DEF CONのボランティアハッカー350人が、アメリカの水道システムに無料のサイバーセキュリティサービスを提供するフランクリンプロジェクトを開始した。
現在まで9か月間で、インディアナ州、オレゴン州、ユタ州、バーモント州の4州5つの水道事業体に対してデフォルトパスワード変更、多要素認証、資産インベントリ、運用技術評価、ネットワークマッピングなどの支援を実施した。
プロジェクトはベンジャミン・フランクリンにちなんで名付けられ、共同設立者のジェイク・ブラウン氏が主導している。中国のVolt Typhoonが数百の公益事業体に侵入し、小規模自治体の水道システムも標的となっている現状を受け、年末までに数千の水道システムを保護する大規模展開を計画している。
全米には5万の水道事業体が存在し、多州情報共有分析センターとEPAへの連邦予算カットにより従来の支援体制が縮小している。プロジェクトはクレイグ・ニューマーク慈善団体やDragosなどの企業からの寄付により無料サービスを維持している。
From: 
DEF CON hackers plug security holes in US water systems amid tsunami of threats
【編集部解説】
今回のDEF CON Franklinプロジェクトは、アメリカの水道インフラを取り巻く深刻なサイバーセキュリティ危機への画期的な対応策として注目に値します。
このプロジェクトの背景には、中国のVolt Typhoonによる重要インフラへの継続的な侵入が深刻化している現実があります。CISA(サイバーセキュリティ・インフラセキュリティ庁)の公式文書によると、Volt Typhoonは少なくとも5年間にわたって米国の重要インフラシステム内に潜伏し続けており、通信、エネルギー、交通システム、水道・廃水処理システム分野の複数の重要インフラ組織のIT환境に侵入していることが確認されています。このような長期間の潜伏は、将来的な破壊工作のための事前配置戦略の一環と分析されています。
小規模水道事業体が直面している現実は極めて深刻です。EPAの調査によると、2023年9月以降に評価された水道システムの70%以上が、環境保護庁が設定した基本的なサイバーセキュリティ基準を満たしていませんでした。これらの施設の多くは、専任のサイバーセキュリティ担当者を置く余裕がなく、IT管理者が運用管理も兼任している状況です。
連邦政府レベルでは予算削減の影響で、従来の支援体制が縮小している一方、新たな立法措置も進んでいます。多州情報共有分析センター(MS-ISAC)とEPAへの連邦予算カットにより、従来の支援体制が制約を受けている中で、民間主導の取り組みの重要性が高まっています。
DEF CON Franklinプロジェクトの革新性は、技術コミュニティの自発的な社会貢献と民間企業の協力により、政府の予算制約を補完している点にあります。Dragosなどの企業が年間収益1億ドル未満の事業者に無料でOTサイバーセキュリティツールを提供していることは、業界全体の自主的なセキュリティ向上への取り組みを示しています。
プロジェクトの成功事例として、ボランティアの指導を受けた水道施設管理者がフィッシング攻撃を回避できたケースがあります。これは、専門知識の共有が実際の脅威防御につながっている証拠です。
長期的な視点から見ると、このプロジェクトは民間主導によるサイバーセキュリティ支援モデルの先例となる可能性があります。全米に5万の水道事業体が存在する中で、政府だけでは対応しきれない規模の課題に対し、技術コミュニティが直接的な解決策を提供する新たな枠組みを示しています。
ただし、ボランティアベースの支援には継続性や専門性の担保といった課題もあります。また、小規模事業体の根本的な予算制約は残されたままであり、長期的には持続可能な資金調達メカニズムの構築が必要となるでしょう。
【用語解説】
DEF CON
米国で開催される世界最大級のハッカー会議。毎年ラスベガスで開催され、3万人以上の参加者が集まる技術者・セキュリティ専門家の祭典である。
Volt Typhoon
中国政府系のサイバー攻撃グループ。少なくとも5年間にわたって米国の重要インフラを標的にしたスパイ活動と情報収集を主目的とした攻撃を行っている。
Living Off the Land技術
システムに存在する正規のツールやプロセスを悪用してサイバー攻撃を行う手法。PowerShellなどの標準ツールを利用するため、通常のネットワークトラフィックに紛れて検出を回避できる。
運用技術(OT: Operational Technology)
産業制御システムやSCADAシステムなど、物理的な機器やプロセスを監視・制御する技術の総称。工場や水道システムなどの重要インフラで使用される。
多要素認証(MFA: Multi-Factor Authentication)
パスワードに加えて、SMSコードやアプリ認証など複数の認証要素を組み合わせる認証方式。セキュリティ強化の基本的手法である。
ベンジャミン・フランクリン
米国建国の父の一人で、アメリカ初のボランティア消防署を設立した人物。プロジェクト名の由来となっている。
【参考リンク】
CISA – サイバーセキュリティ・インフラセキュリティ庁(外部)
米国国土安全保障省の運営機関として、国家の重要インフラのサイバーセキュリティを統括している。
Dragos公式サイト(外部)
産業制御システム専門のサイバーセキュリティ企業。OT環境向けの脅威検知プラットフォームを提供している。
MS-ISAC公式サイト(外部)
多州情報共有分析センター。米国の州・地方・部族・準州政府組織1万3000以上にサービスを提供。
EPA – 環境保護庁 水道セクターサイバーセキュリティ(外部)
米国環境保護庁が提供する水道セクター向けのサイバーセキュリティガイダンスとリソース。
シカゴ大学サイバー政策イニシアチブ(外部)
DEF CON Franklinプロジェクトの共同主催者として政策立案とサイバーセキュリティ分野の橋渡し役を担っている。
【参考記事】
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure(外部)
CISAによるVolt Typhoonに関する公式警告。5年間にわたるシステム内潜伏を確認。
More than 70% of surveyed water systems failed to meet EPA cyber standards(外部)
EPA調査結果で水道システムの70%以上がサイバーセキュリティ基準未達成と報告。
Dragos Announces OT Cybersecurity Community Defense Program in Canada(外部)
2025年3月25日からカナダでもコミュニティ防衛プログラムが開始されたことを発表。
Slashing EPA funding may have downstream cybersecurity impacts on water sector(外部)
カリフォルニア大学バークレー校によるEPA予算削減の水道セクターへの影響分析レポート。
【編集部後記】
今回のDEF CON Franklinプロジェクトは、技術コミュニティが社会の根幹を守る新しいモデルとして注目されています。
私たちが日常的に使う水道システムが、実は中国やイランなどの国家レベルのサイバー攻撃の標的となっているという現実をどう受け止めますか?
350人のボランティアハッカーが無償で社会貢献している一方で、政府予算の制約により従来の支援体制が縮小している状況について、皆さんはどのような持続可能な解決策があると思われるでしょうか。
また、このような民間主導のセキュリティ支援が他の重要インフラ分野にも展開される可能性について、読者の皆さんのご意見やアイデアをお聞かせください。技術者として、あるいは市民として、私たちにできることは何があるでしょうか。
