英国の水システムに対する攻撃報道は、OTの“既知の穴”がいまだ塞がれていない現実を突きつけるニュースです

今日の深掘りポイント

• 水道OTの弱点は新規ではなく“既知の課題”に集中している。遠隔保守、初期設計のフラットなネットワーク、既定認証情報、古いHMI/PLC設計思想が再び狙われやすい状況です。
• 実害の主因は「工程破壊」よりも「予防的停止（セーフティのための停水・減水）」に伴う社会的・事業的影響に出やすい。攻撃者の狙いが金銭（恐喝）でも、運用側は安全優先で停止判断を取らざるを得ないため、可用性の毀損が先に顕在化します。
• いま必要なのは“新しい対策”ではなく“既存ガイダンスの徹底”。NCSCのCAF/ICSガイダンス、CISAのOT通達、MITRE ATT&CK for ICSに沿った演習・検知・分離の基本を揺るがせにしない運用です。
• メトリクスが示唆するのは「緊急性・信頼性が高い一方で、斬新性は限定的」という構図。つまり、方針は決まっており実装スピードが問われている段階です。

はじめに

英国の水供給システムがサイバー攻撃の標的になったとの報道が相次ぎ、重要インフラのリスクが改めて浮き彫りになっている状況です。本件の一次情報は現時点で限定的ですが、同種インシデントの技術的特徴や攻撃パターンはこの数年で十分に蓄積されています。特に、OT/ICS特有の運用要件（連続稼動・安全最優先・長寿命機器）と、遠隔保守や外部委託に依存する運用モデルが、攻撃者にとって反復利用可能な“踏みどころ”になっているのが実態です。

本稿では、公開済みの一次ガイダンスと近年の確証事例を軸に、脅威シナリオをMITRE ATT&CKに沿って分解し、英国水道事業者のみならず日本の水道・上下水・プラントの現場が即時に適用できるアクションに落とし込むことを狙います。初報としての新規性より、実務への即応性と再発防止の徹底を重視します。

参考：今回の報道アグリゲーション（一次ではない）malware.newsの集約投稿です。

深掘り詳細

事実関係（確認できる一次情報と既知の文脈）

• 英国のOT/ICS防御の基本枠組みとして、NCSCはCAF（Cyber Assessment Framework）とICS向けコレクションを公開し、セグメンテーション、特権最小化、遠隔アクセスの強化、監視・ログの実装を繰り返し推奨しています。NCSC CAF、NCSC ICSガイダンスです。
• 水道分野に近い確証事例として、CISAは2023年に水・廃水事業体を含む施設でUnitronics PLCが既定認証や露出ポートを通じて悪用された事案について、具体的な緩和策（既定パスワード変更、ポート閉塞、VPN化、オフラインの構成バックアップ）を緊急アドバイザリで公表しています。CISA AA23-325A、ICS Advisory ICSA-23-335-01です。
• 攻撃手口の整理はMITRE ATT&CK for ICSで体系化され、工程への影響（Loss of View/Control、Inhibit Response Function、Manipulation of Control）とIT→OTピボットの各段階での手口が参照可能です。MITRE ATT&CK for ICSです。
• OTの設計・運用整備における国際標準はISA/IEC 62443シリーズにまとめられており、ネットワーク分割（ゾーン/コンジット）、SL（セキュリティレベル）設定、サプライヤ責任分界が核となります。ISA/IEC 62443概要です。
• 水・廃水セクターの最低限の実装原則を水系ISACは「15 Fundamentals」として公開し、遠隔アクセスの制御、資産可視化、工程監視の三位一体を強調しています。WaterISAC 15 Fundamentalsです。

