世界の重要インフラを標的に、CPSへの直接アクセスを悪用したサイバー攻撃が増加

CPS（サイバーフィジカルシステム）保護/OTセキュリティ企業のClaroty（本社：アメリカ・ニューヨーク州、CEO：ヤニヴ・バルディ、以下クラロティ）は本日、Clarotyのリサーチチーム「Team82」による新たな調査レポート「Analyzing CPS Attack Trends（CPS攻撃動向の分析）」を発表しました。本レポートでは、CPSが地政学的な事象の影響を受け、政治・社会情勢と連動して活動する日和見的な脅威アクターから標的にされやすい傾向が浮き彫りになりました。

 

本調査は、過去12か月間にわたり、20以上の脅威アクター集団が複数の業界のCPSを標的として実行した200件以上の攻撃を分析したものです。分析の結果、CPSを狙った攻撃の82%が、仮想ネットワークコンピューティング（VNC）プロトコルのクライアントを用いて、インターネット上に公開された資産へ遠隔アクセスする手法だったことが浮き彫りになりました。

 

また、インシデントの66%で、ヒューマンマシンインターフェース（HMI）や、産業プロセスを監視・制御するデータ収集システム（SCADA）が侵害されていることが明らかになりました。HMIやSCADAはリアルタイムで産業プロセスを管理しているため、不正アクセスや不正な操作が行われれば、組織やそのサービスを利用する人々に極めて重大な影響を及ぼすおそれがあります。その影響としては、「重要サービスの停止」、「設備・資産の物理的な損壊」、「従業員や一般市民の安全を脅かす事態」などが挙げられます。

 

こうした攻撃の多くは比較的低レベルの技術で実行可能であり、侵害しようとするデバイスまたはプロトコルに関する広範な知識や脆弱性を必要としません。

 

さらに調査では、CPSを標的とした脅威アクター集団の攻撃には、既に知られている国家主導型攻撃者の動機と一致する政治的・社会的な主張や目的が大きく影響していることも明らかになりました。Team82は中東における長期にわたる地政学的緊張と、ロシアとウクライナ間の4年にわたる戦争を考慮し、インシデントの多くがロシアおよびイランと関係する脅威アクターによる攻撃に起因すると考えています。それらの調査結果の重要事項は以下の通りです。

• イラン関連グループによるインシデントの81%は、米国およびイスラエルの組織が標的

• ロシア関連グループによるインシデントの71%は、欧州連合（EU）諸国の組織が標的

• ロシアが標的としたEUの上位国は、1位：イタリア（18%）、2位：フランス（11%）、3位：スペイン（9%）

 

クラロティで最高技術責任者兼Team82責任者を務めるアミール・プレミンジャー（Amir Preminger）は次のように述べています。「今回のTeam82の調査により、社会の日常業務を支える運用システムに対し、悪意あるアクターの侵入が大幅に増加していることが明らかになりました。攻撃者は比較的低レベルな技術を使って、製造業、水道、廃棄物、発電、医療などの重要インフラを標的にしています。これらのインフラの停止は深刻であり、時には極めて危険な状況をもたらします。本調査で示されたように、CPSのセキュリティ対策の強化が必要なことは明らかです。組織は、これらのデバイスに関するサイバーセキュリティ対策の甘さを、もはや見過ごすべきではありません。」

 

組織は、CPS環境の防御態勢を強化するために、以下のような対策を講じることが求められます。

• インターネット接続デバイスのセキュリティ対策：OT機器、スマートデバイス、ネットワーク接続された医療機器（IoMT）のオンライン化が進む中、これらのデバイス構成を確認し、外部からの列挙攻撃を防止するための適切な対策を徹底する必要があります。

• 設計・デフォルト設定に由来するリスクの解消：防御側は、デフォルトのまま使われている、あるいは既知の弱い認証情報について常に注意を払い、デバイスをオンラインで運用する前に必ず変更する必要があります。また、その他の安全性の低い設定や構成についても把握・評価し、デバイスをネットワークに接続する前にセキュリティ上の問題へ対処しなければなりません。

• セキュリティ保護されていないプロトコルのアップグレード：Team82が調査した多くの攻撃では、認証や暗号化といった基本的なセキュリティ機能を欠くVNCやModbus（産業用通信プロトコル）など、設計上安全とはいえないプロトコルが使用されていました。防御側は、最も機密性の高い接続資産を把握し、より安全な通信プロトコルへ移行する必要があります。

• 攻撃者の分析と解明：ハッカー集団、特に今回の調査対象であるハクティビストの動機や戦術を理解することは、特定の業界において次に狙われる可能性が高い標的を見極めたり、侵害を受けた他組織と同様に、自組織のCPS資産が露出していないかを判断したりするうえで重要です。

 

調査レポート「Analyzing CPS Attack Trends（CPS攻撃動向の分析）」は、こちらからダウンロードできます。

 

調査方法

Team82では、CPS領域におけるドライブバイダウンロード攻撃の脅威動向を包括的に把握するため、多層的な調査手法を採用しました。これらの攻撃は、特定企業を狙った高度な標的型攻撃とは異なり、日和見的なアクターがインターネット全体をスキャンして露出した資産を見つけ出し、自らの政治的メッセージや社会的主張の発信に悪用する点が特徴です。本調査では、一般的なサイバー犯罪による「ノイズ」を取り除き、CPSを標的としたことが確認されたインシデントのみに焦点を絞りました。調査期間は2025年1月から12月までの12か月間で、調査は「情報源のマッピング」、「継続的モニタリング」、「インシデントの検証」、「攻撃分析」の4つのプロセスに基づいて実施しています。調査方法の詳細および分析上の制約については、調査レポートにて確認できます。

 

Clarotyについて

 クラロティは、CPS（サイバーフィジカルシステム）保護をリードし、重要インフラを保護する業界トップクラスのプラットフォームを提供しています。クラロティのプラットフォームは、業界で最も広範なエクスポージャー管理、ネットワーク保護、安全なアクセス、脅威検出の機能を備え、クラウド環境（クラロティxDome）とオンプレミス環境（クラロティ Continuous Threat Detection: CTD）の両方に対応し、世界中の数千の拠点で導入されています。プラットフォームは、脅威研究と幅広いテクノロジーアライアンスに支えられており、組織がCPSリスクを迅速かつ効果的に低減できるよう支援し、最短期間での導入と低コストでの運用を実現します。クラロティはニューヨークに本社を構え、欧州、アジア太平洋、ラテンアメリカに拠点を展開しています。詳細については日本語公式サイトをご参照ください。