米公益の設計図139GBが闇市場に—下請け侵害が露わにした「設計データ」サプライチェーンの盲点

今日の深掘りポイント

• ユーティリティ本体ではなく、送配電設計・LiDAR等を手がけるエンジニアリング下請けの侵害が発端です。漏えい対象が「設計・測量・地理情報」という点が、後続の偵察・物理侵入・サイバー攻撃の精度を一気に高めます。
• 闇市場での売り出しは約139GB・6.5BTC。単なる恐喝ではなく「データの流通・二次利用」を前提にした収益化の気配が濃く、長期にわたるリスク化を示唆します。
• 重要インフラの規制枠では、NERC CIP-013（サプライチェーン）やCIP-011（情報保護）の実装ギャップが直撃します。契約・技術・運用の三層で「第三者が保有する設計データ」の防御線を作り直す段階です。
• MITRE ATT&CKでみれば、初期侵入（フィッシング／公開アプリ悪用）、発見・収集、圧縮・持ち出しという典型的な企業ネット侵害の後に、「設計図を用いた高精度の偵察→サイバー・物理の複合シナリオ」へと展開する構図が見えます。
• 初動は“漏えいを前提にした備え”です。該当ベンダー利用有無の即時確認、設計データの最小化・削除ポリシーの再点検、サードパーティDLP／透かし・ハニートークン適用、ベンダー用VPN・アカウントの一時厳格化、E-ISAC等へのインシデント共有が要諦です。

はじめに

米フロリダ州のエンジニアリング会社Pickett and Associatesが侵害され、Tampa Electric、Duke Energy Florida、American Electric Power（AEP）に関する約139GBのエンジニアリング関連データが闇市場で売られているとする主張が報じられました。売値は6.5BTC（報道時点で約58.5万ドル相当）で、攻撃者は「インフラ分析・リスク評価に適したデータ」と謳っています。Duke Energyは調査中、他2社はコメントを差し控えと伝えられています［出典：The Register］。
このニュースの本質は「ユーティリティの外縁（設計・測量・LiDAR・GIS）に滞留する高解像度の現場情報が、攻撃の“精密度”を劇的に押し上げる」という点にあります。即時の被害有無だけでなく、将来の攻撃シナリオの“質”が変わる出来事として捉えるべきです。

参考: The Registerの報道

深掘り詳細

事実整理（報道ベース）

• 犯行側は、フロリダのPickett and Associatesから892ファイル・約139GBを窃取し、米大手ユーティリティ（Tampa Electric、Duke Energy Florida、AEP）関連のエンジニアリングデータとして6.5BTCで販売すると主張しています。
• 販売文言では「インフラ分析・リスク評価に適する」との触れ込みがあり、設計・測量・LiDAR等の業務を担う同社の業態から、送配電設備・線路・変電所・資産配置・地形・進入路・写真等の地理的メタ情報を含む可能性が示唆されます（いずれも攻撃者の主張であり、真正性は現時点で未検証）［出典：The Register］。
• Duke Energyは調査中、他2社はコメント差し控えと報じられています［出典：The Register］。

参考: The Registerの報道

インサイト（編集部の見立てと示唆）

• 設計データの“攻撃価値”は、ITの認証情報よりも時間軸が長いです。パスワードはローテーションで無効化できますが、単線結線図（SLD）、保護継電器の座標・設定、変電所ヤード構成、LiDAR点群から推測できる構造物の高さ・視界・死角、GIS上の進入路・フェンス・ゲート位置などは長期的に不変、あるいは改修コストが極大です。攻撃者視点では、精密な偵察と物理・サイバー双方の攻撃計画に直結します。
• 闇市場“売り切り”モデルの提示は、二重恐喝型ランサムからのシフトを示唆します。売買が成立すれば、同一データが複数アクターの手に渡る拡散リスクとなり、時間の経過とともに「誰が何を保有しているか」が不明化します。結果、広域・同時多発的な模倣攻撃や、国家系アクターによる長期の事前準備（pre-positioning）に資する可能性が高まります。
• 重要インフラの規制観点では、NERC CIP-013（サプライチェーン・リスク管理）やCIP-011（情報保護）の“データ主権の外”にある設計情報の扱いが弱点になりがちです。契約条項の通知義務・保存期間・削除要件・転送先制限・クラウド利用制限・サブプロセッサの管理に落とし込み、ベンダー実装（DLP、透かし、ハニートークン、ゼロトラスト的アクセス）まで踏み込まない限り、“紙上のリスク管理”に留まりやすいです。
• 地政学的にも、AEPのような広域ユーティリティを含む場合、地域横断の部材・保守要員・代替経路に関する“相互依存”を突くシナリオが描きやすくなります。設計データの漏えいは、単独設備の脆弱性ではなくネットワークとしての冗長性・復旧性の“穴”を可視化してしまうことが最大の懸念です。

