主なポイント

✓ 親ロシアハクティビストグループは、主にVNC接続を利用して重要インフラに対する攻撃を実施しています。
✓ これらの攻撃は、物理的な損害を引き起こす可能性があり、特に水道、食品、エネルギーセクターが狙われています。

社会的影響

! これらの攻撃は、重要インフラの安全性に対する信頼を損なう可能性があります。
! 市民生活や経済活動に対する影響が懸念され、特にエネルギー供給や水道サービスに対する脅威が増しています。

編集長の意見

親ロシアハクティビストによる攻撃は、サイバーセキュリティの観点から非常に重要な問題です。これらのグループは、比較的低い技術的スキルでありながら、重要インフラに対して物理的な損害を引き起こす可能性があるため、特に注意が必要です。CISAやFBIなどの機関が発表した勧告は、これらの攻撃のリスクを軽減するための重要な情報を提供しています。特に、VNC接続のセキュリティを強化することが求められます。これにより、攻撃者がOTデバイスにアクセスすることを防ぐことができます。また、企業や組織は、サイバー攻撃に対する防御策を見直し、必要に応じて強化することが重要です。今後、親ロシアハクティビストの活動はさらに活発化する可能性があるため、継続的な監視と対策が求められます。特に、攻撃の手法やターゲットが変化する可能性があるため、最新の情報を常に把握し、適切な対策を講じることが重要です。これにより、重要インフラの安全性を確保し、市民生活や経済活動への影響を最小限に抑えることができるでしょう。

解説

親ロシア系ハクティビストが“露出VNC”を梃子にOTへ到達——CISA共同勧告が映すハイブリッド戦の現実

今日の深掘りポイント

インターネット露出のVNCが、低スキルでもOT/HMIに到達できる“最短距離”として悪用されている現実です。
今回の勧告は、大規模破壊ではなく「小規模だが物理影響を伴う妨害」を量産する作戦が続くというメッセージです。
攻撃は機能阻害・心理戦・影響誇張が一体化したハイブリッド手法で、IT/OT双方の運用と広報を巻き込む備えが要ります。
SOC運用の盲点（RFBハンドシェイク検知、HMIの監査証跡、ベンダー保守VNCの棚卸）を埋めることが、最短のリスク低減です。
メトリクス観では「緊急性と実行可能性が高く、影響は局所だが累積的」という位置づけで、迅速な“露出系”つぶしが最大効果を生みます。

はじめに

2025年12月9日、CISAが親ロシア系ハクティビストによる重要インフラへの機会主義的攻撃を警告する共同サイバーセキュリティ勧告（AA25-343A）を公表しました。要点は、インターネットに露出したVNC経由でOT制御系に接続し、水道・食品・エネルギーなどのHMI/制御端末に触れることで小規模な物理影響を起こし、プロパガンダとして増幅する作戦が続いている、というものです。

本件は新規性よりも「今そこにある危機」の色合いが濃く、短期の行動で低コストにリスクを落とせる（外向きVNC遮断・監視・演習）一方、影響は局所的でも連続すれば社会的信頼を毀損し得ます。日本のCISO/SOC/OT運用者にとっては、IT資産管理の延長線上にある“リモート保守の穴”を埋め切れているかの再点検こそが決定打になります。

参考（一次情報）:

CISA 共同サイバーセキュリティ勧告 AA25-343A: Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure（2025-12-09）［https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a］
MITRE ATT&CK: External Remote Services（T1133）［https://attack.mitre.org/techniques/T1133/］

