IoT & OT Security

OT Threats

OT脅威・産業制御システム攻撃事例

Category: IoT & OT Security / Updated: 2026-05-26

📖

Overview

OT(Operational Technology:運用技術)に対する脅威とは、産業制御システム(ICS)、SCADA、PLCなどのOT環境を標的とするサイバー攻撃の総称です。OTシステムは発電所、水処理施設、石油・ガスパイプライン、製造工場などの重要インフラを制御しているため、これらへの攻撃は物理的な被害や人命への影響を引き起こす可能性があります。

OTへの攻撃は、従来のIT環境への攻撃とは本質的に異なる特徴を持ちます。攻撃者の目的は情報窃取だけでなく、物理プロセスの操作・破壊・停止にまで及びます。OTシステムは可用性(Availability)が最優先され、パッチ適用やシステム停止が困難であるため、脆弱性が長期間放置されることが多く、攻撃者にとって格好の標的となっています。また、レガシーシステムの多用、独自プロトコルの使用、IT/OT融合による攻撃面の拡大なども、OTセキュリティの課題です。

歴史的に、Stuxnet(2010年)BlackEnergy/CrashOverride(2015〜2016年)Triton/TRISIS(2017年)Colonial Pipeline(2021年)といった重大なOTサイバー攻撃が発生しており、国家支援型の高度な攻撃(APT)から、ランサムウェアによる犯罪組織の攻撃まで、脅威は多様化・深刻化しています。MITRE ATT&CK for ICSフレームワークは、これらのOT固有の攻撃手法を体系的に分類し、防御に活用するための知識基盤を提供しています。

🔬

Details

Stuxnet(2010年)

Stuxnetは、イランの核燃料濃縮施設のウラン遠心分離機を標的とした、史上初の産業制御システムに対する高度なサイバー兵器です。USBメモリを介して施設内のWindows PCに侵入し、Siemens SIMATIC WinCCおよびSTEP 7ソフトウェアを通じてPLC(S7-300/S7-400)に到達しました。4つのゼロデイ脆弱性を使用するなど、極めて高度な技術が投入されていました。

Stuxnetの特筆すべき点は、PLCのコードを改ざんして遠心分離機の回転速度を不正に操作しながら、オペレーターの画面には正常な値を表示するという「Man-in-the-Middle」型の物理プロセス攻撃を実現したことです。これにより、オペレーターは異常に気づくことなく、遠心分離機が物理的に損傷する事態が発生しました。Stuxnetは、サイバー攻撃が物理的破壊をもたらすことを世界に示した画期的な事例です。

Triton/TRISIS(2017年)

Triton(別名TRISIS/HatMan)は、安全計装システム(SIS:Safety Instrumented System)を直接標的とした、世界初のマルウェアです。中東の石油化学プラントで発見され、Schneider Electric社のTriconex安全コントローラーを攻撃対象としていました。SISは、温度・圧力の異常などを検知してプラントを安全に停止する最後の防衛ラインであり、これが無効化されると爆発や有毒ガス漏洩などの壊滅的事故が発生する可能性があります。

攻撃者はまずIT環境を侵害し、そこからOTネットワークに横展開してSISコントローラーにアクセスしました。TritonはSISのファームウェアを改ざんし、安全機能を無効化した上でプラントの運転を継続させようとしました。幸いにも、攻撃者のコードのバグによりSISがフェイルセーフで停止し、プラントが緊急シャットダウンされたことで物理的被害は回避されました。この攻撃は、人命に直接関わるSISへの攻撃であり、OTセキュリティの危険性を示す最も深刻な事例の一つです。

BlackEnergy/CrashOverride(2015〜2016年)

BlackEnergyは、2015年12月にウクライナの電力会社3社を攻撃し、約23万世帯に数時間の停電を引き起こしたマルウェアです。攻撃者はスピアフィッシングメールでITネットワークに侵入し、VPN接続を通じてSCADAシステムにアクセスして変電所の遮断器を遠隔操作しました。この攻撃は、サイバー攻撃による電力インフラの停止が実際に可能であることを示した歴史的事例です。

