6月12日の見出しは、無視できないものでした。「イランのハッカーがカリフォルニア州の水道システムに侵入」。ほとんどのセキュリティチームがこの記事を目にする頃には、Handala/VOID MANTICOREはすでにその主要な目的を達成していました。
その目的は、水道サービスの妨害ではなかった。同団体はそれを公然と表明し、この侵入行為をホワイトハウスへの警告であると位置づけた。その一方で、イランの港湾都市シリクにある貯水池に対する米軍の空爆が依然として新聞の一面を飾っていた。この空爆により、熱波の最中に2万人以上の住民が飲料水を利用できなくなったと報じられていた。「イランの水を攻撃し、カリフォルニアの水道料金のスクリーンショットを投稿する」。この対称性こそがメッセージだった。
この情報漏洩によって実際に明らかになった事実は、その枠組みが示唆するよりもはるかに示唆に富んでいる。
ハンダラが何を犠牲にしたのか
Threat intelligence 、SecurityWeekを通じて、Handalaの侵入経路は、カリフォルニア・ウォーター・サービス(Cal Water)が所有する、外部からアクセス可能なRTKBaseインスタンスであった可能性が高いと分析した。 RTKBaseは、リアルタイムキネマティック(RTK)GPS補正プラットフォームであり、現場作業において測量機器やインフラ作業員の位置を正確に特定するために使用される。Cal Waterのインスタンスは、アクセスされた時点で約783時間にわたり継続して稼働しており、NTRIP(Networked Transport of RTCM via Internet Protocol)サービスを介して、特定された7つの地区マウントポイントすべてに補正データをストリーミングしていた。
そこから、Dataminrは、Cal Waterの顧客請求データベースへの侵入経路を特定し、同グループはそこから約5ギガバイトのデータを盗み出した。そのデータには、氏名、住所、電話番号、口座番号、支払い履歴、RTKBaseプラットフォームの管理用認証情報、およびマウントポイントレベルのNTRIPパスワードが含まれていた。また、この脅威アクターは、NTRIPネットワークを通じて、Cal Waterの7つの地区すべてにわたるIPアドレスを列挙した。
カリフォルニア州の100の自治体で約200万人の顧客を抱える、米国最大級の民間水道事業者であるCal Waterは、SJV Waterに対し次のように述べた。「OT 予備的な調査を実施したが、現時点では、ITシステム、水道生産システム、および給水システム内に侵害の兆候は見られない。」
ハンダラはそれ以上に、政治的な意思表示として自制を選択しつつも、水の供給を遮断する能力があると主張した。BeyondTrustのCISOであるショーン・マローン氏は、次のように率直に述べた。「ハンダラには、自らの能力を誇張する前歴がある。水の供給を意図的に見逃したという自慢話は、それ自体が心理作戦のように受け取られる。」
彼の言う通りだ。とはいえ、その自慢が示唆する構造的な問題を脇に置いておけるわけではない。
敵を知る:ハンダラの戦略
Handala/Handala Hackは、フリーランスのハクティビストによる活動ではありません。このイランと関連のある脅威アクターは、イラン情報・保安省(MOIS)と結びついており、VOID MANTICORE、Storm-0842、Red Sandstorm、Homeland Justice、Banished Kittenなど、その他の別名や対外的な偽名でも追跡されています。このグループは、少なくとも2008年以降、活動を続けています。
Handalaの活動は、単なる静かな情報収集活動にとどまりません。このグループは、データ流出に加え、破壊的なペイロードの展開や情報作戦を、多くの場合、同じキャンペーンサイクル内で並行して行っています。彼らのツールキットには、ROADSWEEPランサムウェア、BiBi Wiper、そしてHandala WiperやHamsa Wiperのようにこのグループ専用に開発されたツールが含まれています。 Mimikatz による認証情報の収集、Impacket による横方向の移動、そして Telegram ベースのコマンド&コントロール(C&C)インフラが、確立された TTP セットを構成している。
