中東地域のお客様およびパートナーの皆様へ
詳細情報
アカデミー
ラボ
採用情報
パートナーログイン
サポート
イランと関係のあるこれらの攻撃者は、ゼロデイ攻撃を必要としなかった。彼らは単にマニュアルを使っただけだった。

イランと関係のあるこれらの攻撃者は、ゼロデイ攻撃を必要としなかった。彼らは単にマニュアルを使っただけだった。

マルクス・ミュラー
|
4月8,2026

CISA、FBI、NSA、DOE、EPA、およびサイバーコマンドが昨日発表した、イラン系サイバー攻撃者がPLCを悪用しているとする共同勧告を注意深く読んでください。技術概要には、見出しだけでは十分に伝わらない重要な詳細が含まれているからです。

米国の重要インフラに設置されたロックウェル・オートメーション社のPLCを標的とした、イラン系とみられるサイバー攻撃者は、脆弱性を悪用したわけではない。彼らには脆弱性など必要なかったのだ。彼らは、インターネットに接続されたPLCに接続された、正規のベンダー製エンジニアリングソフトウェアを使用した。公開されているCVEも、新規の手法も、ゼロデイ攻撃もなかった。彼らは、そのツールが本来の目的通りに設計された通りに使用しただけである。  

この業界に長く身を置いてきた私は、ICS環境が大規模な標的となる日が来るのかどうかについて議論していた頃を覚えている。その議論はとっくに過去のものとなった。しかし、2025年1月まで遡る今回の攻撃キャンペーンは、慎重に検討すべき課題を突きつけている。すなわち、攻撃対象となるのが脆弱性ではなく、悪用された機能である場合、何が起こるのか、ということだ。

要点:CISAサイバーセキュリティ勧告 AA26-097A

  1. エクスプロイトは必要ありませんでした。OTインターネットからアクセス可能な状態にある場合、攻撃者は脆弱性を悪用する必要はありません。彼らは、エンジニアが日常的に使用しているのと同じ正当なツールやプロトコルを利用するのです。
  2. インターネットから切断することが適切な対応です。ただし、技術的または運用上の理由でそれが不可能な場合は、IPフィルタリングや監視など、何らかのセキュリティ対策を講じてください。
  3. 攻撃対象領域を把握しましょう。自組織がどのようなリスクにさらされているかを知らなければ、組織を守ることはできません。攻撃対象領域が、あなたやチームが導入したOTデバイスだけだと決めつけないでください。

攻撃者が正当なPLCアクセス権をどのように悪用したか

今回の攻撃主体は、イランのイスラム革命防衛隊(IRGC)と関係があると見られているが、どのような攻撃者でもこの手法を悪用する可能性がある。彼らはロックウェル・オートメーション社の「Studio 5000 Logix Designer」を使用して、CompactLogixおよびMicro850デバイスにアクセスした。ネットワーク上のトラフィックは、一見するとリモートエンジニアリングセッションのように見える。というのも、まさにそれが事実だったからだ。 違いは、キーボードを操作していたのが誰かという点です。侵入に成功すると、彼らはラダーロジックとデバイスの設定を改ざんしました。

これは製品の問題でも、ロックウェル・オートメーションの問題でもありません。ロックウェル・オートメーションは、まさにこの問題に対して積極的に取り組んできました。セキュリティ強化のガイダンスを公開し、顧客向けアドバイザリを発行し、この警告の作成に関与した機関と連携してきたのです。より根本的な問題は、特定のプラットフォームが登場する以前から存在していました。業界全体のICS機器は、ある合理的な前提の下で設計されてきました。それは、「PLCへのエンジニアリングソフトウェアとネットワーク経路を持っている者は、そこにアクセスする権限がある」という前提です。 ネットワークが隔離されていた時代には、この考え方は理にかなっていました。しかし、もはやそれは通用しません。これは製品欠陥ではなく、業界全体の問題です。産業オートメーションへのアクセスはすべて リスクを伴い、この現実はロックウェル・オートメーションや他のICS OEMメーカーに限ったことではありません。要するに、これらのコントローラには、権限のあるユーザー以外がアクセスできないようにすべきなのです。