深掘り詳細

事実整理（ファクト）

CISAの共同勧告は、親ロシア系ハクティビストが「インターネット露出のVNC」を足がかりにOT制御環境へ接続し、水道・食品・エネルギー分野で小規模な物理影響を伴う妨害を行った実例を複数観測したと注意喚起しています。多くは機能停止や設定変更の試行、画面取得の晒しなど、宣伝効果を狙う振る舞いです［CISA AA25-343A］。
攻撃は標的型というより、検索エンジン（OSINT/インターネットスキャン）で見つかる“露出系”を機会主義的に踏むもので、技術的ハードルは高くありません。にもかかわらず、OTに直結する点がリスクを跳ね上げます［CISA AA25-343A］。
勧告は、影響の多くが局所的・短時間である一方、物理層に触れるため安全・衛生面の逸脱や運転停止を誘発する蓋然性を明示しています［CISA AA25-343A］。

編集部インサイト（示唆）

低スキル×OT直結の非対称性が核です。VNCは「画面を遠隔で触れる」ため、マルウェアや脆弱性悪用を介さずにHMI上の操作（ポンプ停止、温調変更、薬注量変更など）が可能になります。EDRや署名型検知をバイパスしやすいのが厄介です。
事案の多くは「小さいが見せやすい」効果を狙います。運転パネルの画面キャプチャや一時的な停止は、SNS上で“成果”に見えやすい。影響が限定的でも、連続・多拠点に起きればレピュテーションと規制当局対応のコストが累積します。
IT/OT分断の“継ぎ目”（ベンダー保守、過去の恒久例外、現地オペレーションの利便設定）が狙われます。資産・経路のカバレッジをIT側の枠組みで100%担保できていない組織ほど、盲点が温存されがちです。
メトリクス観では、緊急性・確度・対応可能性が高く、影響は単発では中〜小ですが、信頼・安全・規制を巻き込む二次的影響が増幅要因です。短期の露出遮断と中期のリモート運用再設計が費用対効果の要諦になります。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って組み立てた仮説シナリオです（仮説であり、個別事案を断定するものではありません）。

シナリオA（上水/HMI）
- 初期侵入: インターネット露出VNCへの接続（External Remote Services）。弱/流出認証情報の試行（Brute Force/Valid Accounts）。
- 実行/影響: HMI上でポンプのON/OFFや薬注設定の変更、画面の取得・晒し（Manipulation of control via HMI、Screen Capture）。
- 効果: 一時的な供給停止、薬注逸脱による品質・安全リスク、住民不安の惹起。宣伝効果の高い素材化。
シナリオB（食品コールドチェーン）
- 初期侵入: 同上（VNC）。現場端末の既定VNC設定/簡易パスが残置。
- 実行/影響: 温度設定の微変更、警報の消音、監視画面の晒し（Impair Process Control / Loss of View）。
- 効果: 品質逸脱リスク、出荷遅延、法令報告の発生、広報対応の負荷。
シナリオC（分散エネルギー/小規模発電監視）
- 初期侵入: 外向きVNCまたはベンダー保守経由。
- 実行/影響: 監視のみ/設定閲覧に留まるケースが多いが、運転モード変更の試行も。画面晒しで“停止させた”と誇張。
- 効果: 実害は限定的でも、SLA逸脱や規制当局からの是正要求で運用に負担。

共通するATT&CK要素（主にEnterprise視点、ICSタクティクス併記）:

初期アクセス: External Remote Services（VNC/RDP等）、Valid Accounts、Brute Force
発見/横展開: Network Service Scanning、Remote System Discovery、（OT側ではベンダー経路やHMI探索）
収集/情報操作: Screen Capture、Exfiltration Over Web Services（画面の晒し）
影響（ICSタクティクス）: Manipulation of Control、Impair Process Control、Loss of View、Inhibit Response Function

影響評価の要点:

単発の物理影響は小〜中規模に留まりやすい一方、継続・多拠点化で社会心理と規制対応コストが跳ね上がります。
安全側の設計（インターロック、機械的リミット）が守る前提でも、人が介在するHMIは“誤操作の再現”を容易にします。
宣伝を前提とした作戦のため、技術的な抑止（遮断・検知）と同時に、広報・通報・復旧の一体運用が鍵になります。

