　石原氏は「不正マイニングやランサムウェアなど金銭を目的とした攻撃が全体の4割を占めた一方で、残りの6割は目的が不明瞭であるということが特徴的だ。攻撃者の熟練性や発展性もなく、計画的に次の攻撃につなげていくような動きもなかった。こうしたことは30回の攻撃でも情報搾取活動がなかったことからも見て取れる」と傾向について語る。

　しかし、このような状況でも全体の2割に当たる6件では工場の生産性に影響を及ぼす攻撃があった。例えば、あるランサムウェアの攻撃では、以下の4つの手順で攻撃を行った。

システムに侵入、内部偵察後、共有サーバのファイルを物色
リモート操作用のソフトをインストールし、ランサムウェア本体を含むファイルをダウンロード
タスクマネジャーを開き、稼働中のサービスをいくつか停止（ランサムウェアのリソース確保のためと推測）
ランサムウェアを実行しファイルサーバ内のデータを暗号化

　この場合、ランサムウェアには「工場を攻撃する」という意図はないが「タスクマネジャーの稼働サービスを停止する」という挙動や、データの暗号化でファイルサーバを操作不能とすることが、PLCを停止させたり稼働を落としたりする。「攻撃者は工場環境を意図的に狙ってサイバー攻撃を仕掛けてきたわけではない。攻撃した先がたまたま工場だった感じだ。しかしそれでも工場の生産に影響を与えている」（石原氏）。

観測された30回のサイバー攻撃と、工場の生産活動に影響を及ぼしたインシデント（赤字）（クリックで拡大）出典：トレンドマイクロ

「たまたま工場だった」

　サイバー攻撃が「たまたま工場だった」という証拠として、石原氏はランサムウェアでの攻撃者とのやりとりについて紹介した。「攻撃されたスタートアップのCISO（最高情報セキュリティ責任者）のふりをして、ランサムウェアの攻撃者とメールで連絡した。その際に『攻撃者であることと解除できるということの証明が欲しい』と送ると、攻撃者は『（解読可能であると証明するから）テストファイルを1つだけ送れ。ただし重要ではないものだ』と連絡してきた」（石原氏）。

　ただ、ここで攻撃者に送ったのは「重要ではないファイル」ではなく、工場にとっては重要な、工場機器の稼働を制御する「PLCのロジックファイル」である。「工場のデータで何が重要で、何が重要ではないかを理解していれば、工場の設備稼働のカギを握るPLCロジックファイルは解読しないはずだ。解いてしまえば身代金を払わない可能性が生まれるためである。しかし、攻撃者はあっさりと解読したファイルを送ってきた」と石原氏は状況を説明する。

　これにより、サイバー犯罪者の特徴として、「サイバー犯罪者の目的は金銭」「IT環境には詳しいが、OT（制御技術）環境やOTで扱われるデータについての知識は乏しい」という2つの特徴が示せるという。

　石原氏はこれらの傾向から以下の3つの洞察を示す。

工場もサイバー攻撃を受ける
工場に着弾する攻撃の多くは、意図して工場を狙ったものではない可能性が高い
意図して工場を狙ったサイバー攻撃ではなくても、工場の生産性に影響を及ぼす

　石原氏は「攻撃者の行動を考えると、侵入しやすいIPアドレスをまず探し、そこがたまたま工場だったという流れである。そこで攻撃者は金銭目的の攻撃をしかけるが、その挙動が何らかの工場の生産性に影響を与えるというケースが最も多いと考える。工場のスマート化が進むことによって、工場の侵入経路や攻撃対象が増えるため、今後こうした動きはさらに広がっていくと推測できる」と語っている。

　また、こうした傾向はスタートアップを想定しているから起きたことではなく「とにかく『侵入しやすいIPアドレスかどうか』というのがサイバー攻撃者の考え方だ。そういう意味では大企業もスタートアップも企業規模には関係ない」と石原氏は傾向について述べている。