研究者たちは、公開インターネットに不用意に曝露された産業用コントローラーを対象とした広範な攻撃を発見しました。日常的なModbus/TCPの問い合わせの表面下には、単なる無差別スキャンだけでなく、動作ロジックを解読したり、システムリソースを圧倒したり、レジスタ値を秘密裏に操作したりするという計算された試みが隠されていました。
Cato Networksの専門家Guy WeizelとJakub Osmaniによる技術的な解説によれば、この不審な活動は2025年9月から11月の間に70カ国の14,426個のIPアドレスを襲いました。米国がこれらの侵入の主要な舞台として浮上し、次にフランスと日本が続きました。最も影響を受けた10カ国がまとめて、記録された曝露の86%を占めました。
Modbus プロトコルは、もともとオープンウェブではなく、隔離された産業環境用に設計されていました。プログラマブルロジックコントローラー(PLC)がインターネットに見えるようになると、攻撃者は偵察から積極的な悪用に素早く移行できます:具体的なメーカーとモデルの特定、レジスタデータの抽出、または書き込みアクセスが許可されている場合は、物理プロセスの完全性を決定するパラメータの変更。
最も蔓延した活動は、関数0x03を介してホールディングレジスタを読み取るためのクエリを伴いました。観察された3か月間に、Cato Networksは233個の一意なIPアドレスから発生した約235,500件のそのような呼び出しを文書化しました。これらのソースのほぼ半分は既存のセキュリティテレメトリーと相関していており、より広い悪意のあるインテントのパターンを示しています。
セキュリティコンサルティングサービス
特定の行動シーケンスは高まった精密性を示しました。特定のソースは最初にデバイス識別を要求し、その後、レジスターの固定範囲を注意深く読み取りました。これは、PLCを分類し、その後モデル固有のデータを収集するように設計された自動スクリプトを示す戦術的なペアリングです。
さらに、専門家は「サービス拒否」の意図を示唆する攻撃プロフィールについて詳しく説明しました。単一のソースは、約158,100件の連続した問い合わせを単一のターゲットに送信し、レジスターの最大許容量を読み取ろうと繰り返し試みました。コントローラーへの正確な影響は経験的に検証されていませんでしたが、このような飽和した殺到は、合法的な運用コマンドの処理を大幅に妨げることが知られています。
最も重大な脅威は、単一のIPアドレスから発信された3,240件の書き込みレジスターコマンドとして現れました。これらの指令は、アドレス0x0BB8で一貫して開始され、27から122のレジスター間に及びました。これは、Cato Networksが自動プローブまたは悪意のある操作の特徴として特徴付けるシグネチャです。
製造エンティティはターゲットの最も重要なグループを構成し、サンプルの18%を占め、ヘルスケア、建設、テクノロジー、および地方自治体のインフラストラクチャも襲撃されました。報告書の著者は、Modbus インターフェースをインターネットに曝露することに対して強く警告し、代わりにOT(運用技術)ネットワークの厳密な隔離と、検証済みの信頼できるソースのみへのアクセス制限を主張しています。
