OTの「時間的優位」が崩れた—攻撃者が制御ループを理解し、現場の時計が速くなる時代です

今日の深掘りポイント

• 攻撃者はもはやOTを「足場」として寝かせず、制御ループを素早くマッピングして物理プロセスに干渉する準備を整えています。エンジニアリングワークステーション（EWS）や設定ファイル、ヒストリアン等の運用コンテキストを狙う動きが顕在化しています。
• IT侵入からOTへの横移動が前提化し、運用中断を狙うランサムウェアの事案が増えています。DragosはOTを標的とする26グループを追跡し、新たにAZURITE、PYROXENE、SYLVANITEを特定しています。
• 「時間的優位の喪失」が示すものは、従来の境界と受動監視だけでは遅いという現実です。EWS・リモートアクセス・OT境界を高価値資産として扱い、最小権限と運用ログの可観測性を即時底上げする必要があります。
• 本件は確率・影響ともに高く、しかも現場がすぐ動ける具体策が多い領域です。新奇性は中程度ながら、攻撃者の運用成熟が「速度の段違い」という質的変化をもたらしています。

参考情報: Dragosの2026年OT/ICS年次レビューの要点は、こちらの解説にまとまっています（一次情報への言及を含む二次情報です）Help Net Security: OT cybersecurity threats are evolving in 2026。

はじめに

「攻撃者はプロセスを理解しているのか」。この問いに対し、Dragosの年次レビューは明確に「はい」と答えています。しかも、その理解は図面の収集にとどまらず、制御ループの関係性や設定ファイルから運転文脈を抽出し、実運転に干渉するための“行動可能な知識”へと昇華しています。
結果として、OT側が「検知・隔離・現場対応」に使える時間的な余裕は細る一方です。日本のエネルギー、製造、水道、ビルオートメーションの現場にとって、これは“いつか来る話”ではなく、すでに日常の前提を変えつつあるシグナルです。今、手元の運用ルールと監視設計を見直せば間に合う領域が多いのも事実です。スピードを取り戻す準備を、今日から始めるべきです。

深掘り詳細

事実関係（Dragosレビューが示した変化）

• 攻撃者の目線が「OTアクセス＝受動的な足場」から「迅速に運用干渉へ」に移っています。制御ループのマッピングが進み、EWSや設定ファイル、ヒストリアンのタグ定義等から運転文脈を収集する動きが観測されています。
• DragosはOTを標的とする26の脅威グループをトラッキングし、AZURITE、PYROXENE、SYLVANITEの3グループを新たに特定しています。これらはITからOTへの横移動を前提に、運用妨害を志向している点が共通します。
• ランサムウェアの産業組織への波及は継続しており、2025年には119のランサムウェアグループが3,300超の産業組織に影響を与えたと報告されています。
  （出典はいずれもDragosの年次レビューを要約したHelp Net Securityの解説です。）

編集部のインサイト（時間軸と“運転文脈”の奪い合い）

• 守りの時計は「検知→特定→隔離→手順移行→現場操作」と、人・道具・手続きの同期に時間を要します。対して攻撃者は、IT側で得た認証・図面・バックアップ経路の知を持ち込み、OT側で「誰が、どの画面で、どの変数を、いつ触るか」を短時間で再現します。これが“制御ループのマッピング”の本質です。
• 現場の痛点は3つに収束します。
  1. EWS・ヒストリアン・リモートアクセス装置を「ハイバリュー資産」と見なしていないこと、
  2. OT境界（DMZ）での可視性とレートリミットが足りないこと、
  3. 「プロジェクトファイル改変」「PLCへのプログラムダウンロード」「タグ定義の不整合」といった“運転変化の直前兆候”の観測点がないこと、です。
• つまり、技術要素の弱点より「運用の観測設計」がボトルネックになっています。逆に言えば、設計変更なしでも“どこを見て、いつ止めるか”の合意を作れば、現場の時間は取り戻せます。
• 地政学の観点では、攻撃側は「実運転を止めない範囲で相手のコストを上げる」グレーゾーン作戦を採りやすく、ランサムウェアの“運転中断”オプションと親和します。物理破壊に至らずとも、短時間の制御喪失は十分な交渉力を生みます。したがって、防御側は“完全停止を避ける”だけでなく“短時間の攪乱を耐える”設計に舵を切る必要があります。これは現実的かつ即効性の高い戦略です。

脅威シナリオと影響

以下はDragosレビューの示唆に基づく仮説シナリオであり、MITRE ATT&CK for ICSのタクティクスに沿って編集部が整理したものです。現場差分に応じて適宜読み替えてください。

• シナリオA：IT侵入からの迅速な運用中断（ランサムウェア型）
  仮説の流れ:

  • 初期侵入・権限取得（Initial Access/Privilege Escalation/Defense Evasion）: フィッシング由来のAD資格情報奪取や、管理用RMM・VPNの不正利用で侵入します。
  • 横移動と探索（Lateral Movement/Discovery）: 産業DMZのサーバ、ヒストリアン、EWS共有を特定し、タグ定義やプロジェクトファイルを収集します（Collection）。
  • 指揮統制（Command and Control）: 正規のリモート運用経路を“住み着き”に使います。
  • 影響（Impair Process Control/Impact）: EWSとヒストリアンを暗号化し、PLCへのプログラムダウンロードやセットポイント変更を試みると脅す、または短時間の制御喪失を発生させて交渉材料にします。
    期待される影響: 計画外停止、品質ロス、復旧に伴う安全確認の追加工数、顧客・規制当局への報告負担が増大します。