初期侵入の手口には、対外公開アプリケーションの悪用 、クレデンシャルスタッフィング、フィッシング、および正規のリモートアクセスインフラの悪用といった、典型的なパターンが見られます。 Cal Waterの事例では、インターネットからアクセス可能な運用支援システムが侵入の入り口となりました。これは、Networks Labsが2026年3月のイランのAPT活動に関する分析で、初期段階における主要なパターンとして指摘した内容と直接的に一致しています。すなわち、デフォルトの認証情報の悪用や有効なアカウントの利用に加え、内部スキャンを行い、「破壊的または破壊的な戦術へとエスカレートする前に、高価値な資産を特定し、持続性を確立するために、静かに環境のマッピングを行う」というものです。
その5GBのダンプに含まれる認証情報は有効です。NTRIPの列挙を通じてまとめられた、7つの地区にまたがるCal WaterのインフラのIPアドレスマップは、今後の作戦に向けた偵察資料となります。最初の主張は、その第一段階である可能性があります。
OT :セクターパターンに照らして事件を読み解く
2023年11月、ペンシルベニア州アリキッパ市水道局を標的とした、イランと関連する別の攻撃グループ「CyberAv3ngers」による攻撃は、有用な比較事例となる。IRGC(イラン革命防衛隊)系の攻撃者は、インターネットに公開されていたUnitronics Visionシリーズのプログラマブル・ロジック・コントローラ(PLC)を直接悪用し、増圧ポンプ場に侵入した。 CyberAv3ngersOT 到達できたのは、これらのデバイスが認証の障壁なしにインターネットからアクセス可能だったためである。CISAの共同勧告(AA23-335A)では、当該キャンペーンの攻撃者がラダーロジックをカスタムファイルに置き換え、所有者のアクセスを妨害するためにデバイスの名前を変更し、アップロードおよびダウンロード機能を無効化した経緯が記録されている。これは、運用上の影響をOTアクセスである。
Cal Waterの事件では、OT はなかった模様です。侵入が課金環境で止まった理由は確認されていません。これは、OT 反映されたもの、あるいは「混乱を引き起こすのではなく警告を発する」という同社の公言した目標に沿った意図的な運用上の選択、あるいは単にRTKBaseのアクセスベクトルによって開かれた範囲に留まったためである可能性があります。 ハンダラ氏の「自制」という主張は心理作戦の一環であり、その言葉を額面通りに受け取るべきではないが、検証できない防御アーキテクチャに結果を帰する行為も同様に根拠がない。
この侵入は、これまで十分に記録されてきた攻撃の進行パターンに合致しています。Nozomi Networks 調査によると、OT 到達する攻撃は、OT 内部ではなく、ITシステムやネットワークのエッジから始まる場合が多いことが示されています。 最初の侵入は、インターネットに面したファイアウォール、VPNゲートウェイ、およびリモートアクセスインフラを通じて行われます。その後、攻撃OT 試みる前にIT環境内を移動し、プロセスネットワークの奥深くにあるPLCやRTUではなく、HMI、エンジニアリングワークステーション、ヒストリアンなどを、OT最初の標的とします。RTKBaseの侵入ポイントは、まさにその経路の起点に位置しています。
Networks 、2026年4月にイランのOT 、次のように明言した。OT 公にOT 、意欲と能力を兼ね備えた攻撃者が悪用できる広大な攻撃対象領域を生み出している。」その公開状態が継続している理由について、同氏は、組織が「接続されていることに気づいていないか、あるいはリスクを過小評価している」ためだと指摘した。
イランの活動:急増、停止、そしてそのパターンが示すもの
Nozomi Networks 、現在の紛争を通じてイランの APT 活動を追跡してきました。2025 年の初期の緊張激化局面において、当社のテレメトリデータによると、米国組織に対するイラン関連の攻撃活動が133% 急増しており、その多くは運輸および製造業に集中していました。 「ライオンズ・ロア作戦」および今回の事態の激化を受けて、Nozomi 2026年3月時点で、イラン関連のAPTグループによる活動が再び体系的に増加していることを確認しました。また、当社の研究チームは4月に、これらのグループが OT 標的としている動きを注視し、顧客に対して関連する情報を適切に提供できるよう努めました。
