検索
連載

攻撃者の大衆化と広範化で、どのようなOT資産が狙われるのかなぜ今“現実世界”が攻撃されるのか――CPSが主戦場になった理由(1)(1/2 ページ)

サイバー攻撃の標的はデータやITシステムから、工場やインフラといった現実世界の機能へと広がっている。その背景には、ITとOTの融合によって生まれた新たな接続性と、それに伴うリスクの拡大がある。本連載では、Clarotyのレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」をベースに、OTを直接狙うサイバー攻撃の現状と対策を連載形式で解説する。

Share
Tweet
LINE
Hatena

 サイバー攻撃の対象は、いまやITシステムの枠を超え、現実世界の設備や社会インフラにまで広がっている。製造ラインの停止や電力供給の遮断、さらには安全装置の無効化といった事象は、もはや仮想空間の問題ではなく、現実の社会や人々の生活に直接的な影響を及ぼすリスクとして顕在化している。

 この背景にあるのが、CPS(サイバーフィジカルシステム)の普及である。CPSは、ITと物理的なプロセスが密接に連携することで効率化や高度化を実現する一方、その接続性の高さが新たな攻撃対象領域を生み出している。

 では、なぜ今「現実世界」が攻撃されるようになったのか。その変化は、OTを巡る攻撃の進化と、それを取り巻く環境の変化を合わせて捉えることで見えてくる。

重要インフラのOTを狙うサイバー攻撃とその変化

 従来のOTに対するサイバー攻撃は、国家レベルの高度な攻撃者による標的型攻撃が中心であった。対象は電力、石油/ガス、水処理といった重要インフラであり、その多くは外部ネットワークから隔離された環境で運用されていた。

 こうした環境に対しては、侵入そのものが困難であり、攻撃には長期間の準備と高度な技術が必要とされた。

 その典型例が、2010年に発見された「Stuxnet」である。このマルウェアは、現場に意図的に置かれたUSBメディアを介して閉域環境に侵入し、制御装置(PLC)の設定値を書き換えることで遠心分離機を物理的に破壊した。これはサイバー攻撃が現実の設備に直接的な損害を与えた初の事例とされ、エアギャップは安全であるという前提を覆した。

 しかしその後、状況は大きく変化する。

 2014年に発生したドイツの製鉄所へのサイバー攻撃では、フィッシングによるITシステムへの侵入を起点に、制御ネットワークへと影響が拡大し、高炉の正常停止が不能となった。さらに2015年にウクライナで起きた大規模停電では、電力会社の運用システムが遠隔操作され、大規模な停電に発展した。これらは、ITとOTの接続点が攻撃経路となり、現実の設備操作に至る典型的な構図を示した。

 その後も、2016年の「Industroyer」や、2017年の「Triton」といった専用マルウェアが登場し、制御プロトコルや安全装置そのものを標的とする攻撃が確認されている。攻撃は単なるシステム障害にとどまらず、物理的な破壊や事故の誘発といった領域にまで発展した。

 また、2021年のパイプライン企業Colonial Pipelineに対するランサムウェア攻撃では、ITシステムへのランサムウェア感染を契機として操業停止が判断され、社会的な混乱が生じた。この事例は、OTが直接侵害されなくとも、運用上依存しているITシステムの停止によって社会インフラ全体に影響が及ぶことを示している。

 これらの事例が示すのは、OTへの攻撃が隔離環境の突破から始まり、IT経由での侵入と横断を経て、制御そのものの操作へと進化してきたという流れである。しかし、現在起きている変化の本質は、単なる高度化ではない。むしろ重要なのは、攻撃の成立条件そのものが変わりつつある点にある。

攻撃者像は国家主体から“拡張されたプレイヤー”へ

 OTへの攻撃の変化は、手法だけでなく攻撃者の性質にも及んでいる。

 従来、OTを標的とする攻撃は、国家やそれに準ずる高度な組織によって実行されるものと考えられてきた。高度な専門知識や専門的な技術、そしてリソースを必要とすることから、実行主体は限定されていたためだ。

 しかし近年では、この前提も大きく変わりつつある。Clarotyが発表したレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」では、Clarotyの脅威研究部門であるTeam82が、20以上のCPSを狙う脅威アクターグループによって、数多くの産業分野のCPSに対して行われた200件以上の攻撃を評価している。

 レポートでは、CPSに対する攻撃の多くが、国家主体に限らない比較的低スキルな攻撃者によって実行されていることを明らかにしている。これらの攻撃者は、必ずしも経済的利益を主目的とするわけではなく、政治的/社会的な主張を背景に活動するケースが多く、地政学的な対立と連動して攻撃対象を選定する傾向が見られる。

 Team82が検証したCPSに対する攻撃の多くは、インシデントをロシアおよびイランに関連する脅威アクターと結び付けることができた。中東における現在の地政学的緊張や、ロシアとウクライナの間で4年間続いている戦争を考慮すれば当然なのかもしれない。

 ロシア語圏のグループによる攻撃の大部分は、欧州連合(EU)諸国を標的としていることが判明した一方、イラン系グループは、主にイスラエルや米国に対する攻撃においてCPSを悪用しようとしていた(注:レポートは2025年のデータを対象としているため、2026年2月に始まった米イランの戦争は含まれていない)。

イラン/ロシアに関連するグループによる攻撃の分析
イラン/ロシアに関連するグループによる攻撃の分析 出所:Claroty調査レポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る