• シナリオB：制御ループのマッピングを活かした静かな干渉（国家支援型）
  仮説の流れ:

  • 初期侵入〜探索: ITで収集した図面・帳票・ベンダーポータル資格情報をもとに、OT側でEWS・HMI・ヒストリアンを探索し、制御ループ（どのPIDがどのアクチュエータに効くか）と運転条件（レシピ、シフト、アラームしきい値）を再構成します（Discovery/Collection）。
  • 横移動・持続化（Lateral Movement/Persistence）: ベンダーのリモート保守経路や隠れた共有を悪用してEWSに常駐します。
  • 影響（Impair Process Control/Inhibit Response Function）: 運転レシピの境界付近で小さなセットポイント調整を繰り返し、品質逸脱やスループット低下を断続的に誘発します。監視側の反応を観察し、アラームの無効化やヒストリアンのデータ破損を局所的に狙います。
    期待される影響: 長期の原価率悪化、原因特定困難による対策遅延、設備劣化の早期化など、静かだが深い損害が出ます。

• シナリオC：水処理・ポンプ場での短時間撹乱（公共インフラ）
  仮説の流れ:

  • 初期侵入: リモートアクセス機器の設定不備を突き、現場サブネットへ入り込みます（Initial Access/Remote Services）。
  • 探索・収集: ポンプ制御のタグとアラームしきい値、運転スケジュールをヒストリアンとHMIから収集します（Discovery/Collection）。
  • 影響: 短周期のオンオフでキャビテーションを誘発、同時に警報の抑止（Inhibit Response Function）を試みて、短時間のサービス不安定化を引き起こします（Impair Process Control/Impact）。
    期待される影響: 需要ピーク時の供給不安、住民からの苦情増、規制対応コストの上昇が見込まれます。

これらのシナリオは、攻撃者の「理解の速さ」と「既存運用の悪用」に依存しています。防御側は、未知のゼロデイよりも、既知の経路と既知のログを“すばやく繋ぐ”ことで対抗時間を稼げます。

セキュリティ担当者のアクション

“時間を取り戻す”ための優先順位を、即効策から中期まで整理します。どれも既存の設備・体制で着手可能な現実解です。

• 見る場所を決める（可視性の即時底上げ）

  • EWS・ヒストリアン・OT境界装置（VPN/ジャンプサーバ/ファイル中継）のアクセスログを集中保全します。EWSの「プロジェクトファイル読取・変更・ダウンロード履歴」を最優先で可視化します。
  • OT側での“いつもと違う”振る舞いを、次の3つに絞って検知します:
    1. 新規または時間外のリモート接続、
    2. タグ定義・アラームしきい値の差分、
    3. PLC/RTUへのプログラムダウンロード試行、です。
  • 監視のKPIを「EWSの不審操作からオペレーター通報までの分単位の遅延時間」で測ります。これが短くなるほど、現場の時計が味方になります。

• 入口を絞る（リモートアクセスと特権のJIT化）

  • ベンダー・保全向けリモート経路は、全てジャンプサーバ経由・証明書ベース・時間制限つき（Just-In-Time）に統一します。セッション録画は“抑止”にも効きます。
  • AD連携の境界に信頼関係を残している場合は、OT用の限定ディレクトリサービスへ段階的に分離し、緊急運用は「一時発行のローカル資格情報＋ワークフロー承認」に寄せます。

• 触る前に止める（運転変更ガバナンス）

  • PLCプログラムダウンロードやEWSのプロジェクト公開に「二人承認＋チケットID埋め込み」を設け、変更メタデータを自動で記録します。
  • プロジェクトファイルの“正”ハッシュを保管し、差分検出を自動通知します。ツールがなければ、定時のスナップショットとハッシュ比較から始めます。

• 壊れない止め方を練習する（運用演習）

  • 30分でできる机上演習から着手します。題材は「EWS暗号化」「ヒストリアン停止」「PLSダウンロードのアラート」の3本立てで、判断ポイントは「誰が、どの順で、何を止めるか」です。
  • 実機リスクが高ければ、ヒストリアンのテスト系やデジタルツインに相当する簡易シミュレーションで、タグ改変・アラーム抑止の検知から現場通報までを通しで回します。

• 90日プラン（現実的な導入ロードマップ）

  • 0〜30日: 重要資産リスト（EWS/ヒストリアン/境界装置）とログ保全方針を決定し、JITアクセスの運用ルールを稼働させます。
  • 31〜60日: プロジェクトファイルとタグ定義の差分検知を自動化し、二人承認をワークフローに組み込みます。境界の監視ダッシュボードに“時間外アクセス”と“プロジェクト操作”のパネルを追加します。
  • 61〜90日: テーブルトップ演習を月例化し、OTとSOCの連携KPI（検知から一次隔離までの分単位SLO）を設定します。ベンダー接続は録画・証明書化を完了します。

• 測る指標（現場が実感できるメトリクス）

  • EWSで不審操作を検知してから、OT側で「安全な停止または隔離」を開始するまでの時間（分）です。
  • プロジェクトファイルの“正”ハッシュ管理率（対象EWSの何％がカバーされているか）です。
  • ベンダー・特権のJIT化率（全特権接続のうち、時間制限・承認・録画が適用されている割合）です。

最後にもう一度だけ強調します。今回のレビューが突き付けるのは、「境界を強くすれば勝てる」時代の終わりではなく、「運転の文脈を早く掴んだ方が勝つ」時代の到来です。見る場所を決め、触る手順を縛り、止め方を練習する。この3点を今日から始めることで、現場の時計は再びこちらに傾きます。参考情報はHelp Net Securityの解説をご確認ください。