脅威活動の活発化に伴い、ICS/OT攻撃が急増している
ここ2年間で、産業用制御システムや運用技術(OT)に対する攻撃は、単なる理論上のリスクから現実の脅威へと変化しました。国家主体の攻撃者はもはや、重要インフラ内部に潜伏しているだけではありません。彼らは実際に攻撃を実行しています。OT環境を標的とする国家支援型攻撃者にとって、ランサムウェアに代わってワイパー型マルウェアが主要な攻撃手段となっています。ほぼすべての重大なインシデントには、ある共通点があります。それは、誰も監視していなかった信頼境界を、悪意のあるファイルが突破してしまったということです。
本記事では、2024年から2026年初頭にかけてのICS/OTの脅威情勢について、単なるAPTの名称やCVE番号の羅列ではなく、一つの物語として解説します。まずは全体像、つまり何がいつ発生したのかから始めます。次に、その背後にいる犯行グループや手口について考察し、最後に特定のインシデントを詳細に分析することで、現代のICSワイパー攻撃が内部から見てどのようなものなのかを明らかにします。
主な数値
- 2025年には、119のランサムウェアグループがOT環境を標的にして活動しており、2024年の80グループから49%増加した
- ランサムウェアの被害者の3分の2以上が製造業であり、最も標的とされた業種であった
- 「Volt Typhoon」は、米国の電力会社のOTネットワーク内で300日以上にわたり、検知されることなく活動していた
- 2024年から2025年にかけてだけで、ICS/OTを標的としたサイバー攻撃が6件発生し、これは同期間における過去最多の件数である
ICS/OTインシデントのタイムライン概要
これらの攻撃の背後にいる人物やその手口を分析する前に、時系列で把握しておくと理解が深まります。以下の表には、この期間に発生したすべての重要なICS/OTインシデントを、業種、脅威アクター、地域ごとに分類してまとめました。詳細に掘り下げる前に、全体像を把握するのに役立ててください。
日付 | 事案 | セクター | 俳優 | 地理 |
2026年4月 | ロックウェル社のPLCを悪用するイランのAPT――全米の重要インフラで業務に支障をきたす | エネルギー・水・政府 | IRGC-CEC / CyberAv3ngers クラスター | 米国 |
2026年3月 | 「Handala」ワイパーがストライカーをダウンさせる――79カ国で20万台以上の端末が初期化されたと報告 | ヘルスケア | ハンダラ/ヴォイド・マンティコア (MOIS) | 世界(79カ国) |
2025 | DynoWiperは、ポーランドの電力網および再生可能エネルギー分散型エネルギー資源(DER)をターゲットとしています | エネルギー | サンドワーム / エレクトラム (GRU) | ポーランド(NATO) |
2025 | ウクライナの重要インフラに対し、PathWiperが展開された | 重要インフラ | ロシアとの関連 | ウクライナ |
2025 | ボーキサイト/BlueWipe-SewerGoo ワイパーキャンペーン | エネルギー貯蔵 | ボーキサイト(IRGC-CEC) | イスラエル |
2025 | PYROXENEのワイパーは、政府機関および重要インフラを標的としている | 政府・重要インフラ | パイロクセン(IRGC-CEC/APT35) | イスラエル、アルバニア |
2025 | シルバナイト → ボルツァイトのサプライチェーンへの侵入 | エネルギー・水 | 中国政府系 | 米国 |
2025 | KAMACITEが米国の産業関連施設を調査中 | 製造業 | ロシア(GRU関連) | 米国 |
2025 | Z-PENTESTがノルウェーのダムのHMIを侵害 | 水・ダム | Z-PENTEST(親ロシア派) | ノルウェー |
2024年1月 | FrostyGoopがModbus TCPを介してリヴィウの地域暖房システムを妨害 | エネルギー・暖房 | ロシアと関係のある | ウクライナ |
2024 | Volt Typhoon / VOLTZITE — 米国の電力会社での運用実績300日以上 | エネルギー・水 | PRC(ボルト・タイフーン) | 米国 |
2024 | AcidPourワイパーがウクライナの通信インフラを標的にしている | 通信 | サンドワーム (GRU) | ウクライナ |
2024 | サンドワーム・スプリング — エネルギー・水道業界に対するサプライチェーン攻撃 | エネルギー・水 | サンドワーム (GRU) | ウクライナ |