参考（枠組み・標準類）:

• MITRE ATT&CK for ICS（戦術・技術の体系）: https://attack.mitre.org/matrices/ics/
• NERC CIP Standards（CIP-013等、サプライチェーン条項）: https://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx
• NIST SP 800-161r1（サプライチェーン・リスク管理実務）: https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final
• E-ISAC（電力セクターの情報共有・協調防御）: https://www.eisac.com/

脅威シナリオと影響

本件は現時点で攻撃者の主張段階であり、以下は“仮説シナリオ”です。技術詳細はMITRE ATT&CK（Enterprise/ICS）に沿って高レベルに整理します。

• シナリオ1：設計図に基づく精密フィッシングと認証回避

  • 目的: プロジェクト名・回線ID・設備記号など“内部者しか知らない”語彙を織り込んだスピアフィッシングで、ユーティリティ本体・他ベンダーのIDP/VPNを突破。
  • TTP（例）:
    • 初期侵入: フィッシング／スピアフィッシング（ATT&CK: Phishing, Spearphishing Attachment/Link）
    • 資格情報: 認証情報窃取（Credential Dumping）、MFA疲労攻撃
    • 横展開・持続化: 有効アカウント悪用（Valid Accounts）、リモートサービス悪用
    • 収集・持ち出し: 自動収集（Automated Collection）、Webサービス経由の持ち出し（Exfiltration over Web Services）

• シナリオ2：物理侵入の最適化とローカル破壊

  • 目的: 変電所ヤードの配置・フェンス・カメラ死角・進入路を把握し、保安装置・通信キャビネット・外部通信（マイクロ波塔など）への破壊行為を高効率化。
  • TTP（例）:
    • 偵察: 組織・地理情報の収集（Gather Victim Org/Location Info）
    • 影響: ICS側では“インシデント対応機能の妨害（Inhibit Response Function）”“設備の可用性低下（Loss of Availability）”に該当する高レベル効果

• シナリオ3：サイバー・物理の複合（低負荷時に誤動作を誘発）

  • 目的: 設計・保護協調の知識を用い、特定系統の保護設定や通信経路を狙ったIT側からの操作妨害と、現地での物理干渉を組み合わせ、局所的な停電・機器損傷リスクを高める。
  • TTP（例）:
    • ICS特有: コントロールの操作（Manipulation of Control）、アラーム抑止（Modify Alarm Settings）
    • Enterprise側: 外部ルーティング接続点（CIP-005相当のEACMS）を標的とした資格情報悪用・設定変更

• シナリオ4：長期的な脅し（静かな恐喝と模倣拡散）

  • 目的: 設計データの一部を“証拠”として提示し、静かに身代金要求。売買済みデータは他アクターにも渡り、後年の模倣攻撃・詐欺（例：偽の設計変更指示）を誘発。
  • TTP（例）:
    • 情報操作・ソーシャル：信頼できる取引先を装う偽指示（Pretexting）、サプライチェーン偽装（Impersonation）

影響評価の勘所（総合）

• 即応性と行動可能性は高い一方で、いわゆる“ゼロデイ脆弱性”ではありません。設計データという非脆弱性ベースの情報資産が攻撃経済を変える点が新味です。
• 信頼性は中程度以上と見るのが妥当です（複数社名を挙げた上で価格・容量を具体化）。ただし真正性は未確認のため、過度な断定は避けつつ“漏えい前提の準備”を優先します。
• 時間軸は短期・中期ともに効きます。短期はフィッシング・詐欺の精度向上、中期は物理・サイバー複合の計画立案に寄与します。