セキュリティ担当者のアクション

優先度順に、短期で効く手当と中期の構造改革を明確に分けます。

48時間以内（即応）
- 露出遮断: 5900–5903/TCP（VNC）を外向きで閉塞。WAF/ファイアウォールで任意IPからの到達を遮断します。
- 資産棚卸: 全社でVNC/RDP/TeamViewer等のリモート運用ソフトを横断棚卸（IT/OT/ベンダー保守を含む）し、使用許可と設置根拠を突き合わせます。
- 認証強化: 残した経路はMFA必須、VPN＋踏み台（ジャンプサーバ）以外の直結禁止を即時方針化します。
- ハンティング: SOCでRFBハンドシェイク（“RFB”バナー）、短時間に繰り返す失敗認証、未知ASNからの5900番ポート到達を検知・ブロックします。
- 監査証跡: HMI/SCADAの操作ログ（設定変更、アラームの消音、モード切替）を収集・相関し、インターネット到達のタイミングと突合します。
2週間以内（運用固め）
- ベンダー経路の集約: ベンダー保守はVPN＋MFA＋時間制御の専用経路に集約し、個別機器のVNCを無効化。申請ベースのワークフローを整備します。
- ネット分離の実効性: IT-OT間にDMZを設け、双方向の許可最小化（許可ポート/宛先をホワイトリスト）。OTからインターネット直結を禁止します。
- 可視化: ICS側フローの可視化（SPAN/ミラーポート、OT対応NDR）でHMI/PLC周辺の異常操作を検知可能にします。
- インシデント演習: 「HMIが外部から操作された／画面が晒された」を想定した机上演習。運転・広報・法務・規制報告の連動を事前定義します。
30〜90日（構造改革）
- リモート運用の再設計: ゼロトラスト原則（強い認証、デバイス健全性、時間・業務条件）でOTリモート接続を再構成。ユーザー/ベンダーの特権は都度発行・記録・録画します。
- HMI/端末の堅牢化: 端末は最小権限・アプリ許可制・自動ログオフ・画面キャプチャ監査。OS・VNC等の不要機能は削除します。
- 変更ガバナンス: 制御設定のしきい値/モード変更に二人承認・自動記録・即時アラートを義務化します。
- 対外コミュニケーション: 影響誇張に備え、事実と安全確保策を迅速に共有するテンプレートを整備。ISAC/規制当局への通報ルートを明確化します。
インテリジェンス（継続）
- 攻撃面の監視: インターネットスキャンで自組織の露出確認（シャドーIT含む）。脅威アクタのTTP更新を追跡し、検出ルールに反映します。
- ATT&CKマッピング: 自組織のユースケースをATT&CK（Enterprise/ICS）にマップし、検知カバレッジの穴（External Remote Services、Screen Capture、Loss of View等）を定期レビューします。

最後に強調します。これは“高度なICSマルウェア”の話ではありません。むしろ、過去の恒久例外や利便のために開けた小さな穴を、宣伝と結びつけて突かれる時代の話です。だからこそ、最短で効くのは露出の可視化と遮断、そして運用と広報を横串にした準備です。今日できる一手から始めます。

参考情報

CISA 共同サイバーセキュリティ勧告 AA25-343A: Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a
MITRE ATT&CK: External Remote Services（T1133）https://attack.mitre.org/techniques/T1133/

背景情報

i 親ロシアハクティビストグループは、ロシアの地政学的目標を支持する個人で構成されており、特にウクライナとその同盟国のインフラをターゲットにしています。これらのグループは、比較的低い技術的なスキルで攻撃を行い、主にVNC接続を利用してOTデバイスにアクセスします。
i CISAやFBIなどの機関は、これらのハクティビストグループが行う攻撃の影響を評価し、特に物理的な損害を引き起こす可能性があることを警告しています。これにより、重要インフラに対するサイバー攻撃のリスクが高まっています。

メトリクス