出典:1st footageおよびShutterstock経由
米国政府がエネルギー企業、水道事業、産業企業に対して国家支援の敵対勢力がインターネット接続の運用技術を標的にしていると警告する一方で、研究者たちは少数の古い産業用制御システムが認証を必要としない直接アクセスを許可していることを発見しました。
テクノロジー評価企業Comparitechの研究者によると、Modbusプロトコルを使用したインターネット上の運用技術のスキャンで、認証なしでアクセスを許可する少なくとも179台のデバイスが見つかりました。比較的少数のデバイスですが、公開されている多くのシステムはサイバー脅威アクターに標的にされている可能性が高いと専門家は述べています。
AIサイバーセキュリティプラットフォームのDarktraceのプリンシパルOTセキュリティソリューションアーキテクトであるJeff Macreは、産業システムへの最も一般的な攻撃は引き続きIT システムを侵害してから運用技術に移行することに焦点を当てているが、インターネットに露出するアセットの直接的な標的化は依然として重大な問題だと述べています。
「インターネット向けの制御システムコンポーネント、不安全なリモートアクセス経路、デフォルト認証情報、および不適切に保護されたバウンダリデバイスは、産業環境への直接的なアクセス経路を作り続けています」と彼は述べています。「IT-OTピボットは多くのインシデントで支配的なパスのままですが、直接露出はOTリスクの最も明確で最も回避可能なソースの1つです。」
米国政府は4月7日に、イラン関連のサイバー攻撃者がプログラマブルロジックコントローラ(PLC)を標的にしていると警告しました。PLCは水道・下水処理施設やエネルギー発電施設などの様々な重要な産業システムの特定の機能を自動化するOTデバイスです。2025年12月、サイバー攻撃がポーランドの分散型風力・太陽光発電インフラを侵害しましたが、一般市民への電力供給を遮断することはできませんでした。複数のアナリストはこの攻撃をロシア系アクターに関連付けました。
現在の紛争における主要なプレーヤー – イラン、イスラエル、ロシア、ウクライナ、米国 – はすべて標的地点の状況を把握する方法としてIPカメラを標的にしています。イランの指導部の日々の習慣からミサイル攻撃の影響レベルまで。
重大な物理的影響
重要インフラを標的とする国家支援の攻撃者は、搾取に適した状況に直面しています。Comparitechはその研究で、オープンソースツールMasscanを使用して311個の可能性のあるオープンModbusデバイスをフラグ付けし、ハニーポットの兆候を示すシステムを除外しました。残りの179台のデバイスは、認証を必要とせずにデフォルトポート502でModbusプロトコルを公開していました。
Comparitechのセキュリティ研究責任者であるMantas Sasniauskasは、その研究がおそらく保守的な数のシステムを見つけたことを強調し、スキャンがより広い範囲のプロトコルに焦点を当てた場合、さらに多くの不安全でインターネットに露出したICSデバイスが見つかると指摘しています。
「これらは179個の公開されたウェブサーバではなく、認証なしの産業用制御器であり、インターネット上の誰でも読み取ったり、潜在的に書き込んだりできます」と彼は述べています。「私たちは国営鉄道と2つの国営電力網に関連するデバイスを特定しました。それらの環境における単一の侵害されたデバイスは、重大な物理的影響をもたらす可能性があります。」
OTサイバーセキュリティサービスプロバイダーであるDragosの脅威狩猟シニアディレクターであるLiz Martinは、サイバー攻撃者は多くの場合ITデバイスに感染し、その後OTデバイスにピボットしているが、グループもOTを直接標的にし始めたと述べています。
「公開されている産業用デバイスの直接的な標的化は、もはや理論的なものではなく、OTに影響を与えるという事前作戦上の意図を示唆する十分な精度で発生しています」と彼女は述べています。
停戦?危険は残る
サイバー脅威インテリジェンスプロバイダーであるFlashpointの国家安全保障インテリジェンスチームの責任者であるAustin Warnickは、特に産業用制御システムの脅威については、セキュリティ対応を地政学的イベントやリスクに結びつけるべきではないと述べています。国家支援のアクターは現在、水やエネルギーなどの重要なセクターのプログラマブルロジックコントローラを標的にする主要な推進力ですが、日和見的なグループはしばしば、国家間の関係に関わらず、それらのターゲットを攻撃すると彼は述べています。
「最近のインテリジェンスは、国家アクターと日和見的なプロキシとの区別がますます曖昧になっていることを示し、二層構造の脅威環境を作成しています」とWarnickは述べています。「これらのプロキシはしばしば停戦を単なる技術的な詳細として扱い、軍事的オプションが制限されている場合に政治的圧力を行使するために、民間部門のインフラに対する『サイバージハード』を維持し、さらにはエスカレートさせています。」
企業は、内部的にも外部的にも、自社システムをスキャンして脆弱なデバイスを見つけるべきです。世界中のOTネットワークの10%未満が可視性と監視を備えており、実質的に可視性ギャップが生じています。Dragosによると、可視性の不足はアーキテクチャレビューのほぼ半分(46%)で検出を妨げ、テーブルトップ演習の大多数(88%)では検出されず、インシデント対応ケースのほぼ3分の1(30%)は検出された異常ではなく、説明できない運用上の問題で始まったと述べています。Dragosの「2026 OTサイバーセキュリティ年レビュー」レポート。
外部スキャンは可視のものだけを見つけ、NATデバイスやファイアウォールの背後、またはセルラー接続OTアセットの背後にあるデバイスをキャプチャできません。そのようなデバイスの多くはペリメータディフェンスによって保護されていません。Dragosのマーティンは述べています。
「インターネット全体のスキャンはペリメータでの露出を測定しますが、最も永続的で重大なギャップは内部です。セグメンテーション不十分、特権アカウントの弱い認証情報、限定的なOTテレメトリー、ICS対応監視の欠如です」と彼女は述べています。「これらの条件は[外部スキャン]に表示されませんが、敵対者が正面玄関を通り過ぎると搾取しているものです。」
翻訳元: https://www.darkreading.com/ics-ot-security/industrial-controllers-vulnerable-conflicts-cyber
