まえがき
地政学的な緊張の高まりは、今やサイバー空間を通じて、我々の生活を支える重要インフラの操業継続を直接脅かす時代となりました。イランの国家が関与するとされるハッカー集団による「IOCONTROL」マルウェアの出現は、まさにその象徴的な事件と言えます。
このIOCONTROLによるインシデントは、EUが「NIS2指令」や「サイバーレジリエンス法」といった法規制を強化する背景そのものであり、米国が「CMMC制度」で防衛産業のサプライチェーン防衛を急ぐ理由を明確に示しています。本稿では、IOCONTROLの事例を深掘りするとともに、これらの法規制の動きと、それらを踏まえた本質的なセキュリティ対策の重要性について考察します。
このIOCONTROLによるインシデントは、EUが「NIS2指令」や「サイバーレジリエンス法」といった法規制を強化する背景そのものであり、米国が「CMMC制度」で防衛産業のサプライチェーン防衛を急ぐ理由を明確に示しています。本稿では、IOCONTROLの事例を深掘りするとともに、これらの法規制の動きと、それらを踏まえた本質的なセキュリティ対策の重要性について考察します。
1. サイバー兵器「IOCONTROL」の概要
IOCONTROLは、イランのイスラム革命防衛隊サイバー電子コマンド(IRGC-CEC)と関連するハッカー集団「CyberAv3ngers」によって使用されるマルウェアです。その攻撃は、イスラエルと米国の水処理施設や燃料供給システムといった重要インフラを標的としており、米国務省は関係者の情報に最大1,000万ドルの報奨金を提示するほど事態を深刻に受け止めています。
このマルウェアは、Linuxベースで動作するPLC、HMI、ルーター、IPカメラといった広範なIoT/OT機器を標的とします。その技術的な特徴は、検知を逃れるための高いステルス性 と、侵入後の遠隔操作を可能にする多機能なバックドアとしての性質にあります。
このマルウェアは、Linuxベースで動作するPLC、HMI、ルーター、IPカメラといった広範なIoT/OT機器を標的とします。その技術的な特徴は、検知を逃れるための高いステルス性 と、侵入後の遠隔操作を可能にする多機能なバックドアとしての性質にあります。
2. 世界で報告される深刻な被害事例
2-1. 水処理施設への攻撃
2023年11月、米国の水・廃水施設で利用されていたイスラエルUnitronics社製のVisionシリーズPLC/HMIが標的となりました。攻撃により、HMIの画面には「You have been hacked, down with Israel.」といったメッセージが表示され 、デバイスが操作不能になるケースも報告されています 。この攻撃により、アイオワ州の水道施設が一時的にシステムをオフラインにし、アイルランドでは2日間にわたり水の供給が停止するなど、市民生活に直接的な影響が出ています。
2-2. 燃料インフラへの攻撃
イスラエルと米国では、数百台にのぼるOrpak Systems社および米国Gasboy社の燃料管理システムが攻撃を受けました。この事例では、マルウェアが給油機の決済端末(OrPT)内部に潜伏していました。攻撃者は燃料供給サービスを停止させるだけでなく、顧客のクレジットカード情報を窃取できる可能性があったと指摘されています。
2023年11月、米国の水・廃水施設で利用されていたイスラエルUnitronics社製のVisionシリーズPLC/HMIが標的となりました。攻撃により、HMIの画面には「You have been hacked, down with Israel.」といったメッセージが表示され 、デバイスが操作不能になるケースも報告されています 。この攻撃により、アイオワ州の水道施設が一時的にシステムをオフラインにし、アイルランドでは2日間にわたり水の供給が停止するなど、市民生活に直接的な影響が出ています。
2-2. 燃料インフラへの攻撃
イスラエルと米国では、数百台にのぼるOrpak Systems社および米国Gasboy社の燃料管理システムが攻撃を受けました。この事例では、マルウェアが給油機の決済端末(OrPT)内部に潜伏していました。攻撃者は燃料供給サービスを停止させるだけでなく、顧客のクレジットカード情報を窃取できる可能性があったと指摘されています。
3. 法規制の動向とIOCONTROLが示す課題
IOCONTROLのようなインシデントは、対岸の火事ではありません。これは、欧米の法規制がまさしく対処しようとしている問題です。
- EUの動向(NIS2指令、サイバーレジリエンス法(CRA)):