なぜ「単に接続を切断する」OT には不十分なのか

この勧告で提唱されている主な対策は、PLCをインターネットに直接接続しないようにすることです。その通りです――可能な限りそうすべきです。しかし、水道事業者、エネルギー事業者、あるいは自治体のインフラ事業に携わったことのある人なら誰でも、「単に接続を切断すればよい」という考え方が、運用上の現実を軽視していることを理解しているはずです。午前2時に誰も車で駆けつけることのできない遠隔地のポンプ場もありますし、地域全体に分散している分散型発電設備もあります。 遠隔アクセスOT に導入されたのは、人々が怠惰だったからではありません。運用上の必要性から導入されたものであり、多くの場合、そうしなければ現場を管理不能な状態に放置することになっていたからです。  

つまり、本当の難問は、その脆弱性を時間をかけて解消すべきかどうかということではありません。重要なのは、その作業が完了するまでの「今」どうすべきかということです。もし、通常の変更時間帯外に、海外のIPアドレスからあなたのPLCへのエンジニアリングセッションが確立され、誰かがこっそりとプロジェクトファイルを抜き出していたとしたら、アラームは鳴ったでしょうか?誰かがそれに気づいたでしょうか?

この勧告が実際に指摘しているのは、まさにその点です。

OT におけるPLCへの不正アクセスを検知する方法

アドバイザリに記載されているATT&CKのマッピングをご覧ください: 

  • T0883 - インターネット経由でアクセス可能なデバイス - は、初期アクセス手法です。エクスプロイトは不要です。  
  • T1565 - 保存データの操作 - これがその影響です。  
  • C2は、標準的なOT 使用するポートを横断して動作します。具体的には、EtherNet/IP用の44818番および2222番、Modbus用の502番、Dropbear経由のSSH用の22番、そして102番です。

この最後の点については、特に注目すべきです。ポート102はシーメンスS7です。このアドバイザリでは、これらの攻撃者が「ロックウェル・オートメーション以外の企業が製造したデバイスを標的としている可能性もある」と指摘しています。これは単なる付け足しではありません。シーメンス、シュナイダーエレクトリック、あるいはその他の脆弱OT 運用している場合、これらのIOCは、ロックウェル・オートメーションやアレン・ブラッドリーの設備と同様に、自社の脅威検知活動において重視すべき対象となります。

この種の活動を検知するには、攻撃者のIPアドレスを事前に予測する必要はありません。必要なのは、環境を十分に把握し、異物を識別できることです。通常、どのワークステーションからエンジニアリングセッションが開始されますか? どの時間帯に?どのデバイスに対して?正当な保守作業の場合と、単にラダーロジックを盗み見ようとしている場合とでは、プロジェクトファイルの読み取り内容にどのような違いがあるか?これらは答えられる質問ですが、OT トラフィックをプロトコルレベルで可視化し、攻撃対象領域を把握するための準備を整えている場合に限ります。

影響を受けた組織の多くは、リスクを認識していないか、あるいは理解していないため、全体像を把握できていません。それが率直な評価です。

インターネットに接続されたPLCを保護するための緊急対策

アドバイザリ全文をもう一度読み直すことをお勧めします。リスク軽減策に関する指針は的確です。当面優先すべき点は以下の通りです:

  • 可能な限り、インターネットに接続可能なデバイスを撤去してください。それが不可能な場合は、セキュリティ対策を講じてください。例えば、携帯電話用モデムにIPフィルタを設定し、運用やエンジニアリングに必要な通信のみに制限するといった、簡単なことから始めることができます。Shodanでチェックし、外部から公開されている状態で監視対象になっていないことを確認してください。
  • ログを取得し、IOC IPアドレスに関連するトラフィックを確認してください。特にポート44818、2222、102、22、502に焦点を当て、そのトラフィックが地理的にどこから来ているかにも注意を払ってください。ロックウェル・オートメーションのコントローラ、あるいは率直に言えば、物理的なモードスイッチを備えたあらゆるコントローラについては、リスクの評価を行う間、リモートからの変更をブロックするために、今すぐスイッチを「実行」位置に設定してください。 どのPLCが、直接的またはジャンプホストを経由した間接的な形でインターネットに接続可能かを特定し、リソースが許す限り早急に、あるいはそれより早く、是正措置の順序を策定してください。
  • インフラ面においては、OT リモートアクセスは、多要素認証(MFA)が適用された認証済みゲートウェイを経由して行われるべきであり、ワークステーションレベルの制御により、どのマシンがどのデバイスに対してプログラミングセッションを開始できるかを制限する必要があります。PLCについては、メンテナンス期間を定めた明確なパッチ適用サイクルを設ける必要があります。これらはいずれも新しい指針ではありませんが、本勧告は、単にどこかに文書化されているだけなのか、それとも実際にどの程度実施されているのかを確認するための、有用な推進力となります。
  • リストに追加すべきもう1つのポイントは、地政学的環境に注意を払うことです。報告書の作成機関は、今回の事態の悪化がイラン、米国、イスラエル間の緊張の高まりと密接に関連していると明確に評価しています。この相関関係は新しいものではありません。過去数年間、イラン系組織OT 、武力衝突の激化期と一貫して連動してきました。 だからといって、ニュースが流れるたびに脅威レベルを急上昇させるべきだという意味ではありませんが、地域の情勢が不安定になった際には、自組織のリスクへの曝露状況を再確認し、IOC(侵害指標)の検索条件を更新し、監視体制が想定通りに機能しているかを確認する合理的なきっかけとなります。重要インフラにおいては、地政学的状況は脅威態勢を評価する上で正当な要素の一つなのです。

