概要
セキュリティ企業Censysの調査により、全世界で5,219台のRockwell Automation/Allen-Bradley製プログラマブルロジックコントローラ(PLC)がEtherNet/IPプロトコルを介してインターネット上に露出していることが明らかになった。その74.6%にあたる約3,891台が米国内に存在しており、イラン系サイバー脅威アクターによる攻撃の標的となるリスクが高まっている。これらのデバイスは水道・下水道システムや医療施設など重要インフラを支えるOT(運用技術)環境に組み込まれていることが多く、深刻な懸念をもたらしている。
イラン系脅威アクターによる攻撃の実態
米国とイランおよびイスラエルの間の地政学的対立を背景に、複数のイラン政府系ハッキンググループが米国の産業制御システムを標的にしてきた。主要なグループとしては、イスラム革命防衛隊(IRGC)に関連するとされるCyberAv3ngersと、イラン情報省に関連するとされるHandalaが知られている。
2023〜2024年にかけて、CyberAv3ngersは米国内のUnitronics製OTシステムを攻撃し、75台以上のPLCを侵害した。被害を受けた施設の約半数が水道・下水道システムであり、重要インフラへの直接的な影響が確認された。また最近ではHandalaが医療機器メーカーのStrykerのシステムに攻撃を仕掛け、約80,000台のデバイスをワイプ(データ消去)したとも報告されている。2026年3月以降の攻撃では、デバイスのプロジェクトファイルの抽出やHMI・SCADAディスプレイ上のデータ操作が確認されており、攻撃の手口はより精巧になっている。
推奨されるセキュリティ対策
露出したICSデバイスに対してセキュリティ研究者らは以下の防御策を推奨している。
- ネットワーク隔離:ファイアウォールによる保護またはインターネット接続の完全遮断
- ログ監視:悪意あるアクティビティの痕跡を定期的に確認
- 通信トラフィックの検査:OTポートへの不審なアクセス(特に海外ホストからの接続)を監視
- 多要素認証(MFA)の導入:OTネットワークへのアクセスに対してMFAを義務化
- 機器の最新化と不要サービスの無効化:古いPLCのファームウェア更新および未使用の通信サービス・認証方式の無効化
Censysのデータは、EtherNet/IPに応答するデバイスが広範囲にわたって直接インターネットに接続されているという根本的な問題を浮き彫りにしており、OTセキュリティにおけるネットワーク設計の見直しが急務とされている。