2024年8月 | ハリバートンがRansomHubの攻撃を受ける――被害額は3500万ドル | 石油・ガス | ランサムハブ | 米国 |
2024 | Fuxnetがモスクワの公共事業用センサーインフラを破壊 | ユーティリティ | ブラックジャック(ウクライナ関連) | ロシア |
2024年9月 | カンザス州アーカンソーシティの水処理施設を標的としたランサムウェア | 水 | ハザードランサムウェア | 米国 |
2023–24 | CyberAv3ngers / IOCONTROL — 米国の水道施設で75台以上の機器が侵害される | 水 | IRGC(イラン) | アメリカ合衆国、イスラエル |
2024年1月 | テキサス州ミュールシューの水タンク溢水(HMIの露出による) | 水 | ロシア・サイバー軍_リボーン | 米国 |
増加するワイパー型キャンペーンと拡大するOT標的
その勢いは加速している。2025年だけでも、ICS(産業用制御システム)やOT(オペレーショナルテクノロジー)を標的としたサイバー攻撃は、過去いかなる年よりも顕著に増加した。地理的な広がりも拡大し、ウクライナ・ロシアの戦域にとどまらず、ポーランドなどのNATO加盟国、ノルウェーを含む西ヨーロッパ、そしてイスラエルを含む中東にまで及んでいる。また、標的となるセクターも、エネルギーや水道分野にとどまらず、医療、通信、製造業へと広がっている。
これらの攻撃は、国や業界、被害者を問わず多岐にわたりますが、その始まりはすべて同じです。つまり、誰の目にも留まらずにすり抜けたファイルから始まるのです。たった一つを開くだけで、それが破壊を目的として作られたものであることがすぐにわかります。
国家主体の組織やハクティビスト集団がDrive 攻撃をDrive
上記のタイムラインは情報量が多いが、無秩序なものではない。一連の事件は、それぞれ独自の動機、能力、および標的を持つ少数のグループを中心に発生している。
ロシア――依然として最も活発なICS脅威
この期間におけるICSを標的とした活動の大部分は、ロシアと関連のある主体によるものであり、これらは役割の異なる複数のグループを通じて活動している。
サンドワーム(ELECTRUM)は、依然として世界で最も手腕のあるICS(産業用制御システム)を標的とする攻撃グループである。2025年12月にポーランドの電力網に対して行われた彼らの攻撃では、コージェネレーション施設や風力・太陽光などの再生可能エネルギー制御システムを含む、約30カ所の分散型エネルギー施設が標的とされた。これは、分散型エネルギー資源を大規模に標的とした初の組織的なサイバー攻撃であった。
この攻撃で使用されたマルウェア「DynoWiper」は、エネルギーインフラを標的としたWindows PEワイパー型マルウェアであった。これは分散型エネルギー資源(DER)施設内のWindows搭載マシンを消去し、一部のOT(運用技術)およびICS(産業制御システム)機器を修復不能な状態に陥らせた。停電は発生しなかったものの、攻撃者は電力網の運用に不可欠なOTシステムへのアクセス権を獲得した。
以前、同グループは「PathWiper」キャンペーンにおいて、VBScriptドロッパーと、MFT 破壊しMFT すべてのドライブ上のファイルを上書きするPEワイパーを組み合わせて、ウクライナの重要インフラを標的にした。2024年には、Linux ELFワイパーである「AcidPour」をウクライナの通信インフラに対して展開し、エネルギーおよび水道システムを標的としたサプライチェーン攻撃を仕掛けた。
KAMACITEは、基盤となるインフラ層として機能している。2025年、このGRUと関連するグループが、米国の産業施設を対象とした偵察スキャンを行っているのが確認された。これは、過去においてELECTRUMの破壊活動に先立って行われてきた準備活動に相当するものである。
中国――忍耐強く、奥深く、そしてその影響力を拡大しつつある
中国のアプローチは、ロシアのそれとは根本的に異なる。ロシアの勢力が破壊する一方で、中国の勢力は粘り強く活動を続ける。
VOLTZITE(Volt Typhoon)が、米国の電力会社のOTネットワーク内に300日以上にわたり潜伏し、GISデータやOTシステムの設定情報を盗み出していたことが確認された。これは単なるスパイ活動ではなかった。その潜伏パターンは、将来の米国電力インフラへの妨害行為に向けた準備と一致している。
