「Volt Typhoon」はなぜ“居座れる”のか——Dragos年次報告が示すOTへの静かな包囲網

今日の深掘りポイント

• 攻撃者は「侵入」より「居座り」に価値を置いている——米国エネルギー網での長期潜伏（pre-positioning）が前提になりつつある状況です。
• DragosはOT特化の脅威グループを26まで拡大追跡、新たに3グループを追加。OTを狙う専業アクターが年ごとに層を厚くしている構図です。
• Volt Typhoonの強みは「Living off the Land（LoL）」とネットワーク機器経由の秘匿通信。検知と排除が難しい“運用の影”にいるのが本質です。
• OT/ITの境界は思った以上に多孔質。リモート保守、SOHOルータ、クラウド接続のヒストリアンが回廊になっている現実に目を向けるべきです。
• いま必要なのは“完璧な遮断”ではなく、“出入口の現実把握と観測点の増設”。少しの観測点が、居座りの呼吸を可視化します。

はじめに

Dragosの年次脅威報告を受け、「Volt Typhoon」が米国のエネルギー、石油、ガス領域で侵入を継続し、破壊的行為に転じうる準備（pre-positioning）を進めている、という見立てが再び裏づけられました。DragosはOTに特化した脅威グループを26まで追跡対象に広げ、新たに3グループを追加しています。重要な示唆は、攻撃者が「侵入の成否」だけでなく、「環境に溶け込んだまま長期間にわたり静かに居座り続ける」こと自体を戦果としている点です。

米国当局は以前からVolt Typhoonの手法——OS標準の管理機能や既存の正規アカウントを多用するLoL、SOHOルータなどを踏み台にした秘匿的なC2経路——を警告してきました。Dragosの最新所見は、その“静かな包囲網”が依然として有効であり、OTに届く導線の至る所に張り巡られている現実を映しています。CISAの共同勧告（AA23-144A）や、今回の報道をまとめたThe Registerの記事も、この継続性と潜伏性を裏づける材料です。

本稿では、「なぜ埋め込まれたままになりやすいのか」を技術と運用の両面から分解し、現場で今日から着手できる観測・遮断の優先順位を整理します。

深掘り詳細

事実関係（Dragos報告が示したもの）

• Volt Typhoonは米国のエネルギー、石油、ガス分野に対する侵入を継続し、破壊的サイバー攻撃に転用可能な長期的アクセスを準備しているとされています。Dragosは、OT特化の脅威グループを26まで拡大し、本年は新たに3グループを追加しています。The Registerの報道がその要点を伝えています。
• 米国政府・同盟国は、Volt Typhoonの特徴として、標準的な管理ツールやプロトコル（PowerShell、WMI、RDP、SMBなど）を利用して痕跡を薄める「Living off the Land」、および侵入元の秘匿化（SOHOルータ等の踏み台化）を繰り返し指摘しています。これはCISA等の共同勧告で技術的に詳細化されてきた流れと整合します。CISA AA23-144A

この二点から読み取れるのは、「攻撃の準備行為（pre-positioning）は、運用の騒音に紛れる形で、しかも長い時間軸で着実に進む」という、OT/IT混在環境にとって最も厄介な断面が続いていることです。

インサイト（なぜ「埋め込まれたまま」になるのか）

埋め込みの持続要因は、技術的強みと運用上の盲点が噛み合っているからです。

• LoLの“運用ノイズ化”効果
  攻撃者はPowerShell、WMI、schtasks、netsh、wevtutilなど、運用で日常的に使われる実行体を重ね使いします。イベントは「日常の管理作業」に埋もれ、検出ロジックが高い閾値に設定されがちです。結果として、薄いシグナルが長期間見逃されます。

• 踏み台（特にSOHOルータ）による“地産地消”のC2
  通信元が米国内の一般回線に見える、あるいはベンダ拠点由来に見えることで、地理・ASNベースの粗いフィルタは素通りします。脆弱・未管理ルータは、経路の匿名化と回転（ローテーション）を容易にし、追尾を難しくします。