翌2016年には、より高度なCrashOverride(Industroyer)が同じくウクライナの電力網を攻撃しました。CrashOverrideは、IEC 61850、IEC 104、OPC DAなどの電力系統プロトコルを直接操作できるモジュール型マルウェアであり、OT固有のプロトコルに特化して設計された初のマルウェアとされています。このような攻撃手法は、他の国の電力インフラにも転用可能であり、世界的な脅威として認識されています。

Colonial Pipeline事件(2021年)

2021年5月、米国最大の燃料パイプラインを運営するColonial Pipelineがランサムウェア攻撃(DarkSide)を受け、約6日間にわたりパイプラインの操業を停止しました。攻撃自体はIT環境(課金システム)を標的としたものでしたが、OTシステムへの波及を懸念してパイプラインの運用を予防的に停止する判断が行われました。

この事件は、米国東海岸の燃料供給の約45%を担うパイプラインが停止したことで、ガソリンの買い占めや価格高騰、航空機の運航への影響など、社会的に大きな混乱を引き起こしました。Colonial Pipelineは最終的に身代金として約440万ドル相当の暗号通貨を支払いました。この事件は、IT環境の侵害がOTの操業停止に直結するリスクと、重要インフラへのランサムウェア攻撃の深刻さを世界に知らしめました。

OT固有のTTPs(戦術・技術・手順)

OTへのサイバー攻撃は、IT環境とは異なる固有の攻撃手法(TTPs)を持ちます。初期アクセスでは、インターネットに露出したOT機器(Shodan等で発見可能)、VPN/リモートアクセスの脆弱性、サプライチェーン攻撃、USBメモリなどの物理媒体が利用されます。横展開では、OT固有プロトコル(Modbus、OPC、DNP3など)の認証欠如を悪用した不正アクセスが行われます。

影響のフェーズでは、プロセスの操作(制御パラメータの改ざん)、プロセスの停止(緊急シャットダウンの強制実行)、安全機能の無効化(SISの改ざん)、物理的破壊(機器の過負荷運転)などが実行されます。OT攻撃の特徴として、攻撃者が標的のプロセスを深く理解するための長期的な偵察活動を行うこと、攻撃の発動タイミングを戦略的に選択することが挙げられます。

MITRE ATT&CK for ICS

MITRE ATT&CK for ICSは、産業制御システムに対する攻撃の戦術・技術・手順を体系的に分類したナレッジベースです。IT環境向けのATT&CKフレームワークをOT/ICS環境に特化させたもので、ICS固有の攻撃手法と防御策を11の戦術カテゴリーで整理しています。

主要な戦術カテゴリーには、初期アクセス(Initial Access)、実行(Execution)、持続性(Persistence)、回避(Evasion)、探索(Discovery)、横展開(Lateral Movement)、収集(Collection)、コマンド&コントロール(Command and Control)、プロセスの操作(Inhibit Response Function)、影響(Impact)などがあります。OTセキュリティチームは、このフレームワークを活用してリスク評価、検知ルールの設計、インシデント対応手順の策定を行い、組織のOTセキュリティ態勢を体系的に強化できます。