状況は一様ではなかった。SafeBreachは具体的なデータポイントを記録している。イランの脅威グループ「Infy」は、イラン政府が全国的なインターネット遮断を実施した2026年1月8日にC2サーバーの運用を停止し、制限が解除される1日前の1月26日に運用を再開した。 SafeBreachのセキュリティリサーチ担当副社長であるトマー・バー氏は、この事象について、「インターネット遮断期間中、政府系サイバー部隊でさえ、イラン国内で悪意のある活動を行う能力や動機を持っていなかったことを示唆している可能性が高い」と指摘した。American Security Projectも同様の広範な傾向を観察し、「インターネット遮断は……イラン国内の国家主導のグループによる短期的な脅威を軽減した」と述べている。
イラン国外にインフラをあらかじめ構築している攻撃者は、国内の通信状況にかかわらず活動を継続している。しかし、MOIS(イラン情報省)と関連するグループを含む、イラン政府系組織による活動の一部は、国内の通信状況に依存している。この脅威は現実のものであり、その傾向は強まりつつあるが、その動向はイラン国内の状況に応じて変動しており、これは他のほとんどの国家主体の脅威アクターには当てはまらない特徴である。
こうした状況であっても、水道事業者にとってのリスク評価は変わらない。 CISAの統計によると、米国内の約15万2,000の公共飲料水システムにおいて、この業界のリスクへの曝露状況は一様ではない。インターネットにOT 保有し、OT が行われていないフラットネットワークを採用し、PLCやHMIのデフォルト認証情報を変更していない水道事業者は、その週がイランのAPT活動曲線のどの位置にあろうとも、アリキッパ事件のような事態に陥るリスクにさらされ続けている。
水道事業におけるセキュリティの優先事項
水道業界は限られたリソースで運営されています。多くの水道事業者は、IT部門の人員が少なく、資本予算もセキュリティツールではなくインフラ整備を中心に組まれています。そのため、提言はこうした制約に即したものでなければなりません。
インターネットにOT特定してください。 外部IPアドレス範囲をShodanでスキャンしてください。 水道分野において、Modbus TCP(ポート502)およびDNP3(ポート20000)が主な攻撃経路となっており、特に、水道事業者がSCADAのテレメトリデータを、専用回線ではなく携帯電話回線やインターネットのバックホールを介して遠隔地のポンプ場や揚水場に送信している場合に、こうした経路が頻繁に見られます。 EtherNet/IP(ポート44818)は、ロックウェル/アレン・ブラッドリー製のPLCが導入されている場所であればどこでも注意を要します。これは北米の水道施設の大部分をカバーしています。ポート80/443上のWebベースのHMIは、この分野で最も急速に増加している脆弱性クラスです。EPAとCISAは2024年12月、これについて具体的に共同勧告を発表しました。 NTRIP(ポート2101)は、今回のインシデントに直接関与しています。BACnet(47808)が検出された場合、それはビルオートメーションを意味しますが、外部インターフェース上でこれが確認された場合は、ネットワークアーキテクチャがフラットであることを示す確実な指標となるため、いずれにせよ調査する価値があります。外部IP範囲からアクセスが検出されたものはすべて、オフラインにするか、DMZ、MFA、およびIP許可リストの背後に配置する必要があります。
現場および運用支援システムにおける認証情報を定期的に更新してください。 ハンダラが盗み出した認証情報は 現在も有効です。 RTKBase、NTRIPインフラ、または類似のプラットフォームを実行しているすべてのシステムでは、管理者パスワードを更新するとともに、それらのシステムがアクセス可能な内部リソースを確認する必要があります。CISAのアドバイザリAA23-335Aでは、PLCやHMIにおける変更されていないデフォルトの認証情報が、IRGCによる攻撃を可能にする主な要因として具体的に挙げられています。