本アドバイザリで説明されている攻撃キャンペーンは、技術的に高度なものではありません。攻撃者はインターネットからアクセス可能なPLCを発見し、ベンダーが提供するツールを使用して接続し、オペレーターの画面に表示される内容を改ざんしました。これが成功した理由は、その動きを検知したりアクセスを阻止したりする仕組みが何も導入されていなかったためです。  

その問題は解決可能です。しかし、解決するには、可視性の範囲が実際にどこまでなのかを正直に認めることから始めなければなりません。

イラン紛争に関連する脅威アクターの活動

Nozomi Networks Labs は、MuddyWater、APT33、OilRig、CyberAv3ngers などの有名なイランの脅威アクターによるサイバー攻撃が 133% 増加していることを確認しています。
ブログを見る

地政学的緊張の高まりにおけるイランのAPT活動:Nozomi および重要インフラ所有者への推奨事項

ブログを見る
見つかりませんでした.
見つかりませんでした.
マルクス・ミュラー
著者について

マルクス・ミュラー

フィールドCISO
マルクス・ミュラーNozomi NetworksフィールドCISO(最高情報セキュリティ責任者)を務めています。この役職において、産業用サイバーセキュリティおよびコンプライアンスリスクに対処するため、組織が企業全体でソリューションを運用化する支援に注力しています。 マルクスは20年以上にOT経験を積み、特に公益事業、エネルギー、製造業を中心に幅広い業界で活動してきました。過去の職務では、NERC CIP基準への準拠OT を務めました。NERCコミュニティの積極的なメンバーとして、FERC指令887 - INSMへのNERCの初期対応を含む、複数の分野でフィードバックや回答を提供しています。

関連記事

英国のサイバーセキュリティ・レジリエンス法案:OT 所有者が今知っておくべきこと

地政学的緊張の高まりにおけるイランのAPT活動:Nozomi および重要インフラ所有者への推奨事項

準備を:NERC CIP-015-2により、INSMが電子セキュリティ境界を超えて拡大される

オーストラリアの重要インフラの保護:IEC 62443がSOCI法コンプライアンスを強化する方法

購読する

LinkedIn

デモを希望

プラットフォーム

プラットフォームの概要VantageCentral Management ConsoleGuardianGuardian AirArcアセット(資産)インテリジェンススレット(脅威)インテリジェンス (脅威インテリジェンス)スマートポーリングインテグレーションPSIRT

プロフェッショナルサービス

プロフェッショナルサービス指定エンジニアファースト・トラック・サービスヘルスチェック・サービス最適化サービス

ソリューション:ビジネスニーズ

脅威の検知と対応継続的なネットワーク監視資産在庫管理リスクと脆弱性の管理IoT セキュリティデータセンターのサイバーセキュリティ

ソリューション:コンプライアンス

NERC CIPNIS2 指令TSA セキュリティ指令

ソリューション:産業

空港電気事業ヘルスケア連邦政府製造業海事鉱業石油&ガス医薬品鉄道小売スマートシティ上下水道

詳細を見る

アカデミー採用情報会社概要お客様の声お問い合わせパートナーリソースラボ法務トラストセンター
LinkedIn logo
© 2026Networks 無断複写・転載を禁じます。プライバシーポリシーと認証情報。システム状況