現代の空港を歩いてみると(あるいは、飛行機に乗り遅れるのが心配なら小走りに走ってみると)、高度に分散化されたサイバーフィジカル環境に出くわすでしょう。周囲には次のようなものがあふれています:
- 表示板、通信機器、およびセンサー
- セキュリティチェックポイント、スキャナー、および入退室管理
- 手荷物処理およびコンベアシステム
- ターミナルを結ぶ電車やシャトルバス
- 交通管理および駐車システム
- 小売店や免税店(多くはセルフチェックアウト端末を設置している)
これらの機器は、数十年にわたり空港や航空会社の地上業務を支えてきましたが、現在ではITネットワークや相互に、そしてしばしば意図せずインターネットとも深く相互接続されています。欧州航空安全機関(EASA)が「システムのシステム」と呼ぶこの構造において、各機器は継続的かつ安定して稼働しなければなりません。このシステムには無数の攻撃経路が存在し、サイバー脅威によって業務が混乱したり、安全性に影響が及んだりする恐れがあるからです。
これが抽象的に聞こえるかもしれませんが、2025年9月、その抽象性は現実のものとなりました。コリンズ・エアロスペース社のチェックイン・搭乗プラットフォーム「MUSE」(複数の空港で複数の航空会社が共有するソフトウェア)に対するランサムウェア攻撃により、ヒースロー、ブリュッセル、ベルリン、ダブリンの各空港では手作業によるチェックインと紙の搭乗券への切り替えを余儀なくされ、ヨーロッパ全土で数日にわたりフライトの欠航や遅延が発生しました。 これらの空港が直接攻撃を受けたわけではありません。攻撃者は単一の共有サプライヤーを侵害し、その影響が連鎖的に広がったのです。これが、ネットワーク化された空港が抱えるリスクの典型的な事例です。
こうした状況下で、4つの大きな課題が空港のサイバー・フィジカルリスクの様相を一変させつつあります。これらについて見ていきましょう。
1.IoTの融合により、攻撃対象領域が拡大している
あらゆる業界で長年にわたりネットワークの統合が進められてきたが、資産所有者は依然としてその影響に苦慮している。適切なセグメンテーションと補完的な制御策が講じられていない場合、接続されたシステムの一つが攻撃を受けると、連鎖的な障害を引き起こし、重要なサービスの品質を低下させ、業務停止を余儀なくされる恐れがある。
その仕組みは、たいてい地味なものだ。ビルオートメーションや物理アクセス制御システムは、セキュリティではなく信頼性を重視して設計されたBACnetやModbusといったプロトコルで動作している。これらは、暗号化や認証機能がなく、デフォルト設定やハードコードされた認証情報のまま出荷されることが頻繁にある。多くのシステムは、本来は保護されているネットワークに無線で接続されているため、攻撃者にとっては容易に侵入できる入り口となっている。攻撃者が、フラットなネットワークやセグメント化が不十分なネットワークに足場を築いてしまえば、より価値の高いシステムへの横方向の移動は容易な作業となる。
つまり、セキュリティカメラが侵害されることで業務ネットワークへの侵入経路が生まれ、あるいは手荷物処理の不具合が搭乗口業務やフライトスケジュールに波及する可能性があるならば、サイバーセキュリティは業務レジリエンスの周辺にあるものではなく、それ自体が業務レジリエンスそのものなのである。
2. 複雑な所有構造は境界線を曖昧にし、リスクを高める
空港は本質的に小さな都市のようなものであり、その運営には、公的機関、ターミナルスペースを賃借する旅客・貨物航空会社、そして地上支援サービスや航空支援サービスの大部分を担う外部企業が関わっています。これらの関係者はインフラを共有していますが、多くの場合、それぞれ異なるセキュリティ方針、予算、規制の下で運営されています。
一般的に言えば:
- 空港運営会社は、滑走路、ターミナル、およびOT 管理しています
- 航空会社は、自社の運用技術および旅客管理システムを管理している
- 燃料補給、手荷物の仕分け、整備などの地上業務は、外部の業者によって行われています
特に、ある航空会社が空港の運営の大部分を担っている主要ハブ空港では、空港や航空会社の関係者は、自社のサイバーセキュリティに関する責任の範囲がどこから始まり、どこで終わるのか、よく把握できていないことが多い。
所有権が分散していると、セキュリティも同様に分散してしまう。コリンズ・エアロスペースの事例は、その分散構造がいかに悪用されるかを如実に示した。脆弱な点は、特定の事業者のネットワークではなく、それらすべての事業者の上流に位置する共有のサードパーティ製プラットフォームにあった。では、セキュリティ侵害や障害が発生した場合、その責任は誰にあるのだろうか?