インターネットに公開されているすべてのシステムでMFAを有効にしてください。VPN ゲートウェイ、エンジニアリング用ワークステーションへのリモートアクセス、管理ポータルなどです。ほとんどのプラットフォームではネイティブにMFAがサポートされており、これにより「クレデンシャルスタッフィング」が有効な侵入経路となるのを防ぐことができます。
OT 分離してください。請求データベースと 、ポンプ場の遠隔計測データ用のSCADAヒストリアンは 、同一のフラットネットワーク上で共有すべきではありません。完全な分離には時間がかかりますが、ITOT 間に「デフォルトで拒否」を原則とするファイアウォールポリシーを設定することは、有意義な最初の防御策となります。CISAが策定した上下水道事業向け「サイバーパフォーマンス目標」には、作業の優先順位を決定するための、段階的なフレームワークが無料で提供されています。
OT 通信を監視し、悪用されやすい脆弱性を解消してください。 OT 内のModbus、DNP3、およびEtherNet/IPトラフィックをパッシブに 監視し、SCADAマスター、RTU、PLC間の通信パターンのベースラインを確立することで、サービス中断のリスクなしに異常を検出できます。 SCADAマスターがこれまでポーリングしたことのないホストに対してセッションを開設したり、センサーセグメントで予期しない機能コードが検出されたりといった事象は、事態が深刻化するはるか以前にパケットデータから確認できます。 脆弱性については、CISAの「既知の悪用済み脆弱性(KEV)」カタログおよび特定の機器ファミリーに対するICS-CERTのアドバイザリを、優先順位付けの基準として活用してください。隔離はリスクの露出を低減しますが、パッチ適用の緊急性を軽減するものではありません。OT 侵入すると、PLCやRTUのパッチ未適用のファームウェアが次の足掛かりとなります。 CyberAv3ngersは2023年、攻撃者が露出しているデバイスから改変されたラダーロジックへと、いかに迅速に移動できるかを実証しました。
WaterISACにご参加ください。 WaterISACは、業界に特化したthreat intelligence 進行中のキャンペーンに関する通知を提供しています。地政学的緊張が高まる時期には、汎用的な情報フィードよりも、WaterISACのインテリジェンスの方が迅速かつ的確です。
ロギングのベースラインを構築します。 ファイアウォール、VPN、およびID管理システムからの認証ログを一元管理します。 今回のインシデントにおいて、RTKBaseから課金環境への横方向の移動は、本来は分離されているはずの2つのシステム間の異常な認証として検知されていたはずです。ここでは、数時間と数週間の差が重要になります。
窓は重要だ
Cal Waterの予備評価の結果、断水は発生しなかった。ハンダラが持ち出した認証情報や、彼らがマッピングしたネットワークトポロジーは、今回のインシデントにおいてOT を引き起こすことはなかった。
だからといって手を引く理由にはならない。 7つの地区を網羅し、管理者の認証情報を盗み出し、この侵害を警告として装うグループの活動は、まだ終わっていない。Networks 発表したアドバイザリでは、認証情報の悪用と目立たない内部マッピングを特徴とするイラン系APTによる初期段階の偵察パターンは、防御側にとって限られた時間的機会であることを指摘している。「この偵察段階で断固とした対応をとる組織は、将来的な事態の悪化を防ぐ可能性がはるかに高くなる。」
Nozomi Networks 、OT 向けに特別に設計されたOT OT OT 検出および継続的な異常検知機能、Handala/VOID MANTICOREを含むイランのAPTのTTPthreat intelligence 、そしてその他のあらゆる対応を可能にする可視化レイヤーNetworks 。Networks 個別デモをご依頼いただき、これらの機能が実際にどのように機能するかをご確認ください。
.webp)
