米国政府機関は火曜日に、ロックウェルオートメーションおよびアレン・ブラッドリーを含む複数の重要インフラセクター全体にわたるOTおよびPLCデバイスを標的とした継続的なサイバー活動について、米国の組織に警告した。このアクティビティは、米国の業務を混乱させようとするイラン系列のAPTアクターに起因している。
重要セクター全体にわたる混乱
連邦サイバーセキュリティおよび法執行機関が発行した警告は、このアクティビティがイラン、米国、およびイスラエルに関係する高まった地政学的緊張と一致していることを述べている。
「このアクティビティは、プロジェクトファイルとの悪意のあるやり取りおよびヒューマンマシンインターフェース(HMI)および監視制御データ取得(SCADA)ディスプレイ上のデータの操作を通じて、米国の複数の重要インフラセクター全体にわたるPLCの混乱をもたらし、運用上の混乱と経済的損失をもたらしている」と警告は述べている。
機関は、脅威アクターがインターネットに公開されたPLCにアクセスするために海外のIPアドレスを使用したと述べた。場合によっては、アクターは合法的なエンジニアリングソフトウェアを使用して、被害者デバイスへの接続を確立するために、リースされた第三者インフラストラクチャに依存していた。このアクセスにより、彼らはプロジェクトファイルを抽出し、HMIおよびSCADAシステムに表示されるデータを変更することができた。
連邦当局は、防御的な措置を取る前に、疑わしいIPアドレスを調査および検証することを組織に促した。彼らはまた、イラン系列の運用に関連するパターンについて歴史的活動を見直すことを推奨した。
推奨される軽減策
機関はCISAおよびNISTによって開発された、クロスセクターサイバーセキュリティパフォーマンスゴール2.0(CPGs 2.0)に合致した軽減策を概説した。
即時対策には、PLCを公開インターネットアクセスから切断し、リモート接続を制限することが含まれる。物理的スイッチを備えたコントローラーの場合、組織はリモート修正を防ぐためにデバイスを「実行」モードに設定する必要がある。ソフトウェアベースのキー切り替えをサポートするシステムの場合、機関は許可されていない変更を制限するためにプログラミング保護を有効にすることを推奨する。
組織は、妥協の場合の回復をサポートするために、PLCロジックおよび構成のバックアップを作成および定期的にテストすることをお勧めする。追加のガイダンスには、不正なアクセスの監視、疑わしいアクティビティのログのレビュー、および正当な操作を混乱させないようにするためにそれらをブロックする前にIPアドレスを検証することが含まれる。
翻訳元: https://www.helpnetsecurity.com/2026/04/08/iran-targets-us-critical-infrastructure/
