セキュリティ18分で読める

イランAPTが米国のPLCを攻撃——FBI・CISA・NSAが緊急勧告

セキュリティサイバー攻撃
加木谷 直俊ソース記事を見る

2026年3月以降、イラン関連のAPT(高度持続的脅威)アクターが、米国の重要インフラセクターで使用されるPLC(プログラマブルロジックコントローラ)を標的にしたサイバー攻撃を展開している——FBI、CISA、NSA、EPA、DOE、US Cyber Commandの6機関が2026年4月7日、緊急共同勧告「AA26-097A」を発表した。

攻撃の対象は政府サービス・施設、上下水道システム、エネルギーセクター。標的となったのはRockwell Automationの「Allen-Bradley」PLCシリーズで、一部の被害組織では運用妨害と経済的損失が報告されている。国家が支援するサイバー攻撃が、物理的なインフラを直接脅かすフェーズに入ったことを示す深刻な事案だ。

PLCとは何か——産業インフラの「頭脳」

PLC(Programmable Logic Controller)は、工場の生産ライン、浄水場のポンプ制御、発電所のタービン管理など、あらゆる産業プロセスを監視・自動化するデジタルコンピュータだ。一般的なPCとは異なり、過酷な環境下で24時間365日稼働し続けるよう設計されている。

PLCが制御する対象は多岐にわたる。

  • 水処理施設: 塩素注入量、ポンプ圧力、水位の自動制御
  • 発電所: タービンの回転数、蒸気圧力、冷却システムの管理
  • 製造工場: ロボットアームの動作、コンベアの速度、品質検査の自動化
  • 石油・ガス: パイプラインの圧力監視、バルブの開閉制御

PLCが乗っ取られるということは、これらの物理プロセスが攻撃者の意のままに操作されるリスクがあることを意味する。水道水への薬品過剰投入、発電所の緊急停止、製造ラインの暴走——いずれも人命に直結する深刻な被害につながりかねない。

攻撃の詳細——AA26-097Aが明かした手口

CISAの勧告AA26-097Aは、イラン関連APTアクターの具体的な攻撃手法を詳細に記述している。

この図は、攻撃の4つのステップ、標的セクター、攻撃者の特徴を示しています。

イラン関連APTによるPLC攻撃フロー——インターネット露出PLCのスキャンからHMI/SCADAデータ操作までの4段階と、標的セクター・攻撃者の特徴

ステップ1: インターネット露出PLCの探索

攻撃者はまず、インターネットに直接接続されたPLCをスキャンして特定した。本来、PLCは閉じたOT(運用技術)ネットワーク内に配置されるべきだが、リモート監視や保守の便宜のためにインターネットに露出しているケースが少なくない。特にRockwell AutomationのAllen-Bradleyシリーズが重点的にスキャンされた。

Shodanなどの検索エンジンを使えば、インターネットに露出した産業制御機器は容易に発見できる。CISAによると、米国内だけでも数千台のPLCがインターネットから直接アクセス可能な状態にあるとされる。

ステップ2: サードパーティインフラ経由の接続

攻撃者は自身の身元を隠すため、海外のIPアドレスとリースしたサードパーティインフラ(VPS、クラウドサービスなど)を使用してターゲットに接続した。これにより、攻撃元の追跡を困難にしている。

国家支援型の攻撃グループが商用インフラを利用するのは近年の一般的な傾向だ。攻撃者は正規のクラウドサービスを「踏み台」にすることで、一般的なビジネストラフィックに紛れ込み、検知を回避する。

ステップ3: 設定ソフトウェアでPLCに接続

攻撃者はRockwell Automationの公式エンジニアリングソフトウェア「Studio 5000 Logix Designer」を使用して被害者のPLCに接続した。このソフトウェアはAllen-Bradley PLCのプログラム作成・設定変更に使われる正規ツールであり、攻撃者がこれを悪用したことは深刻な意味を持つ。

正規ツールの利用は、攻撃を検知しにくくする。セキュリティ監視システムが「正規のエンジニアリングソフトウェアによるアクセス」として処理してしまう可能性があるためだ。