参考（枠組み・標準類）:

• MITRE ATT&CK for ICS: https://attack.mitre.org/matrices/ics/
• MITRE ATT&CK（Enterprise）: https://attack.mitre.org/matrices/enterprise/

セキュリティ担当者のアクション

“本当に漏えいしたか”の確度が上がるまで待つ必要はありません。設計データは一度出れば長く効きます。以下、72時間・30日・90日のラフな優先度で整理します。

• すぐに（〜72時間）

  • 取引先確認: 自社・子会社・重要設備でPickett and Associates（および同種の測量・LiDAR・設計ベンダー）利用有無を棚卸します。該当すれば直ちに当該社からの正式声明・侵害指標（IoC）・保有データ目録・保存先・転送経路・削除方針を取り寄せます。
  • アクセスの一時厳格化: ベンダー用VPN・IDの一時停止／権限縮小、MFAの再登録、発行済みサービスアカウントの棚卸と鍵ローテーションを行います（特に図面・CAD・GIS共有のSaaS）。
  • 情報共有: E-ISACへの状況共有、国内CSIRTコミュニティや同業ISACへのリスク通知を実施します。
  • 検知強化: プロジェクト名・回線ID・設備符号など“内部語彙”を含むメール・チャット・ドメイン登録の検知ルールを急造します。CAD/GIS拡張子の大量転送や、MEGA/Dropbox等への異常アップロードも監視します。
  • 物理警戒: 可能性のある該当変電所・ルートに対して臨時巡回を増強、カメラ死角の補完、鍵・アクセスカードの緊急棚卸を行います。

• 30日で

  • データ最小化・削除: 設計・測量・LiDARの「最小必要データ・最短保持期間・削除証跡」をベンダー契約に明文化し、実装（自動削除・保管庫分離）まで踏み込みます。
  • 透かし・ハニートークン: CAD・PDF・GISに不可視の透かし／ドキュメントビーコン（開封時にアラート）／ハニーファイル（虚偽の図面）を導入し、二次流出の早期検知網を敷きます。
  • DLP/コラボ基盤の統制: 図面系の大容量転送・外部共有・個人クラウド送信を網羅するDLPポリシーを再設計し、検知だけでなく“ブロック”を実装します。
  • 机上演習（Tabletop）: 「設計図が外にある前提」でのサイバー・物理複合インシデントを想定し、通信断・誤動作・誤遮断の連鎖に対する意思決定フローを検証します。

• 90日で（構造的対策）

  • 契約・規制整合: NERC CIP-013（サプライチェーン）とCIP-011（情報保護）に沿って、通知義務（24h以内）・転送先制限・下請け連鎖の可視化・暗号化義務・SaaSリージョン制御・監査権限を標準条項化します。
  • ゼロトラスト化: 図面・CAD・GIS用の「信頼境界」を独立させ、デバイス態勢・ユーザー挙動・地理で細分化。ベンダーは“常時ゼロトラスト・アクセスワークスペース”経由に限定します。
  • レッドチーム/アタックパス再設計: 設計・測量データの漏えいを前提に、攻撃者の視点で“最短アタックパス”を洗い出し、物理・サイバー双方のボトルネック（鍵管理、フェンス、EACMS、B2B連携）を潰します。
  • バリューチェーン全体の“データSBOM”: SBOMにならい、設計データの所在・形式・保持者・派生物・削除計画を台帳化し、変更時の差分・消し忘れを監査します。

最後に一言。今回のケースは“脆弱性の有無”より“設計の内実”が狙われた点が肝です。配電や変電の現実世界を写し取ったデータは、攻撃者にとって地図とコンパスに当たります。真偽の確認を待たずに、データが既に敵手にある前提で、静かに、速やかに、そして執拗に防御線を引き直していきたいところです。

参考リンク

• The Register（事件報道）: https://go.theregister.com/feed/www.theregister.com/2026/01/02/critical_utility_files_for_sale/
• MITRE ATT&CK for ICS: https://attack.mitre.org/matrices/ics/
• NERC CIP Standards（CIP-013等）: https://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx
• NIST SP 800-161r1（SCRM）: https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final
• E-ISAC: https://www.eisac.com/