• OT/IT境界の多孔質化

  • リモート保守やエンジニアリング・ワークステーション（EWS）の遠隔接続、ヒストリアンのクラウド連携、デマンドレスポンスや分散エネルギー資源（DER）統合など、ビジネス要件で開いた“必要な穴”は塞げません。
  • こうした“正当化された経路”に最小限の権限で潜り込み、後は待つ。攻撃者にとっては、行動より待機の方がコスト効率が高いのが実情です。

• インシデント対応の“止めづらさ”
  OTは連続稼働前提、停止は安全・品質・規制の多重制約を伴います。「怪しいが致命傷ではない」段階では、観測を優先しがちで、排除が後ろ倒しになります。これが滞留の温床になります。

• アカウント・アイデンティティの長期有効化
  現場では、ローカル管理者アカウントやベンダ共有ID、長期固定のVPN資格情報が依然として残りがちです。Vault化やJIT付与が進まない環境では、正規アカウント起点のサイレント横移動は止まりません。

以上は、Dragosの所見とCISAの技術的警告に整合しつつ、現場で日々目にする“現実的な弱点”と重なります。要は、攻撃者が特別に巧妙というより、我々の運用上の“やむを得ない例外”を体系的に拾い上げている、という見方が肝要です。

脅威シナリオと影響

以下は想定シナリオであり、MITRE ATT&CKの観点での仮説マッピングを添えます。具体的な技術名はATT&CK for Enterprise/ICSの代表例で、各環境により差異がある前提です。

• シナリオ1：配電系統の段階的撹乱（地域ブラックアウトの引き金にならない“ギリギリ”の揺さぶり）

  • 進行像（仮説）
    1. SOHOルータ踏み台→事業者の外縁ITへ到達（Proxy、Valid Accounts）
    2. AD・ジャンプサーバ経由でOT境界へ偵察（Remote Services、Network Discovery）
    3. ヒストリアンやSCADA/EMSの監視・制御間の権限・設定を段階的に把握（Account/Permission Discovery）
    4. 高負荷時に限って制御指令の遅延・再送・小規模負荷の切り離しを誘発（ICS: Alarm Suppression/Control Logicへの変更は最小限）
  • 関連ATT&CK（例）
    • Initial Access/Command and Control：Proxy、Valid Accounts
    • Discovery：Network/Service Discovery、Permission Group Discovery
    • Lateral Movement：Remote Services（RDP/SMB/WMI）
    • ICS：工程情報の取得、アラーム抑止、設定微修正による操業撹乱
  • 影響
    • 数十分〜数時間の断続的停電、フィールド出動の増加、オペレータ疲弊。世論的・政策的プレッシャー増幅が狙いになります。

• シナリオ2：パイプラインのスループット低下（安全弁やポンプ制御の“安全側”活用）

  • 進行像（仮説）
    1. IT財務・在庫系から運転計画に関するデータ窃取（Collection/Exfiltration）
    2. 高需要期に限りコンプレッサの再起動指示タイミングを攪乱（ICS: Inhibit Response Function/Manipulate Control）
  • 関連ATT&CK（例）
    • Defense Evasion：Living off the Land（PowerShell/WMI/schtasks）
    • Credential Access：OS Credential Dumping、Token Impersonation
    • ICS：制御レスポンスの遅延・抑止
  • 影響
    • 数％〜十数％のスループット低下。公称の障害に見える一方、需給逼迫時には市場価格や下流操業に波及します。

• シナリオ3：復旧妨害型（“壊す”より“戻させない”）

  • 進行像（仮説）
    1. 監視・運用支援系（チケット、通話、リモート支援ツール）に静かに常駐
    2. 事故時に限って通信・チケット連携を部分的に毀損（Queueの詰まり、通話録音停止など）
  • 関連ATT&CK（例）
    • Impact：Inhibit System Recovery、Defacementよりも運用連絡網の部分断に重心
    • Command and Control：Multi-hop Proxy、Protocol Tunneling
  • 影響
    • 事象そのものは軽微でも復旧の初動が遅れ、メディア・規制対応での混乱が長引きます。