ステップ4: データ抽出と運用妨害

PLCに接続した攻撃者は、以下の行動を実行した。

  • プロジェクトファイルの抽出: PLCの制御ロジック(ラダープログラム)、設定パラメータ、ネットワーク構成情報を窃取
  • HMI/SCADAディスプレイのデータ操作: オペレーターが監視する画面に表示されるデータを改ざん
  • 運用妨害: 一部の被害者では実際にプロセスの妨害と経済的損失が発生

特にHMI(ヒューマン・マシン・インターフェース)のデータ操作は極めて危険だ。オペレーターが正常な数値を見ていると思い込んでいる間に、実際のプロセスは異常な状態に陥っている可能性がある。2021年のフロリダ州オールズマー浄水場攻撃でも、同様の手口が使われた。

共同勧告の異例さ——6機関が名を連ねた意味

今回の勧告AA26-097Aには、FBI、CISA、NSA、EPA(環境保護庁)、DOE(エネルギー省)、US Cyber Command(米サイバー軍)の6機関が共同で署名している。

通常のサイバーセキュリティ勧告はCISA単独、またはCISAとFBIの2機関で発行されることが多い。6機関の共同勧告は、この脅威の深刻さと、複数のセクターにまたがる影響範囲を反映している。

  • FBI: 法執行・捜査の観点から脅威の実態を把握
  • CISA: 重要インフラ防護の中核機関として対策を統括
  • NSA: シグナルインテリジェンスに基づく脅威アクターの特定
  • EPA: 上下水道セクターの所管官庁として被害状況を把握
  • DOE: エネルギーセクターの所管官庁として対策を推進
  • US Cyber Command: 軍事的観点からの脅威評価と対応

これだけの機関が結集して勧告を出すということは、単なる「注意喚起」ではなく、現在進行形の重大な脅威に対する国家レベルの危機感の表れだ。

過去の国家支援型ICS/OT攻撃との比較

今回の攻撃を、過去の代表的な国家支援型ICS攻撃と比較してみよう。

事案攻撃者標的手法被害
Stuxnet2010米国・イスラエル(推定)イラン核施設USBメモリ経由でSiemens PLCに感染遠心分離機約1,000台を破壊
ウクライナ電力網攻撃2015-2016ロシア(Sandworm)ウクライナ電力会社スピアフィッシング→SCADA操作約23万世帯が最大6時間停電
TRITON/TRISIS2017ロシア(推定)サウジアラビア石油化学安全計装システム(SIS)への攻撃プラント緊急停止、人命リスク
オールズマー浄水場2021不明米フロリダ州浄水場TeamViewerでリモート接続水酸化ナトリウム投入量を111倍に設定
Volt Typhoon2023-2024中国(推定)米国重要インフラ全般Living off the Land手法長期潜伏・事前配置(実被害未確認)
今回(AA26-097A)2026イラン関連APT米国政府・水道・エネルギーインターネット露出PLC→Studio 5000運用妨害・経済的損失

注目すべきは、攻撃の技術的洗練度と標的の広がりだ。Stuxnetがエアギャップ(物理的に隔離された)ネットワークに対する高度な攻撃だったのに対し、今回の攻撃はインターネット露出PLCへの直接アクセスという、ある意味「ローテク」な手法で被害を出している。これは、基本的なセキュリティ対策の欠如がいかに深刻なリスクをもたらすかを如実に示している。

推奨される対策——CISAが求める緊急措置

CISAの勧告は、PLC運用組織に対して複数の緊急対策を推奨している。

この図は、ネットワーク対策・認証・アクセス制御・運用監視の3領域における対策チェックリストを示しています。

PLC/ICSセキュリティ対策チェックリスト——ネットワーク、認証・アクセス制御、運用・監視の3カテゴリに分けた推奨対策一覧

最優先: インターネット露出の排除

PLCをインターネットから直接アクセスできる状態にしないこと——これが最も重要かつ効果的な対策だ。今回の攻撃チェーンの起点はインターネット露出PLCのスキャンであり、この経路を断てば攻撃は成立しない。