以上はいずれも一次情報で、業界として「何をやるべきか」は明確化されています。問題は適用の速度と徹底度にあります。

インサイト（何が“痛点”で、どこから着手すべきか）

• 既知の弱点が温存されやすい構造です。水道のOTは、24/7連続運転・遠隔監視・外部委託保守の三条件が重なるため、暫定措置（穴あきファイアウォール例外、共有アカウント、常時開放のリモートツール）が“暫定のまま恒久化”しがちです。攻撃者はこのレガシーを反復活用します。
• 「化学注入の改ざん」よりも「予防的停止による可用性喪失」が先に出る現実です。現場は安全最優先で、侵害の疑いだけで工程を手動・ローカルに切り替える判断を取ります。これ自体は正しいが、可用性KPIへの打撃は大きく、恐喝の交渉材料にもなります。
• 監視の“盲点”は工程寄りの書き込みイベントです。多くのSOCはIT境界や認証失敗は拾えるが、OT内部の「制御書き込み（例：Modbus Function 5/6/15/16、プロジェクト書き換え、RUN/STOP切替）」の可視化・相関は不足しがちです。最初に整備すべきは“書き込み系”のテレメトリ基盤です。
• 新規性は限定的でも緊急性は高いです。報道が指すのは未知のゼロデイではなく、既知の運用上の穴です。従って、CISOが問われるのは「方針」ではなく「実装完了までの速度」と「テスト済みであることの証跡」です。

脅威シナリオと影響

以下は公開情報と既知の手口に基づく仮説シナリオです。具体の英国事案への断定適用ではなく、同種のリスク評価のひな形として提示します。

• シナリオA：ITランサム→OTへの波及（予防的停止）

  • 想定フロー（Enterprise/ICS混在のATT&CK相当）:
    • 初期侵入：フィッシング（Phishing）、公開Webの脆弱性悪用（Exploit Public-Facing Application）
    • 横移動：外部リモートサービス（External Remote Services; VPN/Jump Host）、有効なアカウント（Valid Accounts）
    • 影響：IT基幹の暗号化・停止により、OTは安全のためネットワーク遮断・手動運転に切替（Loss of View/Controlの回避目的の停止）
  • 影響：処理能力の大幅低下、供給圧の変動、復旧検証に時間を要するため可用性KPIと顧客満足度の低下が顕在化します。
  • 検知観点：VPNの異常地理・時間帯接続、ドメインコントローラ近傍での権限昇格、OT DMZへの東西トラフィック急増、ヒストリアンのデータアップロード停止です。

• シナリオB：OT露出資産の直接悪用（遠隔保守・既定認証・HMI/PLC）

  • 想定フロー（ATT&CK for ICS）:
    • 初期：公開されたPLC/HMI/エンジニアリングワークステーションへのアクセス（公開サービス露出、既定パスワード）
    • 実行：制御ロジック変更（Modify Control Logic）、制御の操作（Manipulation of Control）、プログラム状態変更（Change Program State; RUN/STOP）
    • 防護無効化：アラームの抑止、応答機能の阻害（Inhibit Response Function）
  • 影響：化学薬品の注入率・ポンプのデューティ変更、電気・機械的負荷の偏りによる装置劣化リスク。発見時は直ちにローカル操作に切替えざるを得ません。
  • 検知観点：非工程端末からの書込関数呼び出し（Modbus 0x05/0x06/0x0F/0x10）、プロジェクトファイルの差分、PLCのRUN/STOP状態の不審な変化、HMI画面の未承認変更です。
  • 根拠・関連：CISAはUnitronics事案で既定パスワード・露出ポートの悪用を具体的に指摘しています（AA23-325A、ICSA-23-335-01）。

• シナリオC：サプライチェーンからの迂回（SI/保守ベンダのクレデンシャル）

  • 想定フロー：
    • 初期：MSSP/システムインテグレータの侵害→共有アカウント・跳ね橋からOTに到達（Valid Accounts/External Remote Services）
    • 偵察：資産台帳・配水系GIS・プロセス図面の窃取（Discovery/Collection）
    • 影響：当面は恐喝・脅迫、次段階で工程妨害の準備（Loss of Viewリスクの増大）
  • 検知観点：委託先IPからの予期せぬ時間帯アクセス、ジャンプホストの多段踏み台、ベンダ専用VLAN外での通信、構成台帳系ファイルの大量取得です。

どのシナリオにおいても、“工程の安全側停止”が事業リスクの顕在化パスになりやすい点が実務上の重要ポイントです。よって、純粋な「侵入防止」と同じ重みで「停止からの迅速な手戻し（Golden Image/ロジック復旧・計装再同調）」の整備が必要です。

