたがその一方で攻撃方法の多角化も見られ、Bot感染による組織委員会内の情報（暗号化ファイル）漏えい、Webサイトや個人への攻撃による個人情報漏えいなどです。

2018年の平昌オリンピックではついに「オリンピックデストロイヤー」と呼ばれるマルウェアによるサイバー攻撃がありました。

このマルウェアは情報の略取と感染したコンピュータのシステムファイルを破壊するもので、この攻撃によりチケットの発券ができず、多くのユーザーが開会式に参加できない事態が発生しています。

また、オリンピックではありませんが、昨年の大きなイベントであるラグビー・ワールドカップ日本大会でもDDoS攻撃やウイルスメール、フィッシングメールといったサイバー攻撃が多数確認されているのが現状です。

これらのサイバー攻撃には、オリンピックを運営する東京オリンピック・パラリンピック競技大会組織委員会の「東京2020組織委員会」はもとよりスポンサー企業やオリンピック開催国に住んでいる私たちにとっても脅威となりえるものです。

東京2020組織委員会もただ手をこまねいているということはなく、過去のオリンピックの運営団体やセキュリティベンダーと協力してサイバーセキュリティ演習を行うなどの備えを行なっています。

そして、オリンピック組織委員会だけでなく、オリンピック開催国に住む私たちが気を付けておきたい、必ず発生するであろう攻撃・すでに発生している攻撃としては次のものが存在します。

●      チケット抽選販売、観戦向け宿泊の申し込みなどを装ったネット詐欺

●      チケット抽選や運営委員会の名を語った情報略取目的のフィッシング詐欺

●      フィッシング等で参照したウェブサイトで観戦するマルウェアによる攻撃

いずれの場合も、情報の発信元が正しいものであることを確認して慎重な対応を心がけましょう。

観戦チケットは公式チケット販売サイトの「マイチケット」にて確認を行い、はがきや電話・SMSといった他の方法で抽選結果をお知らせすることはありません。

公式サイトのドメインは「tokyo2020.org」となっていますから紛らわしいアドレスと間違えないようにすることも重要です。

近年は今までインターネットに接続されていなかったモノがインターネットにつながり、データを連携することで新たなサービスや付加価値を生み出すIoT（Internet of Things）の普及が進んでいます。

インターネットに接続可能な機器は、2014年には世界で170億個程度でしたが、2020年には400億個に到達すると予測されています。

IoTの普及が進んだ状況で初めて迎える事になる東京オリンピック。

IoT機器は一般的にセキュリティのレベルがまだ低いこともありサイバー攻撃の標的となる可能性がかねてから指摘されています。

IoT機器と一口に言っても、WiFiルーターやウェブカメラ、各種のセンサーや自動車など様々なものがありますが、セキュリティの甘い機器はインターネット経由でマルウェアに感染しサーバー攻撃などに悪用されてしまう危険性があるのです。

対策としてまず行うべきことは、パスワードをきちんと設定することとソフトウェアを最新の状態に保つことです。

IoT機器の多くはパスワード機能を持っていますので、パソコンやスマートフォンと同じよう推測しにくいパスワードを使ったり、アップデートを欠かさず行うようにすることで一定のリスクを避けることができます。

世界的に注目の集まる大イベントであるオリンピック。

東京都の試算ではその経済効果は30兆円に上るとされています。

それだけ大きなお金が動くということはオリンピックの運営者はもちろん、企業や個人に対してもオリンピック開催に関連するサイバーセキュリティリスクが発生します。

生涯でまたとないオリンピックを迎えるにあたって、競技や選手の情報だけでなく、セキュリティの目線も併せて意識することでオリンピックをより意味ある出来事にできるのではないでしょうか。


【関連リンク】

・リオ2016大会の振り返りと 東京2020大会へ向けたサイバー セキュリティの取組み （JAIPA）
https://cloudcon-archive.jaipa.or.jp/2017/pdf/doc_rio.pdf

・平成30年版情報通信白書（総務省）
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd111200.html

・IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施（総務省）
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html

・不正ログイン被害の原因となるパスワードの使い回しはNG～ちょっとした工夫でパスワードの使い回しを回避～（独立行政法人情報処理推進機構IPA）
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html

・The 'cyber-attack' threat to London's Olympic ceremony（BBC）
https://www.bbc.com/news/uk-23195283

・冬季オリンピックを標的とする「オリンピック デストロイヤー」（Cisco Japan Blog）
https://gblogs.cisco.com/jp/2018/02/talos-olympic-destroyer/

・Ｗ杯組織委にサイバー攻撃　放送狙う、五輪へ政府警戒（産経新聞）
https://www.sankei.com/tokyo2020/news/191216/tko1912160004-n1.html

・サイバーコロッセオ（総務省・国立研究開発法人情報通信研究機構・ナショナルサイバートレーニングセンター）
https://colosseo.nict.go.jp/

・五輪抽選かたるSMS注意　情報盗むサイトに誘導（日本経済新聞）
https://www.nikkei.com/article/DGXMZO47352920U9A710C1CZ8000/

・観戦チケットに関する詐欺や模倣品の被害にご注意ください（公益財団法人東京オリンピック･パラリンピック競技大会組織委員会）
https://tokyo2020.org/jp/other/attention.html

・東京五輪の経済効果、全国で32兆円　都が30年まで試算（日本経済新聞）
https://www.nikkei.com/article/DGXLZO13742810X00C17A3EA1000/

TEXT：セキュリティ通信 編集部
PHOTO：iStock