いずれも、派手な“破壊”より「タイミングと文脈」を突く作戦で、地政学的緊張の局面で“レバー”として効く設計です。メトリクス的に見ても、確度・即時性・実行可能性がバランス良く高く、決定的な一撃ではなく“確実に効く嫌がらせ”の集合として捉えると対策の焦点が合いやすいです。

セキュリティ担当者のアクション

“全部やる”のではなく、“今日から積める現実的な手”を列挙します。優先は「観測点の増設」と「正規経路の厳格化」です。

• 外縁・踏み台対策

  • 事業・ベンダのSOHOルータ／小規模拠点の棚卸しと遠隔管理の遮断（WAN側管理UI閉塞、最新FW、UPnP無効、既定パスワードの全面撲滅）を短期プロジェクト化します。
  • 外部からの管理アクセスは、固定アドレスの許可リスト＋TLSクライアント証明書＋JIT有効化で“地産地消C2”を通しにくくします。

• LoLハンティングの常設メニュー化

  • Windowsイベント（4688/4689/4648等）やSysmon（1/3/7/11等）を軸に、以下のコマンド実行・設定変更のベースライン逸脱を検出します（運用差分を踏まえ緩急を付けるのがコツです）。
    • wevtutil / PowerShell（-nop/-w hidden）/ wmic / netsh portproxy / schtasks / bitsadmin / certutil / rar/zipの異常利用
  • SMB/WinRM/PowerShell Remotingの横移動頻度と相手先ASNの変遷（住宅系ISPなど）を可視化します。

• アイデンティティの“剥がせる化”

  • ベンダ・現業の共有IDを廃止し、JIT/JEA（必要な時に必要な権限だけ）＋時間制限トークン化します。
  • ドメイン管理者／EWS操作権限の常時付与を禁止し、工事・切替などの“運用イベント”に連動した一時付与フローを作ります。

• OT境界の可視化と産業プロトコルの監視

  • ICS DMZの“実在確認”をやり直します。図面と現物の差分（暫定迂回、暫定NAT、暫定トンネル）を洗い出します。
  • DNP3/Modbus/IEC 60870-5-104/OPC UA/ICCPなどのフレーム・関数コードのベースラインを取り、許容しないコマンド種（書込、設定変更、時刻同期など）を定義します。

• ログとフローの“長持ち化”

  • 12カ月前後のネットフロー（v9/IPFIX）と境界装置ログの保持を検討します。居座りの呼吸は“薄いが長い”ため、短期保持では積み上がりが見えません。
  • ベンダ接続や夜間帯の“静かな横移動”に焦点を当て、監視の時間帯バイアスを是正します。

• プレイブックの“止めずに剥がす”版

  • OT停止を伴わずに隔離・観測・証跡確保・資格情報のローテーションを回す手順を、制御室・フィールドと共同で整備します。
  • 復旧妨害シナリオに備え、通信・通話・チケット連携のフォールバック（代替ルート、紙運用の最小キット）を定義します。

• 情報連携

  • 電力ISAC/E-ISACや国内コミュニティとのTTP・観測点共有を、IoCの文字列配布に留めず“どう観測し、どう捨てるか”の運用粒度で行います。

総合的に見ると、これは“一発で勝つ防御”の話ではないです。観測点を増やし、正規経路を絞り、資格情報を使い捨てにし、OTの現実と喧嘩しない手順で“薄い呼吸”を可視化する——地味ですが、その積み重ねが“居座り”のコスパを崩します。メトリクス上も、即応性と現実性のバランスが取れた手筋が多い局面です。大国間競争の長期戦であるほど、こうした地道な基盤整備が効いてきます。

参考情報

• The Register: Dragos年次報告とVolt Typhoonの継続活動の報道 https://go.theregister.com/feed/www.theregister.com/2026/02/17/volt_typhoon_dragos/
• CISA（AA23-144A）: PRC国家支援アクターによるLiving off the Land手法の勧告 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a
• MITRE ATT&CK（Enterprise/ICS）総覧 https://attack.mitre.org/