セキュリティ担当者のアクション

優先度順・時間軸で提示します。新規の対策ではなく、既存ガイダンスの「即時実装と検証」を主眼にしています。

• 48時間以内（緊急チェック）

  • 露出点の棚卸し：境界FW/NATの公開サービス一覧を再取得し、OT/保守系（VNC/RDP/TeamViewer/メーカー固有ポート含む）をゼロ化します。公開が必須のものはVPNか特定IP許可＋MFA化します。
  • 既定・共有認証の撲滅：PLC/HMI/エンジニアリングWSの既定パスワードを即時変更、共有アカウントの停止、ベンダ個人アカウントへの切替を実施します（根拠：ICSA-23-335-01）。
  • バックアップ確保：PLC/RTU/HMI/SCADAプロジェクトの“オフライン・書込不可”バックアップを物理的に分離して取得・検証します（復旧試験で実機へ戻せることを確認）。
  • 監視の最小セット：Modbus/TCPやDNP3等の“書き込み”イベントをセンサー（Zeek等）で捕捉し、非許可端末→クリティカル機器への書込を即時アラート化します。

• 30日以内（構造的リスクの切り分け）

  • セグメント化の完成：ISA/IEC 62443のゾーン/コンジットに基づくネットワーク分割、ジャンプサーバの導入、工程ごとの通信ホワイトリストを適用します（ISA/IEC 62443）。
  • ベンダアクセスの契約統制：外部委託のアクセス時間帯・出入口・多要素・証跡保全を契約条項化し、CAFの監査観点に組み込みます（NCSC CAF）。
  • ロール分離と最小権限：運転、保守、監視の操作ロールを分離し、工程に対する「書き込み」は現場承認付きのワークフローに限定します。
  • 検出成熟化：IT側EDRの検知をOT DMZに拡張し、OT内はネットワークベース検知で補完。SOCは“工程イベントとITイベントの相関ビュー”を持ちます。

• 90日以内（持続可能な運用へ）

  • 演習：MITRE ATT&CK for ICSのシナリオを使った机上・実地演習（IT侵入→OT隔離→手動運転→復旧）を定期化します（ATT&CK for ICS）。
  • テレメトリの民主化：運転チームとSOCが同じ工程KPI（ポンプ稼働率、化学投与変更、圧力異常）のダッシュボードを共有し、異常時の共通言語を整備します。
  • サプライチェーン監査：SI/ベンダのISMS/OT対策の実装証跡を四半期ごとに確認し、侵害前提の“跳ね橋遮断手順”を合意します。
  • 規制整合：CAF/NIS要求事項のギャップを埋め、ボード向けに「計画→実装→検証→演習→是正」のPDCA証跡を四半期で報告します。

• ハンティングと検知の具体例（導入しやすいクエリ/ルール）

  • OTネットでの“Modbus書き込み”を非許可端末から検知（Function 5/6/15/16）。許可リスト外の宛先・レジスタ範囲に閾値。
  • PLCのRUN/STOP状態変化の監視（工程計画外のタイミング・端末からの切替を高優先度アラート）。
  • ジャンプホストの異常：多国同時接続、夜間・休日の未申請セッション、短時間での複数資産への横移動。
  • ヒストリアン停止・遅延：データ収集遅延やごみデータ混入（Loss of Viewの前兆）を早期検知。

最後に強調したいのは、今回の報道が示す「いま起きうる現実」は、未知の攻撃トリックではなく、運用上の“既知の穴”が残存していることです。従って効果の差は、ポリシーの巧拙ではなく、基本の実装・検証・演習の“完了度とスピード”で決まります。CISOは、緊急の露出点排除と同時に、工程チームを巻き込んだ現実的な復旧演習を即座に走らせるべき段階です。

参考情報

• 報道アグリゲーション（一次ではありません）：Cyberattacks on UK water systems reveal rising risks to critical infrastructure
• NCSC Cyber Assessment Framework（CAF）：https://www.ncsc.gov.uk/collection/caf
• NCSC Industrial Control Systems コレクション：https://www.ncsc.gov.uk/collection/industrial-control-systems
• CISA 警告 AA23-325A（Unitronics/水・廃水の悪用事案）：https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
• CISA ICSアドバイザリ ICSA-23-335-01（Unitronics PLC 既定認証ほか）：https://www.cisa.gov/news-events/ics-advisories/icsa-23-335-01
• MITRE ATT&CK for ICS マトリクス：https://attack.mitre.org/matrices/ics/
• ISA/IEC 62443 概要：https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
• WaterISAC 15 Fundamentals（水・廃水の実務原則）：https://www.waterisac.org/knowledge/15-cybersecurity-fundamentals-water-and-wastewater-utilities