具体的には以下の措置が求められる。

  1. 全PLCのインターネット接続状況を棚卸し: Shodanやセンサス等で自組織のPLCがインターネットから見えていないか確認
  2. ファイアウォールでOTネットワークを分離: IT(情報技術)ネットワークとOT(運用技術)ネットワークの間にファイアウォールとDMZ(非武装地帯)を設置
  3. リモートアクセスはVPN経由に限定: やむを得ずリモートアクセスが必要な場合は、多要素認証付きVPNを必須とする

認証とアクセス制御の強化

  • デフォルトパスワードの即時変更: 工場出荷時の認証情報がそのまま使われているケースが驚くほど多い
  • 多要素認証(MFA)の導入: PLCへのアクセスにパスワードだけでなく、物理トークンやワンタイムパスワードを要求
  • 最小権限の原則: エンジニアリングソフトウェア(Studio 5000等)へのアクセスを必要最低限の担当者に限定
  • PLCのキースイッチをRUNモードに設定: プログラム変更を防止するハードウェアレベルの保護

監視と運用体制

  • 構成変更の検知: PLCのプロジェクトファイルやプログラムに変更が加えられた際に即座にアラートを発するシステムを導入
  • ネットワーク監視: OTネットワーク内の異常なトラフィック(未承認のIPアドレスからの接続、通常と異なる通信パターン)を検知
  • 定期バックアップ: PLCの構成・プログラムの定期的なバックアップを取得し、改ざん時に迅速に復旧できる体制を整備
  • インシデント対応計画: PLCが侵害された場合の手順書を事前に策定し、定期的な訓練を実施

Rockwell Automation Allen-Bradleyの市場位置

今回標的となったRockwell AutomationのAllen-Bradleyシリーズは、産業制御機器市場で圧倒的なシェアを持つ。

  • Rockwell Automation: 北米のPLC市場でシェア約50%を占める最大手。Allen-Bradleyブランドは1985年にRockwellが買収して以来、産業制御の代名詞となっている
  • 主要製品: ControlLogix、CompactLogix、MicroLogixなどのPLCファミリー
  • 対応ソフトウェア: Studio 5000 Logix Designer(旧RSLogix 5000)——今回攻撃者に悪用されたエンジニアリングソフトウェア
  • 導入実績: 世界80カ国以上で展開、米国の重要インフラの多くがAllen-Bradleyベース

つまり、Allen-Bradleyを標的にすることは、米国の重要インフラの広範囲に影響を及ぼしうる「効率的な」攻撃戦略と言える。Rockwell Automationは今回の勧告を受け、顧客向けにセキュリティアップデートとガイダンスを提供しているとされる。

日本の重要インフラへの影響——対岸の火事ではない

今回の攻撃は米国が標的だが、日本にとっても無関係ではない。

日本でもPLCのインターネット露出は存在する

日本の重要インフラ事業者においても、PLCやSCADAシステムがインターネットに露出しているケースは報告されている。特に地方の中小規模の水処理施設や製造工場では、IT部門の人員不足からOTセキュリティが後回しにされがちだ。

JPCERT/CCの調査によると、日本国内でもShodanから発見可能な産業制御機器は数百台規模で存在する。大規模なインフラ事業者はネットワーク分離が進んでいるが、中小規模の事業者ではOTネットワークがフラットなまま放置されているケースもある。

日本が標的になる可能性

日本は米国の同盟国であり、中東情勢において米国と歩調を合わせる場面が多い。地政学的な緊張が高まれば、イランに限らず国家支援型のサイバー攻撃グループが日本のインフラを標的にする可能性は否定できない。

実際、2023年以降、中国関連とされるVolt Typhoonグループが日本を含む同盟国のインフラを偵察していたことが報告されている。国家支援型攻撃のターゲットは米国だけではない。

日本における制度的対応

日本政府は2024年に「重要インフラのサイバーセキュリティに係る行動計画」を改定し、OTセキュリティの強化を推進している。2026年4月現在の主な取り組みは以下の通りだ。

