重要インフラ・制御システムに対する脅威と対策──情報セキュリティ白書2025の概要（第8回）

はじめに

「重要インフラ」は、我々の生活や経済活動を支える基盤である。電力・ガス・水道・通信・金融・輸送・医療など、提供が停止すれば国民生活や社会経済に重大な影響を及ぼす分野が指定されている。日本では15分野が重要インフラとして規定されており、国によって対象や範囲が異なる。攻撃者にとってこれらの施設は価値の高い標的であり、地政学的な緊張の高まりとともにインシデント件数は年々増加している。

重要インフラを支えるのが産業用制御システム（ICS）である。従来の制御システムは、独立したネットワーク上に構築され、専用プロトコルやベンダー独自仕様によって外部から隔離されていた。しかし近年はネットワーク化とオープン化が進み、標準プロトコルや汎用製品が使われるようになった。ライフサイクルが10〜20年と長いため、サイバー攻撃を想定せずに設計・運用されている設備が多く残っている。このような状況から、制御システムへのサイバー脅威は年々高まり、インターネットからアクセス可能な機器やプロトコルの増加が攻撃を容易にしている。

1. 攻撃の発生状況 – 調査データから読む

2024年も重要インフラを狙った攻撃は多数発生した。英国のエネルギー・製造・石油ガス分野の大企業役員406人を対象とした調査では、89.66％の組織が過去12か月に何らかのサイバーセキュリティインシデントを経験したと回答している。この数字は、OT環境におけるサイバー攻撃がもはや例外ではなくなっていることを示す。国内外の専門家530名以上を対象とした調査でも、重要インフラのセキュリティインシデントが増加しつつあるという認識が共有されている。

重要インフラの定義は各国で異なるが、本白書では日本・米国・英国における重要インフラ分野の比較が示されている。日本は通信・金融・空港・港湾・鉄道・物流・電力・ガス・水道・政府・医療・化学など15分野を指定し、米国は通信・金融サービス・輸送システムなど16分野、英国は通信・金融・輸送・エネルギー・政府サービス・医療など13分野を指定している。分野数は異なるが、生活に不可欠なサービスや施設が守るべき対象であるという点は共通している。

2. 具体的な攻撃事例

サイバー攻撃の多くはランサムウェアやAPTグループによるもので、重要インフラ事業者は被害を軽減するために業務プロセスの手動化や外部支援を余儀なくされている。以下に2024年に公になった主要な事例を紹介し、攻撃の特徴や教訓を読み解く。

2.1 水処理施設への攻撃（BlackSuit）

2024年9月22日、米国カンザス州カウリー郡アーカンソーシティの水処理施設がランサムウェアグループ「BlackSuit」の攻撃を受けた。同市は攻撃発覚直後にCISAとFBIへ支援を要請し、退職者や外部オペレーターも動員して24時間体制で対応した。予防措置として制御システムを手動運用に切り替えたが、住民への水道サービスは継続された。復旧まで約3か月を要し、インフラ修理やアップグレードには10万5,201ドル、法的費用やフォレンジック分析には5万8,550ドルを費やした。この事例は、OTネットワークをオフラインにしなければならない状況に陥ると、復旧や検証に多額のコストがかかることを示している。また、HMIやコントローラーがインターネットに露出していたことが攻撃の要因とされ、CISAは保護されていないシステムの切断と多要素認証の導入を推奨している。

2.2 石油精製会社 RECOPE への攻撃

2024年11月、コスタリカ国営石油精製企業 RECOPE がランサムウェア攻撃を受け、支払い処理に使用していたすべてのシステムが停止した。燃料販売は手動対応となり、タンカーターミナルの業務は長時間延長された。同社は科学技術通信省や米国のサイバーセキュリティ専門家と協力して復旧を試み、米国国務省が支援する「FALCON」プログラムを初めて活用して体制を強化した。インシデント対応には50万ドル（約7,500万円）の費用がかかった。この事例は、国際連携の重要性とサイバー支援プログラムの活用を示すと同時に、石油・ガスなどエネルギー系インフラの停止が国家経済に直結することを浮き彫りにしている。

2.3 空港運営会社への攻撃（Rhysida, RansomHub）

2024年8月、米国ワシントン州のシアトル・タコマ国際空港はランサムウェアグループ「Rhysida」の攻撃を受け、フライト情報ディスプレイや手荷物追跡システムを含む重要システムが停止した。被害拡大を防ぐためにシステム全体の電源を落とした結果、177便が遅延し7便がキャンセルされた。復旧のため24時間体制で取り組み、退職者やボランティアも総動員された。攻撃者は600万ドルの身代金を要求したが、空港は「納税者の資金を身代金に支払うわけにはいかない」として拒否し、Webサイトの復旧までに約3か月を要した。

