Packet Pilot X (Twitter)
2025-12-13

Devmanランサムウェア攻撃がケソン電力を標的に

Devmanランサムウェアがフィリピンのケソン電力を攻撃しました。この攻撃により、重要なインフラが脅かされ、データの暗号化が行われました。攻撃者は身代金を要求しており、企業の運営に深刻な影響を及ぼす可能性があります。セキュリティ専門家は、今後の攻撃に備えるための対策を強化する必要があると警告しています。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

8.5 /10

予想外またはユニーク度

6.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

7.0 /10

主なポイント

  • Devmanランサムウェアは、ケソン電力のシステムに侵入し、重要なデータを暗号化しました。
  • 攻撃者は身代金を要求しており、企業の運営に大きな影響を与える可能性があります。

社会的影響

  • ! この攻撃により、地域住民の電力供給が不安定になる可能性があります。
  • ! 企業の信頼性が損なわれることで、顧客や取引先との関係にも影響が出るでしょう。

編集長の意見

Devmanランサムウェアの攻撃は、特に重要なインフラを狙ったものであり、今後のサイバーセキュリティの脅威を示しています。ランサムウェアは、単なるデータの暗号化にとどまらず、企業の運営全体に影響を及ぼす可能性があります。特に、電力供給のような重要なサービスが攻撃されると、社会全体に大きな混乱を引き起こすことがあります。企業は、サイバー攻撃に対する防御策を強化する必要があります。具体的には、定期的なバックアップの実施、セキュリティパッチの適用、従業員への教育などが重要です。また、攻撃を受けた場合の対応策を事前に策定しておくことも必要です。今後、ランサムウェア攻撃はますます巧妙化することが予想されるため、企業は常に最新の情報を収集し、対策を講じることが求められます。

解説

DevmanランサムウェアがQuezon Powerを標的に——IT/OTの境界が試される東南アジア電力セクターのいま

今日の深掘りポイント

  • 重要インフラ(電力)に対するランサムウェア攻撃は、実害の中心がIT領域でも、運用判断による予防的停止・手動運転・復旧遅延を通じて供給リスクへ直結しやすいです。
  • 現時点で攻撃手口や影響範囲は限定情報ですが、典型的な「二重恐喝」「IT侵害を起点にOT側の業務影響が波及」のシナリオが想定されます。
  • 攻撃連鎖の要は「外部公開サービスの脆弱性悪用/不適切なリモートアクセス」「AD権限昇格」「バックアップ無効化」「大量横展開」です。MITRE ATT&CK観点でのハンティング焦点化が有効です。
  • 直近の対応は、ICS分離の即応(ヒストリアン/OT-DMZ/ジャンプサーバの点検)、バックアップの“復元検証”、AD/特権経路の即時ハードニング、リーク/再加圧(DDoS等)へのプレイブック整備です。
  • 既知手口の再演色が強く、新規性は限定的でも、信頼度・実行可能性・即応性が高く、現場では優先事項として扱うべき案件です。

はじめに

報道によれば、DevmanランサムウェアがフィリピンのQuezon Power(ケソン電力)を標的にし、データ暗号化と身代金要求に至ったとされています。重要インフラである電力セクターの攻撃は、OT(制御系)が直接侵害されていなくとも、IT側の障害により業務継続の判断が難しくなり、結果として供給の安定性に影響が生じる点が本質的なリスクです。現時点で公開情報は限られますが、攻撃の信頼度と即応性は高く、脅威の新規性は中程度ながら、影響の潜在規模は大きいと評価すべき案件です。東南アジアの電力安全保障の波及も無視できず、日本企業の海外拠点・サプライチェーンにも示唆が大きいです。

参考:報道(一次情報としての当事者声明は未確認)では以下が出ています。

本稿では、確定情報と不確定情報を明確に分けつつ、攻撃の構造を分解し、MITRE ATT&CKに沿った想定TTP、そしてCISO/SOC/OT側の実装可能なアクションに落とし込むことを目的とします。

深掘り詳細

事実関係(現時点の公開情報)

  • DevmanランサムウェアがQuezon Powerを標的にし、システム侵入とデータ暗号化、身代金要求が発生したと報じられています。
  • 重要インフラである電力事業者への攻撃であり、運営・供給への影響可能性が指摘されています。
  • 現時点で、侵入ベクトル、暗号化対象の範囲(IT/OT)、被害の深刻度、復旧状況、当事者発表の有無など、一次ソースで裏付けられた詳細は限定的です。