  • NISC(内閣サイバーセキュリティセンター): 重要インフラ14分野のセキュリティ基準を策定・更新
  • 経済産業省: 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を公開
  • IPA(情報処理推進機構): 制御システムセキュリティの脆弱性情報を提供
  • JPCERT/CC: ICS-CERTと連携し、産業制御システムへの脅威情報を共有

ただし、ガイドラインの存在と実際の対策実施には乖離がある。特に予算の限られた地方自治体や中小インフラ事業者での対策浸透が課題だ。

日本の産業制御機器メーカーの状況

日本には三菱電機(MELSEC)、オムロン(SYSMAC)、横河電機(CENTUM/ProSafe)など、世界的なPLC/DCSメーカーがある。これらのメーカーの製品も過去にセキュリティ脆弱性が報告されており、今回のような攻撃手法が日本メーカーの機器に対しても適用される可能性は十分にある。

2023年にはオムロンのPLCに対する脆弱性がCISAから報告され、2024年には三菱電機のMELSECシリーズに複数の脆弱性が発見されている。日本メーカーの製品だから安全ということはない。

PLCセキュリティの根本的な課題

今回の事案が浮き彫りにしたのは、PLCセキュリティに共通する構造的な課題だ。

設計時のセキュリティ不在: 多くのPLCは、インターネット接続を想定せずに設計されている。認証機能が脆弱だったり、通信が暗号化されていなかったりするのは、「閉じたネットワーク内で使う」ことを前提としているからだ。しかし現実には、リモート監視やクラウド連携のニーズからインターネットに接続されるケースが増えている。

アップデートの困難さ: 一般的なITシステムと異なり、PLCは24時間稼働が前提であり、ファームウェアの更新のために停止することが難しい。結果として、既知の脆弱性が長期間放置されることがある。

IT/OTの文化的ギャップ: IT部門はサイバーセキュリティに精通しているが、OTの現場を知らない。OTエンジニアはプロセス制御の専門家だが、サイバー脅威への意識が低い場合がある。この文化的なギャップが、効果的なセキュリティ対策の実施を阻む。

サプライチェーンの複雑さ: PLCのエコシステムには、ハードウェアメーカー、ソフトウェアベンダー、システムインテグレーター、エンドユーザーが関わる。誰がセキュリティの責任を負うのかが曖昧になりやすい。

まとめ——今すぐ取るべきアクションステップ

イラン関連APTによる米国重要インフラPLC攻撃は、産業制御システムのセキュリティが「あったら良い」ではなく「なければ致命的」なレベルに達していることを示している。以下のアクションを推奨する。

  1. 即座にPLCのインターネット露出を確認する: 自組織の全PLC/SCADAシステムがインターネットから直接アクセスできない状態か確認。Shodan等の外部スキャンツールでセルフチェックを実施し、露出が見つかれば24時間以内に遮断する

  2. デフォルト認証情報を排除する: 全PLCのパスワードを工場出荷時から変更済みか点検。Allen-Bradleyに限らず、全メーカーの機器を対象にする。変更していない場合は今日中に変更する

  3. OTネットワークの分離状況を検証する: ITネットワークとOTネットワークの境界にファイアウォール・DMZが適切に設定されているか確認。ネットワーク図が最新でない場合は、まず現状把握から始める

  4. CISA勧告AA26-097Aの原文を精読する: 勧告には今回記載した以上の技術的詳細と、IoC(侵害指標)が含まれている。セキュリティチームは原文を精読し、自組織のシステムとの関連性を評価する

  5. インシデント対応計画を更新する: PLCが侵害された場合のシナリオを想定した対応手順を策定または更新する。物理プロセスの手動制御への切り替え手順も含めること

産業制御システムへの国家支援型攻撃は、もはや映画の中の話ではない。CISAの勧告を「自分には関係ない」と読み飛ばすのか、それとも今日から対策を始めるのか——その判断が、次のインシデントであなたの組織を守るかどうかを決める。

この記事をシェア

XはてブLinkedIn

セキュリティ」カテゴリの記事

セキュリティ」の記事をもっと見る

関連記事

新着記事