はじめに

本レポートは、Dragos社が収集・分析した最新事例・データをもとにOT/ICS分野のサイバーセキュリティ動向を体系的に解説し、現場の管理者やセキュリティ担当者が取るべき具体的な防御策を明らかにします。

【レポート公開にあたって、Dragos CEO Robert..（Robert M. Lee）からのビデオメッセージ】
Dragos, Inc. 創業者 兼 最高経営責任者(CEO)

グローバルな脅威環境と攻撃手法の進化

2024年のOT/ICSを取り巻く脅威環境は、ウクライナ・ロシア、中東、アジアなど世界各地の地政学的緊張に大きく影響されました。特に目立ったのは、国家支援型APTグループのみならず、「ハクティビスト」「ランサムウェア犯罪グループ」など、より幅広い攻撃者による産業分野への積極的な侵入です。

主要数値ハイライト（PDFグラフより抜粋）

• 2024年のOT/ICSへのランサムウェア攻撃は前年比87%増、Dragosが追跡したランサムウェアグループ数も60%増加。
• ランサムウェア攻撃の69%が製造業を標的。
• 23の脅威グループをDragosが追跡、そのうち9つが2024年に活動。
• 脆弱性アドバイザリの22%に誤記、70%の脆弱性はネットワークの奥深くに存在。
  
  

攻撃の特徴として、

• デフォルト設定・公開端末・レガシー機器など「セキュリティの隙」を狙う
• 侵入後にシステム内部で拡散し、横展開やランサムウェア展開
• 重要プロセスを安全停止できず業務が停止、復旧困難となるケースが多発 などが挙げられます。

主要脅威グループと攻撃事例

• KAMACITE／ELECTRUM：ロシアの軍事的目的に沿ってウクライナの発電設備や通信企業等を攻撃。新種マルウェア（Kapeka等）やLinuxワイパー（AcidPour）を投入。
• VOLTZITE（Volt Typhoon系）：中国国家系とされ、世界各国のSOHOルータや重要インフラのネットワークマップ（GISなど）を窃取。既存機器の弱点を突くLiving-off-the-Land攻撃が特徴。
• 新規グループ（GRAPHITE, BAUXITE）：ウクライナ、中東情勢を背景に、フィッシング・マルウェア投入・SSH機器悪用や遠隔操作系攻撃を拡大。

マルウェアとランサムウェア、増加する“業務妨害型”攻撃

2024年はICS機器専用のマルウェア出現が相次ぎました（例：Fuxnet, FrostyGoop等）。

• Fuxnet：ロシアのMoskollektorに対し、センサネットワークやゲートウェイ機器を物理的に破壊・機能喪失させる攻撃を実施。
• FrostyGoop：ウクライナで600棟超の暖房停止被害を発生させたModbus機器攻撃用マルウェア。

ランサムウェアも進化し、2024年は「製造業」への攻撃が顕著。ITネットワークからOT領域へ横移動し工場停止・サプライチェーン断絶を招く事例も多発しました。（LockBit, RansomHub等が大規模攻撃を主導）

脆弱性・サプライチェーン・IoTリスク

• 産業機器ではアップデート不能あるいは「設計上安全でない（insecure-by-design）」脆弱性が独特のリスクをもたらしています。
• サードパーティ製コンポーネントやIoT機器（例：Miraiボットネット感染事例等）が攻撃対象として拡大。
• DLLハイジャックのようなWindows系固有リスクも多発しており、過去のStuxnet等に始まりAPT攻撃でも多用。

推奨される防御ポイント（SANS ICS 5 Critical Controls）

受動防御型・「反応型セキュリティ」から脱却する必要が指摘されており、以下5項目が繰り返し推奨されています。

1. インシデント対応計画の整備・訓練
2. ネットワーク分割や公開範囲見直し等「防御可能なアーキテクチャ」構築
3. OTに特化した監視・可視化ソリューション導入
4. ベンダー・リモート接続等の安全設計
5. リスクベースでの脆弱性管理と資産洗い出し

最後に