出典: blueonephotos via Alamy Stock Photo
米国連邦政府からの新たな警告によれば、運用技術と重要インフラが攻撃を受けています。
先週、CISA、FBI、EPA、エネルギー省は、米国の重要インフラの運用技術(OT)および産業制御システム(ICS)に影響を及ぼすサイバーインシデントを「認識している」と警告しました。
そのため、著者機関は ファクトシートを公開し、組織に対して基本的なセキュリティ衛生問題に対処するよう助言しています: 公共インターネットからのOT接続の削除、デフォルトパスワードの変更と強力でユニークなものの使用、OTネットワークへのリモートアクセスの保護、ITとOTネットワークの分割、インシデント発生時にOTシステムを手動で維持する能力の実践。
重要インフラは、化学、商業施設、通信、重要製造、ダム、防衛産業基盤、緊急サービス、エネルギー、金融サービス、食品と農業、政府サービスと施設、医療と公衆衛生、情報技術、核(原子炉、材料、廃棄物)、輸送、水と廃水の16の異なるカテゴリを含む広範な用語です。Fortinetの Global Threat Landscape Reportによれば、2025年には製造業がランサムウェアの最も標的にされたセクターであり、攻撃の17%を占めていました。そして、Dragosの2025年のYear-In Reviewレポートでは、産業組織に対するランサムウェア攻撃が前年比で87%増加したことが強調されています。
関連記事:多くの燃料タンク監視システムが妨害に脆弱
重要インフラに対する既知の具体的な攻撃を見ても、これらの数字は決して軽視できません。2021年の Colonial Pipelineランサムウェア攻撃、ウクライナでの破壊的なサイバー攻撃 ロシアによる、昨年から2025年にかけて続くSalt Typhoonの米国主要通信プロバイダに対するスパイ活動、物理的プロセスを混乱させるためのVolt Typhoonの「事前配置」努力など、多くの事例があります。
これらの攻撃は危険ですが、新しいものではありません。Stuxnetウイルスは2010年に イランの核プログラムに対する標的攻撃として展開されました。米国とイスラエル政府がこのウイルスをサイバー兵器として作成したと非難されていますが、どちらも責任を認めていません。
ほとんどの攻撃はOT、つまり多くの種類の物理デバイスを 監視および制御するハードウェアとソフトウェア、そしてネットワーク接続と産業プロセスを統合するICSに対して行われています。例えば、Stuxnetは SCADAシステム — ICSの一形態を標的にしました。OTとICSは化学工場、工場、水処理施設、発電所などあらゆる場所に存在します。
関連記事:AWWAが協力的サイバーセキュリティ法案の導入を支持
産業組織やその他の重要インフラは、ランサムウェアのターゲットとしてベンダーリストの上位に常に位置しています。それは容易に理解できます。脅威アクターが妥協する可能性のある重要な資産は、影響を受けた組織に大きな圧力をかけ、支払いを促します。Dragosのインテリジェンスおよびサービス担当副社長であるKurt Gaudetteは、Dark Readingに対し、OT側が「収益の要」であると述べています。
実際、Sophosは昨年 報告しました、製造業セクターの回答組織の65%が前年にランサムウェア攻撃を受けたと報告し、そのうち62%の組織が身代金を支払ったとしています。
これに加えて、OT/ICSを使用する組織のセキュリティ姿勢は、従来のIT設定と比較して大きく異なることがあります。パッチを適用し続けることの重要性は、一部の産業プロセスが長期間中断なく稼働することを意図しており、パッチを適用するためのダウンタイムを許容できないという現実によって複雑化します。さらに、地元の水処理施設のような組織は、ツールや人材に投資するための十分なセキュリティ予算を持たないかもしれません。また、ICS製品は高価であり、老朽化した機器が至る所に存在し、医療のような多くの分野では、パッチを適用しにくいレガシー製品や組み込みのセキュリティ機能を持たない製品に苦しんでいます。
関連記事:取締役会がOTセキュリティを修正しない場合、規制当局が行う
防御者はどうしているか?
