脆弱な政府技術システムは、サイバーセキュリティに関する人事意識の低さのためにハッキングされました

ジョコ・ウィドド大統領は、月曜日(2024年5月27日)にジャカルタの国立宮殿でINAデジタル統合デジタル公共サービスプラットフォームを立ち上げました。(アンタラ/ヤシンタ・ディファ/アム)

ジャカルタ 法務省移民総局の入国管理局で発生したサーバーの障害により、インドネシアの複数の国際空港で長い行列が発生した。それだけでなく、さまざまな地域での新入生登録手続き（PPDB）も中断されました。

令和6年6月20日以降、スラバヤにある臨時国立データセンター（PDNS）に対するBrainchiper ransomwareによるサイバー攻撃により、入国管理局やその他の多くの機関に混乱が生じました。

攻撃者は800万ドル、約1310億ルピア相当の訴訟を起こしました。通信情報大臣のBudi Arie Setiadiさんは、ハッカーが要求した身代金を支払わないことを確認しました。

CISSReCサイバー・コミュニケーション研究所のプラタマ・ペルサダ会長は、多くの公共サービスを混沌とさせた攻撃を強調しました。Pratamaさんによると、政府データは、保存されたデータの大きさと重大性のためにハッカーが攻撃される主なターゲットの1つです。

政府の技術システムにおける脆弱性の主な原因は、通常、サイバー セキュリティに関する人材の意識が低いことに起因します。(Unsplash/roonz nl)

彼はまた、政府システムに対するサイバー攻撃は、保存されている機密データを盗むためのスパイ行為である可能性があると疑っています。

「監査の結果とデジタルフォレンジックを見なければ、ハッカーが悪用している弱点を正確に判断することは非常に困難です」とPratamaさんはVOIに語りました。

サイバーセキュリティは重要視されていません

インドネシアのサイバー犯罪は非常に心配であると考えられています。デジタルトランスフォーメーションの増加は、情報技術セキュリティシステムへの攻撃に正比例します。SAFEnetのレポートによると、インドネシアでのデジタルまたはサイバー攻撃は2024年初頭に増加しています。

2024年1~3月のデジタルセキュリティインシデント数は61件で、1月は13回、2月は20回、3月は27回でした。この記録は、同期間の昨年の事件のほぼ2倍です。

国立データセンターがサイバー攻撃の被害者になる前は、インドネシアの多くの機関も同じことを経験していました。たとえば、総選挙委員会(KPU)のサイトは、令和6年2月15日または大統領選挙の翌日にアクセスが困難でした。KPUはその後、機関のウェブサイトがDDoSの形でデジタル攻撃を受けたと述べました。

2018年、インドネシアで電子IDデータが漏洩し、1億9,100万人の住民の個人データが漏洩しました。BPJS Kesehatanは2021年に参加者の個人データの漏洩も経験し、2023年9月6日にDPR YouTubeチャンネルがハッキングされました。このアクションにより、チャンネルは数時間のジャディオンラインのライブ放送を放送するようになりました。

CISSReCサイバー・コミュニケーション研究所のPratama Persadhaさん所長は、これまでのところインドネシアはサイバーセキュリティを考慮していないようだと述べた。プラタマ氏は、PDNがセキュリティ基準を適切に実施すれば、インドネシア国民に害を及ぼすこのような事件は起こらないと述べました。

「政府技術システムの脆弱性の主な原因は、通常、サイバーセキュリティに対する人事の意識の低さから来ています」とPratamaさんは説明します。

「人々は有能な人々でなければならないが、インドネシアではまだ欠けているが、サイバーセキュリティは優先事項であるべきだ」と彼は付け加えました。

Pratamaさんは、サイバーセキュリティシステムは、インフラストラクチャとセキュリティデバイスの片側から見るだけでなく、サイバーセキュリティに関する従業員のトレーニングなどの他の側面も見なければならないと続けました。

Pratamaさんによると、サイバー攻撃は従業員の検索/リリースのハッキングやフィッシング攻撃による従業員の資格情報データの取得から始まることも珍しくないため、これは組織のサイバーセキュリティにとって重要なポイントです。

「人事過失によって引き起こされるデータ漏洩の増加を見て、組織のリーダーシップに、アクセスできる従業員/パートナーに自分自身を守る方法に関するトレーニングを直ちに実施するよう警告するはずです」と彼は付け加えました。

遅い学習です

5月27日、ジョコ・ウィドド大統領はジャカルタの国立宮殿でINAデジタルと呼ばれるインドネシア政府技術(GovTech)を立ち上げました。Kominfoのページを引用して、INA Digitalは、省庁や地方自治体が所有する何千ものアプリケーションに分離されている政府のデジタルサービスの統合を調整する任務を負っています。デジタルサービスの統合と相互運用性は、多くの先進国でパターンとなっているため、人々はさまざまな政府サービスにアクセスする際に気にする必要はありません。

「したがって、私は今年から新しいアプリケーションの作成をやめ、新しいプラットフォームの作成をやめることを伝えます。やめろ!」とJokowi様統領は言いました。

一方では、この政策は、特に公共サービスに関連するデジタルトランスフォーメーションを実行しているインドネシアの取り組みにとって新鮮な空気の息吹であるため、肯定的に見ることができます。しかしその一方で、特にインドネシアのサイバーセキュリティの強化が伴わない場合、ハッカーが攻撃を簡単に実行できるようにします。

「良い計画に十分なセキュリティが伴わない場合、それは大惨事になります。すべてがデジタル化されると、インドネシアに対するサイバー攻撃の集中砲火が破壊されます、これが破壊される可能性があります」と彼は説明しました。

「これが学習だと言わないでください、なぜなら学習が今遅れたならです。これは非常に高価な学習です」と彼は締めくくり、PDNS2に対するサイバー攻撃の混乱の事件はインドネシアのサイバーセキュリティを強化するための重要な教訓であるという通信情報副大臣Nezar Patriaさんの声明に応えました。

月曜日（令和6年1月1日）、バンテン州テンゲランのスカルノハッタ空港ターミナルで、スエッタ入国管理局の職員が多数の乗客を検査しています。 (ANTARA/HO-Soetta Immigration/aa)