駐車場の地味なカメラや、サーバールームの空調制御装置が、単なる付随的な問題ではない場合がある。それらは、侵入の入り口であり、標的であり、スパイであり、武器でもあるのだ。それにもかかわらず、こうしたデバイスは、OT 対策範囲から外されていることが少なくない。
3. サイバー攻撃者が重要インフラを標的にしている
乗客や貨物を安全かつ時間通りに輸送するという使命を負う空港や航空会社は、スパイ活動や破壊工作を行う国家主体の高度持続的脅威(APT)グループ、金銭目的のランサムウェア攻撃者、イデオロギーに駆られたハクティビスト、そして正当なアクセス権を持つ内部関係者や侵害されたサプライヤーなど、多岐にわたる攻撃者の主要な標的となっています。 地政学的緊張が高まるにつれ、脅威も深刻化しており、安全な移動を含む日常生活を支えるシステムを混乱させることを目的とした、重要インフラへの攻撃もそれに伴い日常的に増加しています。
あまり知られていないのは、運用ネットワークが実際にどのような形で攻撃を受けるかという点だ。Nozomi Networks 実世界のサイバーフィジカルインシデントの分析によると、そのパターンは一貫している:
- 侵入はエッジから始まります。インターネットに接続されたファイアウォール、VPNゲートウェイ、およびリモートアクセスプラットフォームは、攻撃者が好んで利用する初期侵入経路となっています。攻撃者は、これらの外部に露出しているデバイスの脆弱性を悪用するか、あるいは盗み出した有効な認証情報を使ってログインし、境界防御を迂回して通常の活動に紛れ込むのです。
- 攻撃の標的はコントローラーではなく、エンドポイントです。MITRE ATT&CK® for ICSのナレッジベースを参考に、当社の調査によると、実際のサイバーフィジカルインシデントで確認された攻撃手法の約72%は、PLCやRTUそのものではなく、ヒューマンマシンインターフェース、エンジニアリングワークステーション、アプリケーションおよび制御サーバー、データヒストリアン、OT 。OT エンドポイント保護は、もはや必須の要件です。
- そして、彼らは「監視」から「実行」へと移行する。攻撃者は通常、まず観察から始め、産業用システムの調査、プロトコルの偵察、およびプロセスや運用データの収集を行う。そこから先、真に重要な段階となるのが「操作」である。具体的には、制御ロジックや設定値の変更、デバイスのファームウェアの改変、あるいは安全機能の無効化などが挙げられる。
この最終的な破壊的な段階は、これまでのところ主に他の分野で、しかも航空業界というよりは実戦的な紛争の文脈において確認されてきた。 空港において、この種のプロセス操作が確認された例はまだない。しかし、不快な真実として、その根底にある技術や、それらを可能にするアクセス権限は、特定の業界に限ったものではない。こうしたシステムの多くは、エクスプロイトさえ必要としない。OT の多くは設計上、OT セキュリティ対策がOT 、攻撃者が正当な機能を通じてシステムとやり取りできる余地OT 。
交通分野には、これと非常によく似た事例がある。 2023年8月、ポーランドでは、破壊工作員がマルウェアではなく、鉄道網の旧式アナログ無線システムを介して認証されていない「ラジオストップ」緊急指令を送信することで、貨物列車および旅客列車約20本を停止させた。このプロトコルには暗号化も認証機能もなく、わずか数ドルの機器で悪用される可能性があった。脆弱性が悪用されたわけではなく、システムは単に、誰が要求しようとも、その設計通りに動作しただけである。
こうした脅威は、敵対勢力が現在、作戦のあらゆる段階に組み込んでいる人工知能によって、さらに増幅されています:
- AIを活用した攻撃は、偵察、スクリプト作成、脆弱性およびゼロデイ攻撃の調査、説得力のあるフィッシング、ディープフェイクを用いたなりすましといった人間の作業を加速・拡大させている。
- AIが指揮する攻撃では、エージェントを用いて多段階のワークフローを調整し、人間の関与を最小限に抑えながら、横方向の移動や意思決定を自動化します。
- AIを搭載したマルウェアは、その場その場で適応し、動的にコマンドを生成して多形性ペイロードを作り出し、異常検知を回避します。
- プロンプトインジェクション、データポイズニング、モデル操作など、AIシステムそのものに対する攻撃は新たな脅威として台頭しており、主要なOT 内でのAI導入が加速する中、早急な対応が求められている。
4. 見過ごされがちなIoT 対象領域