同年10月には、メキシコの空港運営会社 OMA（Grupo Aeroportuario del Centro Norte）がランサムウェアグループ「RansomHub」の攻撃を受け、13空港のターミナル表示システムがダウンした。QRコードや現場スタッフを使って乗客案内を継続するなどアナログな運用で対応したが、攻撃グループは3TBのデータを窃取したと主張し、公開を匂わせた。これらの空港攻撃は、航空業界のデジタル化が進む中で情報表示システムやゲート管理が単一障害点となっていること、バックアップ運用の重要性、多数の利害関係者との連携が不可欠であることを示している。

2.4 通信事業者を狙ったAPT（Salt Typhoon）

2024年11月、中国政府支援型APTグループ「Salt Typhoon」が通信事業者のネットワークを侵害していたことがFBIとCISAの共同声明で明らかになった。被害者はT-Mobile USA、Verizon Communications、AT&T、Lumen Technologiesなど米国の通信企業9社に及んだ。攻撃者は「法執行機関の要請に応じて国内データを共有するシステム」にアクセスし、インターネットトラフィックや個人データを傍受した可能性がある。FBIは一般ユーザーに暗号化メッセージングアプリへの切り替えを勧告し、法執行機関が保有する監視システムの保護強化を呼びかけた。この事例は、国家支援型攻撃者が通信インフラに潜伏して大量のデータを傍受する危険性を示し、分断されたネットワークと厳格なアクセス権限管理の重要性を浮き彫りにしている。

2.5 政府・自治体への攻撃

2024年6月、米国オハイオ州クリーブランド市がランサムウェア攻撃を受け、市庁舎を閉鎖せざるを得なかった。911コールセンターや警察・消防などの緊急サービスには影響がなかったものの、行政サービスや市民向けのシステム停止により市民生活に混乱が生じた。同年12月にはノースカロライナ州ウィンストン・セーラム市がサイバー攻撃を受け、デジタルプラットフォームを停止する措置を取った。自治体は限られたITリソースで公共サービスを運営しているため、インシデント対応計画や外部支援との連携が不可欠である。

3. OT専用マルウェア – FrostyGoopとIOCONTROL

高度な攻撃者は、産業用制御システムやIoTデバイスを標的としたカスタムマルウェアを開発し、可用性を脅かしている。白書ではFrostyGoopとIOCONTROLという二つのOT/ICS専用マルウェアが紹介されている。

3.1 FrostyGoop – Modbus TCPを悪用する初のOTマルウェア

ウクライナの地域エネルギー企業を標的とした攻撃で、分析企業Dragosは「FrostyGoop」というマルウェアを発見した。このマルウェアはModbus TCP通信を悪用してOT機器の操作を試みる初の事例として報告されている。攻撃者は暖房システムのコントローラーをファームウェアの監視機能がない旧バージョンにダウングレードし、誤った測定値を報告させて暖房供給を停止させた。Modbusは多くの産業分野で使用されるプロトコルであり、世界中で4万6,000以上のインターネット公開ICSデバイスがModbus TCPで通信しているとされる。FrostyGoopの出現は、レガシー制御プロトコルがサイバー兵器に悪用されるリスクを象徴しており、通信の暗号化やネットワーク分離の必要性を再認識させる。

3.2 IOCONTROL – モジュール構成で幅広いデバイスを狙う

2024年12月、イスラエルのセキュリティ企業Clarotyは、イランのサイバー部隊と関連するグループ「CyberAv3ngers」がカスタムマルウェア「IOCONTROL」を用いてイスラエルや米国の重要インフラに使用されるIoT・OT/SCADAデバイスを侵害していたと報告した。IOCONTROLはモジュール構成を採用し、ルーター、PLC、HMI、IPカメラ、ファイアウォール、燃料管理システムなど異なるデバイスに適応できる。攻撃者はMQTTプロトコルのポート8883を用いてC&Cサーバと通信し、侵害したデバイスから詳細情報を収集し、リモートコード実行やポートスキャンを行う。研究者は、このマルウェアが国家によるサイバー兵器であり、重要インフラに深刻な混乱をもたらす潜在的リスクがあると警鐘を鳴らしている。

