東京オリンピックの開幕が近づくにつれて、国際オリンピック委員会、東京オリンピック大会、またはそれらに関連する多くの請負業者にとって、サイバーセキュリティの懸念は尽きることがありません。
夏季オリンピックに向けて、日本の加藤勝信官房長官は、委員会が下すすべての決定の重要性を強調し、悪意のある攻撃は「民主主義の基盤を損なう可能性がある」と述べました。
加藤氏が懸念するのももっともな理由が歴史によって裏付けられています。観客、出場選手、参加する国民国家もそれは同じです。
振り返る:スポーツは危険なビジネス
リスクの証拠を示すために、過去を掘り下げる必要はありません。2020年、米国の諜報機関と英国の国家サイバーセキュリティセンター(NCSC)は、東京オリンピックで計画されているロシアの軍事諜報サイバー攻撃を暴く共同作戦を実行しました。
そして2018年に平昌オリンピックが始まるとサイバー攻撃が目立ち始め、テクノロジーオペレーションビルに大至急対応するためのセキュリティチームが送り込まれました。幸いなことに、症状が把握されて病は根絶されました。これはおそらく、必要なセキュリティとリカバリー対策の開発に長年の計画が費やされたからでしょう。それでもやはり、その攻撃は、主要なスポーツイベントがハッカーたちにとって大きなチャンスになり得るという事実を浮き彫りにしました。
脅威アクターによくある政治的目的は、オリンピックを特に魅力的なターゲットにします。国際的な関心が集まり、オペレーショナルテクノロジー(OT)が必ず巻き込まれるということは、攻撃が成功した時の影響を物理的に感じて体験でき、そしてもちろん、大々的に報道されることを意味します。
このような特性により、スポーツ組織やイベントはさらに人気の高い攻撃の標的になっています。2020年に発表されたレポートで、NCSCは調査した57のスポーツ組織のうち70%が1年に少なくとも1回の攻撃を受けていたのに対し、イギリスの企業全体の平均はわずか32%であったことを明らかにしました。
その同じ年の11月、マンチェスター・ユナイテッドはそのような組織の1つになりました。ランサムウェア攻撃の影響で(収入の損失を含む)数十万ポンドが消失しました。
ゴールにシュート
では、OTや国際的な関心と報道は別として、スポーツ組織がそんなにも人気のあるターゲットになるのはなぜでしょう?
まず、オリンピックのライブストリームの潜在的なリモートビューアーを含め、サプライチェーンの一部として多くの可動パーツとプレーヤーを備えています。また、スポーツへのデジタル技術の関りが増えるにつれて、接続されたカメラドローンからメールまで、考えられる攻撃経路も増えています。(こちらをご参照ください:Lazio FCの200万ユーロの損失)
ほとんどのスポーツ組織には、Webサイト、オンラインバンキングのアカウント、クラウドサーバーなど、独自のマーケティング資料や悪用できる通信プラットフォームがあります。従来のSQLインジェクションから破壊的なDDoS攻撃まで、脅威アクターの可能性は拡大の一途を辿っているようです。
サイバー攻撃があらゆるビジネスの成功に大きな影響を与える可能性があることは明らかで、スポーツ組織やイベントも例外ではありません。ただし、スポーツ組織やイベントはより公共性が高く、また、それが生み出す価値が高いために非常に政治色が強くなっています。しかし、スポーツ業界へのサイバー攻撃は、ビジネスに悪影響を及ぼすだけではありません。それらは世界中のファンにとって脅威となります。
主な報い
多くのファンが観客からプレーヤーに変わることを夢見ていますが、攻撃の犠牲者になることを夢見る者はいません。それにもかかわらず、スポーツ業界を標的とした攻撃は、観客が参加することだけを当てにしている場合があります。
例として、2007年に起きたマイアミ・ドルフィンズのWebサイトでのハッキング事件について考えてみましょう。このハッキング事件では、中国のハッカーがMicrosoftの欠陥を悪用して、悪意のあるJavaScriptをWebサイトの訪問者に提供しました。パスワードを盗むマルウェアは単なる消費者にとっても重大な問題ですが、スポーツファンは会社のコンピューターやラップトップで試合のスケジュールやハイライト、ニュースなど、お気に入りのチームの情報を頻繁にチェックすることを忘れてはいけません。その不正アクセスされたコードに端を発した攻撃が成功すると、会社のパスワードが不正使用され、アカウントの侵害を含むさらなる漏洩事件へと発展します。
スポーツファンは、プレーオフやチャンピオンシップゲームの最中やその前など、感情が高まっていたり、賭け金が高くなっていたりする時に、特に攻撃を受けやすくなります。これは、ハッカーにとって単純だが効果的なフィッシング攻撃をしかける絶好の機会であり、その最終的な目的は、金銭やパスワードを盗むことです。ソーシャルメディアアカウントから盗まれた個人情報には、そのユーザのお気に入りのチームからフォローしているスポーツ組織まで、あらゆるものが含まれているため、データ漏洩によりハッカーの仕事はさらに楽になります。
スポーツ関連のサイバー攻撃をファンへの脅威にするのは、単なるベクターとしての観戦ではありません。物理的な空間での観戦もしかりです。
カリフォルニア大学バークレー校の長期サイバーセキュリティセンターは、「オリンピックスポーツのサイバーセキュリティ:新しい機会、新しいリスク」の中で、歴史的に見て、スポーツイベント中の攻撃に関する懸念は、「デジタルシステム(配電網など)と基本的なコンピューティング機器(Webサイトや電話など)に限られていた」と報告しています。 しかし、それはIoT以前の話です。今やイベントの物理的要素、デジタル要素、および運用上の要素は密接にリンクしています。今日、攻撃はファン体験を混乱させる可能性がさらに一層強まっています。
マンチェスター・ユナイテッドの試合で回転式の入場ゲートが動かなくなったり、スタジアムが完全に閉鎖されたり、スポーツ組織で重大なデータ漏洩が発生したりすれば、サイバー攻撃の物理的影響を非常に現実的かつ個人的にかなり強く実感することになります。
試合開始
2020年のオリンピックはサイバー攻撃対策の準備期間を1年多く取ることができましたが、それはハッカーたちも同じです。私たちが夏季大会のセキュリティに注意を払う一方で、スポーツ組織は現場に目を光らせておかなければなりません。というのも、彼らの周りにはセキュリティ事件の可能性が潜んでいるからです。
貴社のビジネスや顧客のビジネス内で起きるサイバー攻撃から身を守る方法の詳細については、今すぐVadeにお問い合わせください。