Fortinetの脅威インテリジェンス担当グローバル副社長であるDerek Mankyは、Dark Readingに対し、「組織は近年、自分たちが攻撃者のターゲットであることを認識せざるを得なくなった」と述べています。これは、OTが攻撃者にとって機会的な領域であることと、防御者のセキュリティ姿勢が不十分であることが組み合わさった結果です。
しかし、Mankyは、選択肢があるにもかかわらず、「真の運用技術セキュリティ」が大規模に適用されるにはまだ道のりがあると主張しています。「現代の技術を使えば、ネットワーク検出と応答(NDR)やプラットフォームに依存しないツールを通じて非常に実用的なアプローチが可能です。つまり、いくつかのレガシーコントロールに組み込まれたセキュリティを実行する必要はありません」と述べています。
利用可能な他のツールには、プロトコルを標的とする異常な活動を探す機械学習ベースの製品や、攻撃者にとって魅力的な餌として機能し、インテリジェンスを得る機会を提供する欺瞞環境や高度なハニーポットがあります。
Darktraceの産業セキュリティソリューションアーキテクトであるJeff Macreは、企業レベルでのより良いガバナンスへのシフトを目の当たりにしているとDark Readingに語っています。
彼の説明によれば、IT部門はネットワークやその他の従来のセキュリティ領域に専任のスタッフを配置している一方で、OT側では一般的に同じ人物が運用とサイバーセキュリティの両方を担当しています。取締役会は今、「OTに関する難しい質問」を投げかけています。
これは、組織のこれまで別々だった2つの側面がより協力し始めているOT/ITの融合のアイデアと密接に関連しています。Macreは、これが しばらくの間議論されてきたポイントであると説明していますが、今では「実際に始まっている」と述べています。
とはいえ、GaudetteがDark Readingに語るように、組織の両側には異なるニーズがあります。彼らは協力し、話し合うべきですが、企業はOTとITがどこで分岐するのか、たとえばダウンタイムの期間などを理解する必要があります。そしてもちろん、ネットワークの分離は、 Volt Typhoonのような脅威がITシステムに侵入し、物理的プロセスを制御するためにピボットするのを防ぐために重要です。結局のところ、Colonial Pipelineは 請求システムを通じて攻撃されました。
重要インフラに対する攻撃者の視点
Mankyは、金銭的動機を持つ攻撃者が国家の攻撃からも手がかりを得ていると述べています。たとえば、ロシアがウクライナに対してワイパーを使用したり、 2012年のサウジアラムコへの攻撃などです。これらの破壊的な攻撃が始まった後、ワイパーはOTを標的としたサイバー犯罪やランサムウェアキットに追加されました。
CrowdStrikeの対敵対者作戦担当上級副社長であるAdam Meyersは、重要な組織が自分たちを狙う脅威を鋭く認識しているが、今日の脅威アクターの動きの速さに直面しているとDark Readingに語っています。彼は昨年のCrowdStrikeの統計を引用し、サイバー攻撃者全体が ブレイクアウト時間を平均14分短縮し、62分から48分になり、最速は51秒であると述べています。この時間は毎年短くなる傾向があります。
攻撃者の速度に加えて、Meyersは、組織が処理しなければならないデータ量が Industry 4.0とIoTセンサーの台頭の時代に急増していると述べています。
「彼らにとっては救いがない」と彼は説明します。「重要インフラ組織は脅威をできる限り真剣に受け止めていますが、リソースが限られています。」
OTセキュリティの今後の進展
良いニュースは、OTセキュリティ(ひいては重要インフラ)の非常に現実的な問題が、ゆっくりではありますが確実に対処され始めていることです。
2022年3月、前大統領バイデンは、2022年の重要インフラのためのサイバーインシデント報告法(CIRCIA)を法律として署名しました。 この法律は、一部、関連する重要インフラ組織がインシデントが発生したことを発見してから72時間以内にCISAに報告することを要求しています。
他の政府機関も行動しています。RSAC Conference 2025では、DARPAを含む研究機関の代表者が、業界特有の重要インフラ問題にどのように対処しているかを 議論しました。たとえば、ARPA-Hは、医療業界向けの専用ツールセットの研究に数百万ドルを費やし、ARPA-Iは、自動化を活用してインフラセキュリティのニーズに対応し、レガシー技術を更新する方法を研究しています。
特にOTにおいて、Macreは、コアネットワーク監視のような技術が組織により広く適用されることを望んでいます。彼は、セキュリティの観点から見て、機械学習はOTに適していると付け加えています。なぜなら、産業用ハードウェアはしばしば単純で「パターン化しやすい」からです。
Macreはまた、業界全体で資産の可視性を強調することから離れたいと考えています。彼は、組織が何を持っているかを知ることは重要ですが、可視性を活用しない限り、完全なインベントリはセキュリティの観点から無意味であると述べています。重要インフラのエンティティは、データに基づいて、よりカスタマイズされた脅威インテリジェンス、エンドポイントソリューション、またはその他のOT防御を展開するための追加の手段を講じることを怠ることがあまりにも多いです。
全体として、DragosのGaudetteは、OTに関する意識が高まっていると感じています。人々は脅威を「現実的」と見ているからです。ただし、「国家安全保障の観点から私が満足できるほどではありません」と述べています。
「一部の業種は他の業種よりもはるかに成熟しています。電力業界は規制が関連しているため非常に成熟した業種です」と彼は言います。「全体として良くなっているか?はい。十分に速く良くなっているか?いいえ。」
翻訳元: https://www.darkreading.com/ics-ot-security/critical-infrastructure-ot-security-still-lags