🛡️

Security Measures

  • 01
    IT/OTネットワークの分離と境界防御:ITネットワークとOTネットワークをファイアウォールやDMZ(非武装地帯)で物理的・論理的に分離してください。Purdue Enterprise Reference Architecture(PERA)モデルに基づくゾーニングを実施し、IT環境からOT環境への直接アクセスを禁止しましょう。
  • 02
    OTネットワークの可視化と監視:OTネットワーク内の全デバイスを資産台帳として管理し、通信パターンのベースラインを確立してください。OT向けのネットワーク監視ツール(Claroty、Nozomi Networks、Dragos等)を導入し、異常な通信やOTプロトコルの不正使用をリアルタイムで検知しましょう。
  • 03
    リモートアクセスのセキュリティ強化:OT環境へのリモートアクセスには、多要素認証(MFA)と暗号化VPNを必須とし、接続ログの完全な記録と定期的な監査を実施してください。ジャンプサーバー経由のアクセスに限定し、直接的なRDP/SSH接続を禁止しましょう。
  • 04
    脆弱性管理とパッチ適用計画:OT環境では即時のパッチ適用が困難なため、リスクベースの脆弱性管理プロセスを確立してください。パッチ適用前のテスト環境での検証、計画的なメンテナンスウィンドウでの適用、代替的な緩和策(仮想パッチ、ネットワーク分離)の実施を組み合わせましょう。
  • 05
    インシデント対応計画のOT対応:OT環境固有のインシデント対応計画を策定し、定期的な演習を実施してください。OTプロセスの安全な停止手順、手動運転への切り替え手順、フォレンジックデータの収集方法など、IT環境とは異なるOT固有の対応手順を明確化しましょう。
  • 06
    サプライチェーンセキュリティの確保:OT機器のベンダーやシステムインテグレーターのセキュリティ態勢を評価し、サプライチェーン経由の攻撃リスクを管理してください。ファームウェアアップデートの署名検証、ベンダーのリモートアクセスの監視と制限、納入機器のセキュリティ検査を実施しましょう。
⚠️

Incidents

📋 米国水処理施設への不正アクセス事件(フロリダ州オールズマー・2021年)

2021年2月、フロリダ州オールズマーの水処理施設で、攻撃者がリモートアクセスソフトウェア(TeamViewer)を通じてSCADAシステムに不正アクセスし、水酸化ナトリウム(苛性ソーダ)の添加量を通常の約111倍に引き上げる操作を行いました。水酸化ナトリウムの過剰投入は、飲料水の人体への深刻な影響を引き起こす可能性がありました。

幸いにも、施設のオペレーターがリアルタイムでマウスカーソルの異常な動きに気づき、即座に設定を元に戻したため、実際の被害は発生しませんでした。この事件は、OT環境でのリモートアクセス管理の脆弱性、共有パスワードの使用、ネットワーク分離の不備など、基本的なセキュリティ対策の欠如が引き起こすリスクを浮き彫りにしました。

📋 ドイツ製鉄所へのサイバー攻撃による物理的被害(2014年)

2014年、ドイツ連邦情報セキュリティ局(BSI)の年次報告書で、ドイツの製鉄所がサイバー攻撃を受け、溶鉱炉の制御不能による物理的被害が発生したことが報告されました。攻撃者はスピアフィッシングメールでオフィスネットワークに侵入し、そこからプラントネットワークに横展開してICS制御コンポーネントにアクセスしました。

攻撃により、個々の制御コンポーネントやプラント全体のシステムに障害が発生し、溶鉱炉を正常にシャットダウンできない状態に陥りました。その結果、溶鉱炉に大きな損傷が生じました。この事件はStuxnetに次いで、サイバー攻撃による物理的な設備破壊が確認された事例として注目され、製造業におけるOTセキュリティの重要性を世界に示しました。

📋 ノルスク・ハイドロへのランサムウェア攻撃による製造停止(2019年)

2019年3月、世界最大級のアルミニウム製造企業ノルスク・ハイドロ(Norsk Hydro)がランサムウェア「LockerGoga」に攻撃され、全世界の拠点で大規模な業務停止が発生しました。攻撃はIT環境を標的としましたが、ITシステムの停止に伴い一部の製造ラインが手動運転への切り替えを余儀なくされ、アルミニウムの生産量が大幅に減少しました。

ノルスク・ハイドロは身代金の支払いを拒否し、バックアップからの復旧を選択しましたが、完全復旧には数カ月を要しました。被害総額は約7,100万ドルと推定されています。この事件は、IT環境のランサムウェア被害がOT環境の生産活動に波及する「IT-OT連鎖被害」の典型例であり、ITとOTの統合的なセキュリティ戦略の必要性を示しました。

🔗

Related Terms

ICS(産業制御システム) SCADA IT/OTコンバージェンス 脅威インテリジェンス APT(高度標的型攻撃)