なぜ、重要インフラが「パスワードなし」で公開されているのか
工場やインフラを支える産業用制御システムのうち約20万台が、現在インターネットからアクセス可能な状態にある。燃料供給や水処理など重要システムを危険にさらす高リスクな脆弱性も確認されている。
工場やインフラ系企業で利用される産業用制御システム(ICS)は、そもそもインターネットに接続する仕様にはなっておらず、接続した場合にはサイバー攻撃に弱いと語られることがある。
この意見が正しくないと主張するのが、サイバーセキュリティレーティング・プラットフォームを提供するBitsight Technologies(以下、Bitsight)だ。現在のICSはどのような状況に置かれているのだろうか。
なぜ、重要インフラが「パスワードなし」で公開されているのか
Bitsightは2025年9月25日(現地時間、以下同)、約20万台ものICSがインターネットからアクセスできる状態にあると発表した(注1)。これは古い機器がサポートされないまま放置されているという問題ではなく、脆弱(ぜいじゃく)性を抱えたまま新たに稼働を開始した機器だという。
同社によると、公開状態にあるICS機器の数は2024年初めで16万台だったが、2024年末には18万台を超えており、13%増加した。同社は2025年末までに20万台を超えると予測した。
「これらの全てが放置されたレガシーシステムというわけではない。新たに稼働を開始した産業用制御や運用技術(OT)に関連する機器がインターネットに接続されるケースが増えている。これらの多くは、古い通信プロトコルや安全性の低い通信プロトコルを使用しており、認証も最小限しかなく、ネットワーク分離や攻撃対象領域の削減といった基本的なセキュリティ対策がほとんど考慮されていない状況にある」(Bitsightの研究者)
インターネットにさらされたICS機器はエネルギーや水道、通信、医療、製造などの幅広い分野で運用技術を提供する組織に重大なリスクをもたらす。これまで多くのサイバーセキュリティ専門家が、この問題をレガシー技術の観点から捉えており、放置されたり老朽化したりした産業機器がもたらす危険性として警告してきた。しかし、Bitsightの報告書は、新規に導入された機器であっても同様のリスクを抱えている事実を明らかにした。
Bitsightによると、インターネットにさらされたOT機器には、運用技術分野で特有の脆弱性が増える傾向にあるという。それはロジックの欠陥やWeb認証の回避が可能になる欠陥、リモートでコードを実行される恐れのある脆弱性などだ。研究者は「これらは特殊なバグではない」と記した。同社は深刻度を示すスコアが最高レベル、かつ容易に悪用できる経路を備えた脆弱性を確認しており、中には燃料インフラやビルの自動化システム、水処理施設、重要な製造システムなどを危険にさらす恐れのある欠陥も含まれていると指摘した。
特定のプロトコルに問題があるのではなかった
さらに事態を悪化させているのは、特定のOTネットワークプロトコルだけに問題があるのではなかったということだ。同社の調査では、分析対象となった主要な13種類のプロトコルの大半で、インターネットにさらされる機器の数がわずかに増加していることを確認した。
公開されている機器の数が最も多かったのは米国で8万台、次いでイタリアが7万5000台、スペインが6万3000台だった。同社が調査したプロトコルを使って公開されている機器の大半は米国と欧州に集中していることが分かった。
Bitsightは特定した機器の一部について、企業の従業員がリモートで管理できるように、意図的にインターネットに接続可能な設定にしている場合もあると認めた。それでも公開状態にある機器の膨大な数を踏まえると、ICS機器とOT資産の管理やセキュリティの在り方に根本的な食い違いがあるのではないかと指摘した。
Bitsightはセキュリティ面で不十分なインターネット接続機器が、現実世界でどのような被害をもたらす可能性があるのかを示す具体例を挙げた。
燃料ステーションに設置される「自動タンク計測システム」が数千台もインターネットからアクセス可能な状態になっていることを同社が発見したことは何を意味するのだろうか。これらの装置は燃料の残量の監視や漏れの検知、ポンプリレーや周辺機器の制御に使うものだ。自動タンク計測システムの中にはアクセスにパスワードを必要としないものや、安全性の低いプロトコルでログインできるものも含まれていたという。同社は「最悪の場合、これらの装置が悪用されて燃料供給が遮断されたり、安全上重要なパラメーターを大規模に改ざんされたりする恐れがある」と警告した。
出典:Critical infrastructure operators add more insecure industrial equipment online(Cybersecurity Dive)
注1:The Unforgivable Exposure of ICS/OT(Bitsight Technologies)
関連記事
重要インフラのサイバー防御に穴 政府が示した"基本"の対策とは?
IT機器と比較して、重要インフラのサイバー防御は不十分だ。インフラ機器にはセキュリティのための機能が備わっていないことも多い。ではどのような対策が求められているのだろうか。
エネルギー業界を狙うサイバー攻撃が相次ぐ 日本企業も備えが必要か
石油関係の事業を営む大手企業が相次いでサイバー攻撃を受けている。エネルギー供給が停止すると世界経済に与える影響が大きい。
次は日本か 自動車産業を狙う大規模サイバー攻撃
自動車業界は産業規模も大きく、サイバー攻撃で狙われた場合、損害は計り知れない。2024年6月の攻撃事例を振り返る。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 「OneDrive」に加わった新設定、Copilotを積極活用する企業は少し注意?
- 「もうWindowsセットアップの裏ワザが使えない」新対策にユーザーは大迷惑?:851st Lap
- JTBのCopilot活用、約3240時間の業務削減効果を見込む、「自分の業務にどう生かせるか」具体的なイメージに
- 「分かっているのにやってしまう」 セキュリティ行動経済学
- 法務に使える生成AIはどれ? デジタル庁の“法令クイズ”で4ツールをテストしてみた
- M365 Copilotの一部機能が無償化 Excel、WordなどのAI機能が追加ライセンス不要に
- VPNが危ない 「脱VPN」を考えるあなたの会社はどうすればよいのか
- スノーピークの子会社が明かす、データ活用が「うまくいく組織」「いかない組織」の違い
- NotebookLMで議事録作成を95%削減、秋田、札幌市の「Google Workspace」活用の秘訣
- さいたま市役所がローコード開発ツールの備品管理システム導入、オープンソースソフトでコスト抑える
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。