攻撃者の大衆化と広範化で、どのようなOT資産が狙われるのか：なぜ今“現実世界”が攻撃されるのか――CPSが主戦場になった理由（1）（2/2 ページ）

[加藤俊介／Claroty，MONOist]

広がるOT攻撃の裾野、多様な攻撃者が脅威に

　さらに重要なことは、こうした攻撃が成立する構造的な背景である。

　従来のOT侵入では、内部ネットワークへの侵入や権限昇格といった複数の段階を経る必要があったが、インターネットに公開されたOT資産に対しては、こうしたプロセスを経ずに直接アクセスが試みられる。結果として、専門的な知識を持たない攻撃者であっても、比較的容易にOT環境に関与できる状況が生まれている。

　これは、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が2025年12月に発表した勧告を裏付ける結果となっている。勧告では、重要インフラにおける保護されていないインターネットに接続されたOT資産、デバイスへの不適切なアクセスおよび認証の欠如が、悪意ある活動を可能にする主要なリスクとして指摘していた。

　知識を必要としない、極めて低技術なTTP（戦術、技術、手順）から始まる攻撃が増加しているという変化は、OT攻撃の裾野を大きく広げる要因となっている。つまり、攻撃は一部の高度な主体に限られるものではなく、より多様なプレイヤーによって実行される現実的な脅威へと変化している。

攻撃は「組織」ではなく、公開されたOT資産へシフト

　こうした変化を決定づけているのが、OT資産のインターネット接続の拡大である。リモート保守や運用効率化、クラウド連携といった要請により、制御システムや関連機器が外部ネットワークと接続されるケースは急速に増加している。その結果、本来は内部で利用されるべき操作インタフェースや管理機能が、インターネット経由でアクセス可能な状態に置かれることも珍しくなくなった。

　例えば、遠隔監視や保守のために設置されたHMI（ヒューマンマシンインタフェース）や制御端末が、外部から直接アクセス可能な状態にあるケースが確認されている。

　また、リモートデスクトップやVNCといった遠隔操作機能が適切な認証設定なしに公開されている例も少なくない。さらに、Modbusなどの制御プロトコルがインターネット上に露出している場合、認証を伴わずに機器の状態変更が可能となることもある。

　これらの資産は、特別な手段を用いることなく発見できる。攻撃者は、インターネット全体を対象としたスキャンや検索を通じて公開された機器を特定し、アクセス可能な対象に対して侵入や操作を試みる。ここでは高度な脆弱性の悪用は必ずしも必要とされず、既知の認証情報や設定不備といった基本的な問題が攻撃の入口となる。

　つまり、攻撃の対象は「どの組織か」ではなく、「どの資産が公開されているか」へとシフトしているわけだ。この変化は、サイバー攻撃の前提を根本から変えるものだ。従来のように特定の組織に侵入する必要がないため、攻撃はより迅速かつ広範に実行される。

　結果として、OT環境は一部の高度な攻撃者だけでなく、より多くの攻撃者にとって現実的な標的となりつつある。

まとめ

　OTを取り巻く環境は大きく変化している。かつては隔離され安全と考えられていたOTシステムは、ITとの統合やインターネット接続の拡大により、外部からアクセス可能な存在へと変わりつつある。

　その結果、サイバー攻撃は特定の組織を狙うものから、公開されたOT資産そのものを対象とする形へとシフトしている。これは攻撃の難易度を引き下げる一方で、影響範囲を大きく拡大させる要因となっている。現実世界が攻撃対象となる現在、この変化を正しく理解することが、今後の対策を考える上での出発点となる。

　次回は、こうした攻撃がどのように実行されるのか、攻撃者の視点からその侵入手法とプロセスを詳しく見ていく。（続く）

著者紹介

加藤俊介（かとう しゅんすけ）

Claroty Ltd.
APJ Sales シニア ソリューション エンジニア

国内大手化学メーカーにて計装機器・制御システム設計エンジニアとして3年、海外大手制御機器メーカーにて安全計装システムのエンジニアとして4年、国内外の産業システムにかかわるプロジェクトに従事。また2021年8月から産業サイバーセキュリティのプロジェクトも担当。2022年5月から現職。製造業、医療業界向けのサイバーセキュリティソリューション提案を担当。

⇒その他の「なぜ今“現実世界”が攻撃されるのか――CPSが主戦場になった理由」の記事はこちら