はじめに
重要インフラの運用者が、安全対策が不十分な産業機器をインターネットに接続するケースが増加しており、サイバーセキュリティ上の懸念が深刻化しています。この問題は、従来のレガシー技術に限らず、新たに導入される機器にも共通して見られる傾向です。
インターネットに晒される産業制御システム
セキュリティ企業Bitsightの報告によると、現在、約20万台の産業制御システム(ICS)がインターネットから公開アクセス可能な状態にあります。この数は、2024年初頭の16万台から年末には18万台へと13%増加しており、2025年末までには20万台を超える見込みです。
新たな脅威:レガシーシステムだけではない
Bitsightの研究者たちは、「これらは単に忘れ去られたレガシーシステムではない」と指摘しています。新しいICS/OT(運用技術)機器がインターネットに接続される際、しばしば古いまたは安全でないプロトコルを使用し、認証が最小限であるか、ネットワークセグメンテーションや攻撃対象領域の削減がほとんど考慮されていない状態で稼働していることが増えているとのことです。
深刻なリスクと脆弱性の詳細
インターネットに露出したOT機器は、エネルギー、水道、通信、医療、製造業といった幅広い分野の運用技術組織に重大なリスクをもたらします。Bitsightによると、これらの機器には、ロジックの欠陥、ウェブ認証バイパスの脆弱性、リモートコード実行を許す可能性のある脆弱性など、OT固有の脆弱性が増加しています。これらの脆弱性の中には、最高レベルの深刻度スコアを持ち、「燃料インフラ、ビルディングオートメーション、水処理システム、重要な製造業」を危険にさらす可能性のある「些細な悪用経路」を持つものも確認されています。
地理的分布と運用の課題
露出しているデバイスの数は、米国が8万台で最も多く、次いでイタリアが7万5千台、スペインが6万3千台となっています。Bitsightが調査した13の最も一般的なプロトコルのほとんどで、米国とヨーロッパにデバイスが集中しています。Bitsightは、一部のデバイスは企業従業員がリモートで管理するために意図的にインターネットに公開されている可能性を認めつつも、膨大な数の露出は「ICS/OT資産の管理とセキュリティの方法に不整合がある」ことを示唆していると述べています。
具体的な脅威事例
同社は、インターネットにアクセス可能な数千台の自動燃料タンク計測システム(燃料ステーションで燃料レベルを監視し、漏洩を検知し、ポンプのリレーやその他の周辺機器を制御するデバイス)を発見した事例を挙げています。これらのシステムの中には、パスワードを必要としないものや、安全でないプロトコルを介したログインをサポートしているものがありました。Bitsightは、「最悪の場合、これらのデバイスは燃料供給を遮断したり、安全上重要なパラメータを大規模に改ざんするために悪用される可能性がある」と警告しています。