4. OTとITのセキュリティの違い – 可用性重視の現場

一般的な情報システムでは機密性・完全性・可用性の順に優先度が高いのに対し、制御システムのセキュリティでは可用性が最優先される。製造ラインや発電所、輸送システムの停止は社会に甚大な影響を与えるため、可用性を損なうことなく完全性と機密性を維持するバランスが求められる。また、保護すべき要素として「健康」「安全性」「環境への影響」が加わる。OTのアップタイムが優先されることからパッチ適用が難しい場合も多く、仮想パッチや周辺防御などの代替策を検討する必要がある。

5. 制御システムのリスク分析とガイド

IPAは制御システムのセキュリティリスク分析に関するガイドを公開し、保護対象の明確化と脅威・脆弱性の評価を通じてリスクを算定する手順を示している。リスク分析は資産・脅威・脆弱性の関係を定量的・定性的に評価し、対策の優先順位付けを行うための基盤である。制御システムのリスク分析では、可用性を保ちつつ代替策や復旧計画を盛り込むことが重要であり、評価結果を経営層に報告し、予算や人材確保に反映させることが求められる。

6. 対策のポイント – OT/ICSセキュリティのベストプラクティス

白書は制御システムのセキュリティ対策として、複数のポイントを示している。以下に主な項目をまとめる。

1. ネットワーク分離とトラフィック制限
   • ITネットワークとOTネットワークを適切に分離し、VLANやファイアウォールで不要なトラフィックを制限する。セグメントを分けることで、侵入された際の被害範囲を限定できる。
2. 資産管理と脆弱性管理
   • OTネットワークの資産を可視化し、脆弱性を定期的に評価する。パッチ適用が難しい場合は仮想パッチを導入し、ネットワークレベルで攻撃を遮断する。ライフサイクルの長い機器には特に代替策が重要となる。
3. 侵入検知と監視
   • OT専用のIDS/IPSやSIEMを導入し、異常な挙動を検知する。ログ管理や相関分析により、攻撃の兆候を早期に把握する。
4. アクセス制御と認証強化
   • リモートアクセスは必要最小限に留め、多要素認証を導入する。デバイス毎のアクセス権限を最小化し、デフォルトパスワードの使用を禁止する。
5. 物理的セキュリティ
   • 制御室やサーバールームには入退室管理を導入し、監視カメラを設置する。OTシステムは現場に存在するため、物理的な破壊や不正接続にも対処する必要がある。
6. インシデント対応計画
   • OTシステムに特化したCSIRT（Computer Security Incident Response Team）を設置し、インシデント対応手順を事前に策定する。復旧手順を文書化し、演習を通じて対応能力を磨く。
7. サプライチェーンのリスク管理
   • ベンダーやサードパーティーのセキュリティ評価を行い、ICS/OT機器の導入前に安全性を確認する。サプライチェーン攻撃では、組み込まれたソフトウェアやデバイスの脆弱性が狙われるため、調達段階でセキュリティ要件を定める。
8. セキュリティ教育とトレーニング
   • OT環境の運用者や技術者に対して継続的なセキュリティ教育を実施する。現場の担当者がフィッシングメールや社会工学的攻撃に対応できるよう訓練すること、緊急時の手動運用手順を理解することが求められる。

以上の対策は、電力・水道・ガス・運輸・製造などの分野で共通して有効である。特にネットワーク分離や資産管理は、FrostyGoopやIOCONTROLのようなマルウェアが内部に広がることを防ぐ上で鍵となる。

7. おわりに – 信頼性と安全を両立する未来へ

本記事では、情報セキュリティ白書2025に基づき、重要インフラ・制御システムを標的とした脅威の動向と対策を解説した。水処理施設や石油精製会社、空港、通信事業者、自治体など、世界各地の事例から見えてくるのは、ランサムウェアや国家支援型攻撃グループによる侵害が日常化している現実である。FrostyGoopやIOCONTROLのようにOT固有のプロトコルやデバイスを悪用するマルウェアの登場は、制御システムの安全性を根底から揺るがす。可用性を最優先しつつ、機密性・完全性を確保するためには、ITとは異なる視点のセキュリティ対策とリスク分析が必須である。

今後は、IoT機器の普及とAI技術の活用が加速する中で、ネットワーク境界が曖昧になり、管理すべき資産が爆発的に増えると予想される。産業界では、セキュア・バイ・デザインやSBOMの導入、サプライチェーン全体でのセキュリティ要求の統一など、開発段階からセキュリティを組み込む取り組みが欠かせない。政府・業界団体・企業が連携し、情報共有や人材育成、法制度の整備を進めることで、重要インフラの信頼性と安全性を両立させる未来を実現していきたい。