注:上記は提供ソースの記述に依拠しており、一次声明・法執行・規制当局の正式文書は本稿執筆時点で参照できていません。OTへの実害や停電等については未確認で、断定は避けます。

インサイト(編集部の分析・仮説)

  • 重要インフラ狙いのランサムは、直接OTに暗号化を仕掛けるよりも、IT領域(AD/ファイルサーバ/仮想基盤/バックアップ)を制圧して事業継続を人質に取る「二重恐喝」が主流です。これにより、OTが無傷でも、安全側停止・運用制約・手動運転・保全作業遅延を誘発し、事実上の供給リスクにつながりやすいです。
  • 電力会社は遠隔保守や請負/OEM接続、ヒストリアン経由のデータ連携など、IT/OT接点が多層に存在します。ここが“侵入の橋”にならないよう、DMZ設計・ジャンプサーバ・特権経路の強固化が肝になります。
  • 地政学的緊張が続く地域では、攻撃の“圧力”が高まりやすく、事件自体の新規性が限定的でも、社会的・規制的な反応が大きくなりやすいです。結果として身代金支払い圧力も高まるため、攻撃者にとって費用対効果が良い標的になりがちです。
  • 現場観点では、未知のマルウェア名や新ブランドより、「初動でどの制御点を観測し握りつぶすか」(外部公開サービス、AD、バックアップ、横展開、復旧阻害)が重要です。名称に左右されず、ハンティングの焦点化と復元性(RTO/RPO)の下支えを優先すべきです。

脅威シナリオと影響

以下はMITRE ATT&CKに基づく仮説で、典型的な重要インフラ向けランサムウェアの作戦連鎖をQuezon Powerの事案に当てはめて考えるものです。実際の事案でこれらが発生したと断定するものではありません。

  • シナリオA:IT境界での企業ネットワーク限定侵害(最頻パターン)

    • 初期侵入(仮説):外部公開サービスの脆弱性悪用 T1190、リモートアクセス乱用 T1133、フィッシング T1566、盗難資格情報 T1078
    • 内部制圧:AD権限昇格 T1068、OS資格情報ダンピング T1003、ドメイン探索 T1087/T1018、横展開(RDP/SMB/WinRM)T1021
    • 影響工作:バックアップ無効化/シャドウ削除 T1490、サービス停止 T1489、暗号化 T1486、データ持ち出し T1041 による二重恐喝
    • 事業影響(推定):請求・調達・保全計画・通報系の停止、復旧までの運用判断圧迫。OTは原則影響限定でも、予防的制限が発生し得ます。

  • シナリオB:IT→OT接点の限定的侵害(ヒストリアン/ジャンプサーバ経由)

    • 侵入拡大(仮説):OT-DMZへの横展開 T1021、ツール投下 T1105、特権アカウント乱用 T1078
    • 影響:監視・業務アプリ側の可視性低下や工程データの遅延で、保守判断や発電計画の精度が低下。制御器そのものの暗号化は稀でも、運用上の安全側停止が必要になるケースがあります。
    • 事業影響(推定):制御は維持でも生産性・収益損失、復旧時間の長期化、規制報告・広報の負荷増大。

  • シナリオC:サプライチェーン/委託先経由の侵害

    • ベクトル(仮説):ベンダのリモート保守経路 T1133/T1078、共有資格情報の使い回し T1110
    • 影響:同一委託先を介した横伝播、他アセットへの波及。データリークによる第三者リスク・規制リスク増幅。

検知・阻止の要点(横断):

  • 早期兆候:外部公開機器の不審認証、異常なLDAP/SMB/WinRM列挙、DC/バックアップサーバ周辺の権限操作、vssadmin/wmic/PowerShellによる復旧阻害コマンド実行、短時間の大量ファイルI/O、未知外部への大容量送信。
  • 特に見るべき箇所:AD(トークン/委任/証明書テンプレート)、バックアップ基盤、仮想基盤、ジャンプサーバ、OT-DMZ、ヒストリアン、ベンダ接続点。

MITRE ATT&CK(主な該当技術IDの例):

