CyberAv3ngersが「見せる攻撃」から「止める攻撃」へ──IRGC-CEC関与疑い、Rockwell PLC悪用とカスタムICSマルウェアが示す実害フェーズです

今日の深掘りポイント

• ハクティビズムの演出段階から、運用妨害・安全余裕度の切り崩しへ舵を切った兆しです。特に水とエネルギーの現場で「止まる」「誤作動する」を意図する設計が見えます。
• Rockwell系PLCの悪用は「広く普及する標準プロトコル×誤ったネット露出×工程知識の断片」を組み合わせる現実的な脅威モデルです。0-dayがなくても止められます。
• カスタムICSマルウェアの存在は、単発のHMI改ざんから、工程に踏み込み持続的に干渉する能力への進化を示します。関連グループへのTTP水平展開は、攻撃の“再現性”を押し上げます。
• 本件に付随する制裁・報奨は地政学的な緊張を伴うため、直接の標的外でも同調・模倣攻撃の波及を想定すべきです。日本企業の米州拠点やグローバル工場網は要注意です。
• メトリクス全体像は、緊急度・確度・信頼性が高く、早期の防止策が検知よりもリスク低減効果を持つ局面であることを示唆します。まず“露出の遮断と権限の絞り込み”から着手すべきです。

はじめに

「水が出ない」「ポンプが勝手に止まる」。OTの現場でこれほど直接的な恐怖はありません。CyberAv3ngersは、イラン革命防衛隊サイバー電子司令部（IRGC-CEC）と結びつけられてきたハクティビスト色の強い集団として知られてきましたが、ここにきて米国の水・エネルギー・政府施設に対し、カスタムICSマルウェアとRockwell AutomationのPLC悪用という、運用実害を狙うラインに踏み込んだと報じられています。米政府は関与個人への制裁と報奨金を示し、米当局の共同警告は実際の運用混乱と財務損失の発生を指摘しています。さらに、同グループの技術が多数の関連グループに拡散しているという観測は、攻撃の再現性と広がりを底上げする要因です。

本稿では、公開情報とベンダーブログに基づく事実の輪郭を押さえつつ、SOC/OT/経営の各視点から「どこにリスクが立ち上がり、何から手を打つべきか」を掘り下げます。なお、一部は現時点での公開情報をもとにした仮説を含みます。その旨を明示しつつ、過度な断定は避けます。

深掘り詳細

事実関係の整理（公開情報ベース）

• CyberAv3ngersはIRGC-CEC関連とみられ、米国の重要インフラ（特に水・エネルギー・政府施設）を標的として活動を継続しています。近時はカスタムICSマルウェアを用い、Rockwell Automation製PLCの悪用が報じられています。米政府は関与個人に制裁を科し、情報提供に報奨金を提示しているとされています。共同警告では、複数組織で実際に運用混乱と財務的損失が確認された旨が伝えられています。さらに、同グループの技術・手口が多くの関連グループへ拡散していると報じられています。
• 上記の動向は、ベンダー側の技術解説でも整理されています。参考までに、TenableはCyberAv3ngersの概況と、重要インフラを狙う脅威としての位置付けを概説しています（詳細は参考情報のリンク先を参照ください）です。
  • 参考: Tenable: What to know about CyberAv3ngers, the IRGC-linked group targeting critical infrastructure