EUでは、NIS2指令により、重要インフラ事業者に対してサイバーインシデントを検知後24時間以内に当局へ報告する義務などが課せられます。また、「サイバーレジリエンス法」では、市場に投入されるデジタル製品(PLCやHMI、セキュリティ製品を含む)に対して、開発段階からの脆弱性対策を義務付けています。IOCONTROLに悪用されたPLCのような製品は、まさにこれらの規制の対象となります。 - 米国の動向(CMMC):
米国国防総省は、調達サプライチェーンに参加する企業に対してサイバーセキュリティ成熟度モデル認証「CMMC」を要求しています 。これは、サプライチェーン全体でセキュリティレベルを担保しようとする動きであり、他産業にも同様の考え方が波及することが予測されます。 - 日本の動向 — サイバーセキュリティ対策評価制度:
日本においても、経済産業省が2026年度の開始を目指し、「サプライチェーンにおけるサイバーセキュリティ対策評価制度」の構築を進めています。この制度は、企業のセキュリティ対策を5段階で評価し、その結果を調達要件として活用可能にすることで、サプライチェーン全体のセキュリティ水準を段階的に引き上げることを目的としています。 現時点で直接的な罰則規定はなくとも、この評価制度の結果は事実上の取引条件となり、対策が不十分な企業は深刻なビジネスリスクを負うことになります。新たな取引の獲得が困難になるばかりか、既存のサプライチェーンから排除される事態も十分に想定されます。さらに、万一サイバー攻撃による情報漏洩などが発生すれば、個人情報保護法など既存の法律に基づき、厳しい法的責任を問われることになります。企業の対策レベルが可視化されるこの制度は、サプライチェーンにおける企業の存続を左右する重要な要素となるでしょう。
4. 考察 — 今、求められるサイバーレジリエンスとは
IOCONTROLの事例は、法規制への対応という観点からも、我々に重要な教訓を示しています。
- コンポーネントレベルの課題:
攻撃者は、デフォルトパスワードのまま運用されていたと見られる脆弱なPLCを最初の侵入口としました。これは、製品の企画・開発段階からセキュリティを組み込む「Security by Design」の考え方に加えて、運用時のセキュリティガイドラインがいかに重要であるかを物語っています。実運用時のセキュリティレベルが疎かであれば、それがシステム全体の致命的な弱点になり得ます。 - システムレベルの課題:
侵入後、被害はシステム全体に拡大しました。これは、単一の機器の防御だけでなく、システム全体としてインシデントを検知し、被害を局所化する「多層防御」の考え方が不可欠であることを示しています。現場にシステムを構築するシステムインテグレータは、納入するシステムのセキュリティ設計・検証に大きな責任を負います 。 - サプライチェーン全体の課題:
Unitronics社という特定ベンダーの製品が狙われたことは、自社がどのベンダーのどの製品を利用しているかを把握し、脆弱性情報を管理するサプライチェーンセキュリティの重要性を浮き彫りにしました。これは自動車業界におけるCatena-Xのような、企業間での情報連携の仕組みが他産業でも必要になることを示唆しています 。
5. 制御システムセキュリティ能力を高めるには
法規制が強化され、サプライチェーン全体での対応が求められる中、制御システムのセキュリティを適切に実装・検証する能力は、今や技術者にとって必須スキルです。しかし、「認証取得のコンサルティングはできても、制御システムにおける多層防御の実装や検証までを具体的に指導できる専門家は極めて少ない」のが現状です 。
株式会社ICS研究所では、こうした課題に対応するため、260以上の講座からなる「オンデマンドビデオ講座 eICS」や、学んだ知識を実務で使えるレベルで証明する「制御システムセキュリティ実務能力検定」、さらには、国際標準 IEC 62443/ISO 27001の認証を取得するためのコンサルティング、一気通貫のプログラムを提供しています 。
自社のサイバーレジリエンスを本質的に高めるために、ぜひICS研究所にお気軽にお声がけください。
株式会社ICS研究所では、こうした課題に対応するため、260以上の講座からなる「オンデマンドビデオ講座 eICS」や、学んだ知識を実務で使えるレベルで証明する「制御システムセキュリティ実務能力検定」、さらには、国際標準 IEC 62443/ISO 27001の認証を取得するためのコンサルティング、一気通貫のプログラムを提供しています 。
自社のサイバーレジリエンスを本質的に高めるために、ぜひICS研究所にお気軽にお声がけください。