  • 初期アクセス:T1190, T1133, T1566, T1078
  • 資格情報・権限:T1003, T1068, T1558
  • 偵察・横展開:T1046, T1087, T1018, T1021, T1105
  • 防御回避・復旧妨害:T1562, T1070, T1490
  • 影響・恐喝:T1486, T1489, T1041

セキュリティ担当者のアクション

即応優先度は高いです。新規性は限定的でも、実行可能性が高く、影響は大きくなり得ます。以下はIT/OT横断で「いま着手できること」を時間軸で整理した推奨です。

  • 48時間以内(初動の衛生と可視化)

    • インターネット向けRDP/SMB/SSH/VPNの露出棚卸と一時遮断・許可リスト化、外部公開ミドルウェアの緊急パッチ適用・仮想パッチ適用を徹底します。
    • ベンダ遠隔保守経路の一時停止・再開条件の明確化(MFA必須、時間/端末制限、記録、承認フロー)を行います。
    • AD高権限(Domain Admin/Enterprise Admin/Backup Operators)の即時見直し、不要権限の剥奪、LAPSやPAWの適用開始を行います。
    • バックアップの“実復元テスト”を最低1系統で即時実施し、オフライン/イミュータブル媒体の健全性を確認します。
    • SOCハンティングの焦点化:vssadmin/wmic/PowerShellの不審実行(エンコード/LOLBin)、RDP横展開、未知C2への長時間セッション、大容量送信の検出ルールを強化します。

  • 1〜2週間(横展開阻止と復元性の底上げ)

    • 攻撃経路の可視化(BloodHound等によるADアタックパス分析)、Tier分離と特権経路の一本化、証明書テンプレート/委任設定の監査を実施します。
    • 主要事業システム・バックアップ・仮想基盤での復旧手順をドキュメント→実演習へ。RTO/RPOの現実値を算出し、ICS側の安全側復旧手順と整合させます。
    • OT-DMZ/ヒストリアン/ジャンプサーバでのセグメンテーション再点検(双方向同期の最小化、エアギャップ/データダイオードの選択肢検討)を行います。
    • メール・ブラウザ・EDRの防御姿勢強化(MFA普及率、隔離運用、アプリ制御)をセットで上げます。

  • 30〜60日(プレイブックと演習の定着)

    • 二重・三重恐喝(リーク/DDoS)を前提にしたプレイブック整備(法務・規制・広報・リークサイト監視・身代金方針・OFAC確認)を行います。
    • OT関係者を含むテーブルトップ演習(IT侵害が運転判断に及ぶ前提、通信断・部材入手難・ベンダ不在を想定)を実施します。
    • サプライヤ・EPC・O&M向けセキュリティ条項の改定(MFA、ログ提供、24h通報、脆弱性開示、鍵管理、接続の最小化)を進めます。

  • 日本企業への示唆(海外拠点・合弁・委託連携)

    • フィリピンを含むASEAN拠点のリモート接続経路を国内と同等基準で監査し、接続点を最少化します。
    • 海外パートナー/委託先経由の相互侵入を想定し、グローバルIAM・ゼロトラスト方針(アイデンティティ基軸、端末姿勢検証、地理/時間帯制約)を適用します。
    • 重要インフラ顧客/パートナーに対する緊急パッチ適用とバックアップ復元テストのエビデンス提出を求め、サプライチェーン全体での復元性を底上げします。

参考情報

注記

  • 本稿は公開情報が限られる段階の分析であり、攻撃ベクトルや影響については仮説を含みます。一次情報の更新に応じて評価は随時見直すべきです。
  • メトリクスの示唆として、即応性と発生可能性は高く、影響は大、しかし手口自体は既知の延長線上というバランスです。現場では「既視感のあるTTPに対する基本動作の徹底」と「IT障害がOTの安全・可用性判断に波及する前提の演習」を最優先で実装すべき局面です。

背景情報

  • i ランサムウェアは、感染したシステムのデータを暗号化し、復号のために身代金を要求する悪意のあるソフトウェアです。Devmanランサムウェアは、特にインフラ企業を狙う傾向があり、重要なサービスの停止を引き起こすことがあります。
  • i ケソン電力はフィリピンの主要な電力供給者であり、そのシステムが攻撃されることで、地域の電力供給に深刻な影響を及ぼす可能性があります。攻撃者は、企業の運営を混乱させることを目的としていると考えられています。
Packet News 一覧へ戻る