OT注目が高まる中、防御側が最も見落としがちなIoT であり、空港内には至る所にその存在が見られます。監視カメラ、ビル管理システムや空調制御装置、入退室管理リーダー、環境・手荷物センサー、デジタルサイネージなどがその例です。これらのデバイスは広く外部にさらされており、監視体制も不十分であるため、攻撃のライフサイクル全体を通じて悪用されるケースが増加しています。Nozomi Networks によるネットワーク接続型カメラおよび ビル管理システムに関する調査によると、同一のデバイスが攻撃者にとって4つの全く異なる役割を果たし得ることが明らかになっています:
- 侵入の足がかりとして。カメラ、BMS、HVACIoT アクセス制御IoT インターネットに接続されたIoT 認証が脆弱で直接的に外部にさらされているため、攻撃者が最初に狙う格好の標的となっています。
- 直接的な攻撃対象として。これらのシステムは物理的な環境や物理的なアクセスを制御しているため、それらを操作すること自体が目的となります。攻撃者は、ドアのロックを解除したり、カメラを妨害したり、サーバールームの空調システムを妨害したりする可能性があります。
- 情報収集プラットフォームとして。侵害されたIPカメラは、攻撃者にリアルタイムの状況把握や監視、偵察能力を提供し、これは紛争状況下での活動調整において特に有用である。
- 攻撃プラットフォームとして。その膨大な数と脆弱なセキュリティにより、IoT ボットネット、インターネットスキャン、悪意のあるトラフィックのプロキシ化に理想的な標的となっています。
つまり、駐車場の地味なカメラやサーバールームの空調制御装置は、些細な問題などではない。それらは、侵入の入り口であり、標的であり、スパイであり、武器でもあるのだ。それにもかかわらず、こうしたデバイスは、OT やOT 対策範囲からしばしば外されている。
5. 規制圧力の強まり
空港や航空会社は、重要インフラとして、また航空業界の一環として、世界的に厳しい規制の対象となっています。この業界の大部分にとって、2025年から2026年にかけては、航空業界特有のサイバーセキュリティ対策が法的拘束力を持ち、監査の対象となるという転換点となります。
これは、データに関する航空サイバー規制の中で最も厳格なもののひとつであり、事実上、世界的な基準となっているEASA Part-ISの下では特に当てはまります。Part-ISは、2025年10月16日に空港運営事業者に対して発効し、2026年2月22日には航空業界全体(航空会社、整備機関、訓練機関、航空交通管制サービス提供者、および当局自体)へと適用範囲が拡大されました。
名称からは情報システムのみを対象としているように思われるが、同規制では、航空業界全体の関係者が、OT IoT すべての安全上重要なシステムを、以下の手段を通じてサイバー脅威や情報脅威から保護することを明示的に求めている:
- 資産目録
- リスク管理(サプライチェーンリスクを含む)
- 継続的な監視と検知
- インシデント報告
そして、その罰則は決して形だけのものじゃない。違反した場合、年間売上高の最大4%に相当する行政罰金が科される可能性がある。NIS2、航空分野のTSAセキュリティ指令、その他の地域的・国際的な枠組みは、すべて同じ方向性を指し示している。特に、Part-ISはサプライチェーンのリスクを明確に指摘しているが、まさにそのリスクこそが、欧州全域でチェックインシステムをダウンさせた原因だった。
航空機の運航を支えるサイバーフィジカルインフラを保護する
CISO、OT 責任者、およびGRC担当者は、これら4つの課題を個別に管理することはできません。複雑に相互接続された環境全体でリスクを管理するために必要な可視性、コンテキスト、および制御機能を提供する、OT IoT に対する統合的なアプローチが求められます。
Networks 、IoT 完全かつ正確なインベントリ、リスクベースの脆弱性管理、そして最も重要な脅威や異常を検知・対応するための継続的なセキュリティ監視を提供することで、航空関連組織がコンプライアンスを維持し、強靭性を確保できるよう支援します。この検知機能は、Networks 知見に基づいています。同チームは、IoT 継続的に追跡し、産業用プロトコルやデバイスに存在する新たな脆弱性を公表しています。
当社は、世界有数の主要空港を含む125以上の航空関連組織と提携しています。信頼性と安全性に影響を与えることなく、サイバー脅威に耐えうる状況把握力、制御力、そして確信をどのようにして獲得できるか、Networks について、ぜひ今すぐお問い合わせください。
