米国全土の重要インフラ各分野で燃料・化学薬品の貯蔵タンク監視に使用されている自動タンク計測(ATG)システムが、900台を超える規模でオンラインに公開された状態にあり、継続的な攻撃に対して脆弱な状況にあることが明らかになりました。
ATGシステムは、貯蔵タンク内の燃料・化学薬品・その他の液体をリモートで監視する電子モニタリング装置です。在庫管理の自動化、環境への漏洩検出、法規制への準拠対応に活用されています。ガスステーションでの燃料タンク液面監視が最も一般的な用途ですが、化学薬品の貯蔵タンクを管理する産業現場でも広く使用されています。
火曜日、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、FBI、NSA、エネルギー省、その他の米国政府機関が共同勧告を発表し、重要インフラ組織に対してインターネットに公開されたATGシステムを継続的な攻撃から保護するよう求めました。
各連邦機関は、脅威アクターがハードコードされた認証情報、認証バイパス、SQLインジェクション脆弱性、OSコマンド実行の欠陥、権限昇格の弱点など、さまざまなセキュリティ上の欠陥を悪用し、コマンド実行攻撃によってシステム設定を改ざんする目的でこれらの機器を標的にしていると警告しました。
「勧告を作成した各機関が観測した最近の悪意あるサイバー活動は――米国政府はまだ国家または脅威アクターグループへの帰属を特定していませんが――サイバー脅威アクターがインターネットに公開されたATGシステムを侵害し、その後コマンド実行によって改ざんするというものです」と共同勧告で警告しています。
CISAが注意喚起したように、侵害に成功した攻撃者はシステムアラートを無効化できるため、漏洩や機器障害のリスクが高まり、標的となったタンクシステムに永続的な損傷を与える恐れもあります。
CISAの勧告を受け、インターネットセキュリティ監視団体のShadowserverは本日、1,000台を超えるATGシステムがオンラインに公開されており、その大多数(909台)が米国に集中していると警告しました。
「2026年6月5日にポート10001/tcpで1,061件のIPを確認したことを受け、自動タンク計測(ATG)システムのスキャンを『アクセス可能なICS』レポートに追加しました」とShadowserverは述べています。「この数字は、ハニーポットと思われる大多数(ポート8001/9001を含む)を除外した後のものです。」
重要インフラ組織に対しては、ATGシステムへのインターネット経由のリモートアクセスをできるだけ早急に制限し、ファイアウォール・VPN・アクセス制御リストを通じたアクセス管理を実施するよう勧告されています。
また、脆弱な機器のデフォルトパスワードを強力な認証情報に変更すること、セキュリティアップデートを適用すること、不正な変更がないかシステムを監視すること、可能な範囲で多要素認証を導入することも推奨されています。
CISAの警告は、2026年5月のCNNの報道を受けたものです。同報道では、イランのハッカーが米国内の複数のガスステーションでインターネットに接続されたATGシステムに侵入したと伝えられました。イランのハッキンググループは、燃料管理システムやその他の産業用制御技術を過去に繰り返し標的にしてきた実績を根拠に、これらの事案への関与が指摘されています。
攻撃者はパスワードが脆弱または設定されていない機器に侵入し、表示上の数値を改ざんしましたが、実際の燃料レベルは変更しなかったとされています。これらの事案で物理的な被害は発生しませんでしたが、こうした攻撃が燃料漏洩の自動検出や関連する安全機能を妨げる可能性があるとして、懸念が高まっています。
4月には、米連邦機関が発行した別の共同勧告で、イランの国家支援を受けたハッカーが2026年3月以降、Rockwell Automation/Allen-Bradley PLCデバイスへの攻撃を行い、財務的損失と業務上の混乱を引き起こしていることが明らかにされました。
その翌日、サイバーセキュリティ企業Censysは、世界中でオンラインに公開されているこうした産業用制御システムのうち74.6%(3,891ホスト)が米国に存在すると報告しました。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが検知に成功している攻撃はわずか54%で、アラートを発するのはそのうちの14%に過ぎません。残りは環境内を検知されることなく侵入し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションを通じてSIEMとEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を解説しています。
