デジタル化の進展に伴い、水道施設や浄水場はAPTハッカーにとって格好の標的となっています。しかし、これらの施設は無作為に狙われているわけではありません。攻撃者は、より広範な戦略の中における圧力ポイントとして、意図的にこれらを選んでいます。その実態を、DomainToolsのアナリストたちが詳細な脅威インテリジェンスレポートにまとめています。
2024年から2026年にかけて、国家と関連する複数のグループが米国とヨーロッパの水道施設を組織的に探索しました。それぞれのグループが独自の目的を追求していましたが、すべてに共通する計算がありました。水の制御は、正式な宣戦布告なしに相手国への影響力を生み出せるという点です。
イランのCyberAv3ngers:白昼堂々のハッキング
イスラム革命防衛隊と関連するイランのハッカーたちは、あらゆるグループの中で最もあからさまな行動をとりました。2023年、CyberAv3ngersグループは産業用コントローラーを掌握しました。これらの機器は、ポンプ、バルブ、そして化学薬品の注入量を制御するものです。
侵入の手口はきわめて単純で、米国の水道施設に設置されたイスラエル製Unitronicsのユニットに設定されたデフォルトの工場出荷時パスワードを利用しました。侵入後は、制御画面に政治的メッセージを残しています。その後、2026年4月にはCISA、FBI、NSA、EPAが共同で、水道施設への攻撃が依然として続いているとの警告を発しました。
中国のVolt Typhoon:潜伏型の脅威
中国は対照的に、より静かな戦術を選択しました。2024年2月、米国の情報機関はVolt Typhoonグループが米国の水道施設に加え、エネルギーおよび交通分野の事業者にも侵入していたことを確認しました。
注目すべきは、ハッカーたちが目に見える被害を一切与えなかったことです。その目的は、将来の紛争に備えてシステム内に足がかりを築くことにありました。その想定シナリオには、台湾をめぐる潜在的な衝突も明示的に含まれています。
繰り返し悪用される同じ脆弱点
記録されているすべてのケースで、攻撃者は共通する少数の弱点を悪用していました。産業用コントローラーや制御パネルがインターネットに直接さらされており、パスワードはデフォルトのままか、きわめて単純なものでした。さらに問題なのは、業務ネットワークと生産ネットワークが同一のフラットな空間を共有し、両者の間に何ら分離がなかったことです。
幸いなことに、対策は広く知られています。各機関はオペレーターに対し、制御システムをパブリックインターネットから切り離すよう強く求めています。さらに、工場出荷時のパスワードの変更、ネットワークのセグメント化、生産ノードにおける異常なアクティビティの監視も推奨されています。これらの対策を組み合わせることで、国家支援グループが長年にわたり侵入し続けてきた入口を塞ぐことができます。
翻訳元: https://meterpreter.org/water-system-cyberattacks/
