米国の重要インフラを支える産業制御システムが、国家支援のサイバー攻撃の標的になっている。FBI・CISA・NSA・EPA・DOE・米サイバー軍(CNMF)の6機関が2026年4月に共同アドバイザリを発行し、イランと関係するAPTグループによる攻撃が2026年3月以降に拡大していることを明らかにした。標的はRockwell Automation(Allen-Bradley)製のプログラマブルロジックコントローラー(PLC)であり、すでに金銭的損失と業務停止被害が報告されている。
何が起きているのか
攻撃者はインターネットに直接接続された産業用PLCを探索し、HMI(ヒューマン・マシン・インターフェース)およびSCADA(監視制御・データ収集)ディスプレイ上のデータを改ざんしている。機器のプロジェクトファイルが窃取されることも確認されており、「監視して終わり」ではなく、操作介入まで踏み込んでいる点が深刻だ。
対象セクターは政府施設・水処理・廃水処理・エネルギーと、社会基盤の中枢にわたる。2023年にも同系統のCyberAv3ngersグループがUnitronics製PLCを75台以上侵害した前例があり、今回はその延長上にある継続的な攻撃キャンペーンと見られている。
米当局は「今回の攻撃激化は、イランと米国・イスラエルの間の緊張悪化と連動している」と分析している。地政学的なコンテキストが直接サイバー攻撃のタイミングと規模に影響している点は、軍事・外交の動向とセキュリティ運用が切り離せない時代になったことを改めて示している。
根本原因は「インターネット直結のOT機器」
今回の攻撃で最大の問題は、PLCがインターネットに露出していたことだ。IT系のサーバーであれば「外部公開=リスク」という認識はある程度普及しているが、OT(運用技術)機器においては「昔から動いているから」という理由でネットワーク分離が後回しにされてきたケースが多い。
Shodan等のツールを使えば、世界中のインターネット接続PLC・HMIを容易に発見できる。攻撃者にとっては「扉が開いたまま」の状態だ。
実務での対策ポイント
米当局の勧告をもとに、実際に何をすべきかを整理する。
即実施すべき対策
- PLCをインターネットから切断するか、ファイアウォールで保護する
- OTネットワークへのアクセスに多要素認証(MFA)を導入する
- PLCのファームウェアを最新版に更新する
- デフォルト認証キーや未使用サービスを無効化する
継続的な監視項目
- OT関連ポートへの不審トラフィック(特に海外ホスティング事業者からの接続)を監視する
- アドバイザリで共有されたIoC(侵害指標)とログを照合する
構造的な改善
- ITネットワークとOTネットワークの分離(エアギャップもしくはDMZ構成)
- OT機器へのアクセスログの一元管理と定期レビュー
日本のOT環境にとっての意味
「これはアメリカの話」で済ませたいところだが、日本の製造業・インフラ事業者も無関係ではない。実態として、レガシーな制御システムがインターネットに接続されたまま運用されている現場は日本にも存在する。
経済産業省のICS向けセキュリティガイドラインや、IPA(情報処理推進機構)が公開している制御システムセキュリティ対策ガイドを参照し、自組織のOT機器の露出状況を確認することを強く推奨する。特に水道・電力・ガスなどの重要インフラ事業者は、今回の米国事例を他山の石と捉えるべきだ。
筆者の見解
OTセキュリティの問題は、「ITとOTが別々に進化してきた歴史」の歪みがここに来て表面化したものだと見ている。IT系では常識となっているゼロトラストの考え方——「信頼しない、常に検証する」——がOT領域にはまだ十分に浸透していない。
「今まで動いていたから大丈夫」という運用文化と、長期間使われ続けるレガシー機器の組み合わせは、攻撃者にとって格好の標的になる。VPNで「守れている気になっている」構成も同様で、ネットワーク境界を信頼し続けるモデルはOT環境でこそ早急に見直すべきだ。
Just-In-Timeアクセス制御の考え方をOT機器にどう適用するかは設計上の難しさがあるが、少なくとも「インターネット直結のPLC」という状態は今すぐ解消できる最も優先度の高い課題だ。インシデントが起きてから動くのではなく、アドバイザリが出た今日を対応開始の起点にしてほしい。
出典: この記事は US warns of Iranian hackers targeting critical infrastructure の内容をもとに、筆者の見解を加えて独自に執筆したものです。