（注）本節の要点は、提供情報と公開二次情報に基づく整理です。追加の一次資料が公開され次第、更新します。

編集部のインサイト（何が“いま”変わったのか）

• 実害フェーズへの移行が意味するもの
  • HMI改ざんなど可視化重視の“見せる攻撃”から、工程干渉や制御停止といった“止める攻撃”へ軸足が移りつつあると見ます。カスタムICSマルウェアの投入は、対象機器・工程を前提にした「プロセス前提知識」の内在化を示唆します。これは偶発的ではなく、同種設備への複製可能性（テンプレ化）を押し上げます。
• Rockwell悪用の実務的インプリケーション
  • Rockwellはグローバル製造業や一部の水処理・エネルギーで広く採用され、EtherNet/IP（CIP）など標準プロトコルの実装が豊富です。攻撃者は0-dayを要せずとも、インターネット露出、デフォルト/共有認証、弱いリモートアクセス（VNC/RDP/VPNの肥大化）などの“運用のほころび”を足がかりに、制御ロジックの読出し・書換え、制御状態の変更、設定値の撹乱といった工程干渉を狙えます。これはパッチ適用の難しいOTにとって本質的な弱点です。
• “拡散性”の怖さ
  • 特定ベンダの装置に対する手順書やツールがコミュニティ内で再利用可能になると、準熟練者でも「プラントを揺らす」ことが現実味を帯びます。関連グループへの拡散は、攻撃の同時多発性と継続性を強化します。結果として、守る側は“個別の脆弱性対応”では追いつかず、“露出を持たないアーキテクチャ”への転換が必要になります。
• 日本の事業者にとっての現実
  • 国内の水道・電力では国産PLCの比率が高い一方、製造・化学・物流ではRockwell系を含む多ベンダ混在が珍しくありません。米州の生産拠点や現地子会社経由でTTPが波及するシナリオは十分現実的です。さらに、ベンダによるリモート保守やグローバルSCADAの集中監視は、境界の“萎み”をもたらします。自社を直接狙っていない攻撃でも、踏み台・波及の経路上に“たまたま”載ってしまうのが2020年代後半のリスク像です。

脅威シナリオと影響

以下はMITRE ATT&CK（特にATT&CK for ICS）の構造に沿って組み立てた仮説ベースのシナリオです。実環境への当てはめは、ネット露出状況とベンダ構成、運転モード（RUN/PROGRAM）などの運用実態に応じて見直してください。

• シナリオ1：インターネット露出PLCへの直接干渉
  • 初期侵入（Initial Access）: インターネットに露出したPLC/HMIの既知機能や既定認証の悪用、もしくは公開Webインターフェースの脆弱性悪用です。
  • 実行（Execution）: CIP/Modbus経由の制御コマンド送信、プログラム状態変更（RUN→PROGRAM）、I/O強制です。
  • 永続化（Persistence）: 制御ロジックへの微小な変更埋め込み、スケジュール化された挙動の付与です。
  • 発見・横展開（Discovery/Lateral Movement）: PLCから見えるサブネットの機器同定、エンジニアリングWS探索です。
  • 影響（Impact）: ポンプ停止、アラーム抑止、設定値の微小改ざん（品質低下や保護協調の乱れ）です。
• シナリオ2：インテグレータ/保守ベンダ経由の侵入
  • 初期侵入: ベンダのVPN/RDP/リモート保守経路の認証情報搾取や、委託先PCのマルウェア感染です。
  • 実行: エンジニアリングステーションに“カスタムICS支援ツール”を展開し、プロジェクトファイルを介してロジックを変更です。
  • 影響: 設備稼働には致命的でないが、断続的な停止・誤報・過負荷を誘発する“嫌がらせ”を長期化です。
• シナリオ3：HMIの可視化改ざんと工程干渉の組み合わせ
  • 初期侵入: SCADA/HMIサーバの脆弱性悪用または横移動です。
  • 実行: 画面改ざんによる操作者の錯誤誘導と、裏での設定値変更の併用です。
  • 影響: 現場の状況認識を狂わせ、手動対応を誤らせることで、物理的なストレスや品質逸脱を誘発です。

MITRE ATT&CK観点（主なTactics/Techniquesの例示。IDは環境依存のため割愛します）:

• Initial Access: 公開サービス悪用、外部リモートサービス、正規アカウント悪用です。
• Execution: 制御ロジックのダウンロード/アップロード、コマンド/制御機能の乱用です。
• Persistence: プロジェクト/ロジック改変、スケジュール化トリガ埋め込みです。
• Discovery: デバイス識別取得（CIPのList Identity等）、ネットワーク探索です。
• Lateral Movement: リモートサービス横移動、ICSプロトコル乱用です。
• Command and Control: 標準プロトコル/HTTP(S)/VPNトンネルの再利用です。
• Impact: 可用性低下（停止、遅延）、応答機能の妨害、設定値/アラームの改ざんです。

想定インパクト:

• 直接損害としての操業停止・品質逸脱・設備損耗に加え、規制順守（飲料水安全、電力品質等）と公衆の信頼に打撃です。金銭的損失は突発停止・復旧コスト・罰金・風評の四重苦になりがちです。
• 組織学習の観点では、“検知依存”のアーキテクチャは後手に回ります。露出の排除、権限の最小化、物理・運用のセーフガード（RUNキー固定、現場側の手順）を先行させることが、最短でリスクを引き下げます。

メトリクスの示唆（編集部見解）:

• 新規性と緊急度が同時に高い一方、発生確度と情報の信頼性も高水準というバランスは、「広く展開し得る実害型TTPが流通し始めた」局面を示します。対症療法的なパッチ適用では追いつかず、“いま露出しているものを今日消す”ための組織横断オペレーションが最も費用対効果が高いと判断します。

セキュリティ担当者のアクション

“検知より先に遮断を”の順序で、72時間・2週間・90日という三つのタイムハウスで整理します。現場の安全と操業継続を最優先に、無理のない手順化を心がけてくださいです。

• 最初の72時間（緊急遮断）

  • インターネット露出の即時ゼロ化です。
    • すべてのPLC/HMI/エンジニアリングWS/SCADAサーバについて、外部到達性（80/443/44818/502/3389/5900/1723/VPN等）を棚卸し、NAT/ポートフォワードを即時閉塞です。
    • 必要な遠隔は一旦止め、“安全に止める”を優先です。
  • Rockwell関連資産の特定と現場確認です。
    • 制御盤のコントローラ型番、通信カード、鍵スイッチ状態（RUN/PROG/REM）を点検し、可能ならRUN固定と物理施錠です。
  • ベンダ/委託先のリモート経路の一時停止と代替手順です。
    • 永続トンネルや常時接続の保守端末は切断し、現場立会いの一時作業に切替です。
  • ログの保全です。
    • エンジニアリングWS（Windows）のイベントログ、SCADAサーバの監査、PLCのプログラム変更履歴（ベンダ機能に依存）を保全です。

• 2週間以内（体制の立て直し）

  • アクセス制御の再設計です。
    • 跳び箱（ジャンプサーバ）方式、時間制限アカウント、個人紐付け、申請承認のワークフロー化です。
    • 共有/デフォルト資格情報の全廃と保管の金庫化（パスワードボルト）です。
  • ネットワーク分離と最小到達性の実装です。
    • OT/IT間は明示的許可のみ通すL3/L4制御、OT内もゾーン/コンジットでセグメントです。
    • CIPやModbusの書込み系機能は工程上必要な通信先のみに到達を限定です。
  • 変更監視の常設化です。
    • “誰が・いつ・どのプロジェクト/ロジックを変更したか”を取れるよう、エンジニアリングWSとSCADAの監査をSIEM連携です。
    • ネット監視でCIPの不審コマンド（List Identity乱発、書込み系サービス、頻回のDownload/Upload）を検出です。
  • ベンダ通達/アドバイザリの定常追跡です。
    • Rockwellのセキュリティ通達を定例レビューし、パッチ不能箇所は代替統制（物理鍵、到達制御、監視強化）で補完です。

• 90日以内（持続可能な強化）

  • OTインシデント対応ランブックの整備です。
    • セーフステート移行（安全に止める／手動運転に移す）、指揮系統、対外説明、法規対応を一冊化し、演習です。
  • 供給網統制の契約明記です。
    • ベンダの遠隔アクセス要件（MFA、時間制限、個別ID、完全ログ、緊急遮断スイッチ）を契約に織り込み、監査可能化です。
  • 設計方針の転換です。
    • 「初めから外に出さない」「鍵で物理的に書換え不能を担保」「標準プロトコルでも“誰に何をさせるか”を網側で制御」の三本柱で再設計です。
  • 経営ダッシュボードの可視化です。
    • “インターネット露出ゼロ率”“共有資格情報撲滅率”“OT変更の四半期監査完了率”など、行動指標を経営レポーティングです。

検知・狩りのヒント（SOC向け）:

• OT側でのネット観測が難しい場合でも、エンジニアリングWS/ジャンプサーバのWindowsログ（新規サービス作成、外部RDP、異常なアーカイバ利用）、SIEMでのCIP/Modbusの異常頻度、HMIのファイル改変をフックにできます。
• フィールドでは、コントローラのステート変更ログ、予期せぬプログラム差分、I/Oの手動強制の痕跡が兆候です。現場点検の“人の目”が最良のセンサーであることを忘れないでくださいです。

最後に。今回の動きは“0-dayの有無”ではなく、“露出と運用の甘さ”が攻撃の差し込み口であることを改めて示しました。守る側に必要なのは、豪華な検知の前に、露出を消し、権限を絞り、変更を見える化する“地味で強い”三点セットです。今日、できるところから確実に一歩を進めてくださいです。

参考情報

• ベンダ解説（概況）: Tenable: What to know about CyberAv3ngers, the IRGC-linked group targeting critical infrastructure