2025年、SYLVANITEの初期侵入ブローカーは、Ivanti VPNアプライアンス、F5デバイス、およびその他のエッジインフラストラクチャの脆弱性を迅速に悪用した。その後、これらの足掛かりはVOLTZITEパイプラインに組み込まれ、OTシステムへのさらなる侵入に利用された。標的は電力会社と水道事業者の両方に拡大した。
2025年に新たに確認されたグループ「AZURITE」は、中国に関連するOT(オペレーション・テクノロジー)標的型攻撃の激化を示すものである。AZURITEは、米国、オーストラリア、欧州の製造、防衛、自動車各セクターにおけるOTエンジニアリング用ワークステーションを積極的に標的としている。同グループは、ネットワーク図、アラームデータ、プロセス設定情報の窃取に重点を置いている。
イラン――一線を越え、物理的な衝突へと発展
この期間、イランの国家支援を受けたアクターは、機会主義的なアクセスから、物理的プロセスへの意図的な標的化へと、決定的な転換を図った。
CyberAv3ngers(BAUXITE / IRGC)は、2023年から2024年にかけて、米国内の複数の水道施設で75台以上のデバイスを侵害し、その中にはペンシルベニア州の増圧ステーションにおけるPLCの直接的な乗っ取りも含まれていた。同グループが使用したマルウェア「IOCONTROL」は、デバイスのファームウェア更新パッケージにMQTTベースのコマンド&コントロール機能を組み込んだLinuxバイナリであり、OTデバイスの侵害を目的に特別に開発されたものである。 2025年、BAUXITEグループは、イスラエルのエネルギーおよび貯蔵インフラに対し、BlueWipe-SewerGooワイパーの亜種を展開した。
PYROXENE(IRGC-CEC、APT35と活動範囲が重複)は、2025年にイスラエルとアルバニアの重要インフラおよび政府ネットワークを標的とした。同グループは、ソーシャルエンジニアリングとサプライチェーン攻撃を組み合わせて、PEワイパー型ペイロードを配布した。
ハンダラは、ハクティビズムと国家主導の破壊活動との境界線が曖昧になっていることを象徴している。複数の脅威インテリジェンス企業により、イラン情報保安省の後援を受ける「ヴォイド・マンティコア」という脅威アクターのフロント組織であると評価されているこのグループは、2023年後半に活動を開始し、それ以来、イスラエルの標的に対して継続的なワイパー攻撃を展開している。
彼らの攻撃ツールキットは技術的に高度だ。流暢なヘブライ語で書かれたフィッシングメールを通じてNSISインストーラーが配信され、これがAutoITスクリプトを起動して、正規のWindowsプロセスにワイパーを注入する。最終的なペイロードは、ファイルをランダムなデータで上書きし、脆弱性のあるドライバーを利用して権限を昇格させ、データをAPI TelegramのAPI 介してシステム情報を外部へ流出させる。
このインストーラーは、ファイルが分割され、偽の名前が付けられ、実行中にコマンドが組み合わされるなど、多くの複雑な要素を含んでいます。しかし、実際にはどのステップも、単にファイルが追加で配置され、実行されるという一連の動作に過ぎません。サンプルを解析すると、ワイパーがデータを消去する前の全プロセスが明らかになります。
2026年3月、ハンドラはフォーチュン500にランクインする医療機器メーカーのストライカーを攻撃し、同社のエンドポイント管理プラットフォームであるMicrosoft Intuneを悪用して、79カ国にまたがる端末のデータを消去した。破壊段階において、独自のマルウェアは一切必要とされなかった。管理者権限を持つIntuneへのアクセス権により、登録された端末を一括で無効化できるキルスイッチが提供されていたのである。
2026年4月、米国の6つの政府機関による共同勧告において、少なくとも2026年3月以降、同じイランのハッカー集団が、政府機関、水道、エネルギー関連の標的にあるインターネットに接続されたロックウェル社製PLCに対して、積極的に妨害活動を行っていたことが警告された。攻撃者は、正規のロックウェル社製エンジニアリングソフトウェアを使用し、既知の認証バイパス(CVE-2021-22681)を悪用して、PLCのプロジェクトファイルを改ざんし、オペレーターディスプレイを操作していた。 これは、米国国内における産業プロセスの積極的な妨害行為であった。
ハクティビスト――物理層への侵入
この期間、親ロシア派のハクティビスト集団は新たな段階へと踏み込んだ。2025年、Z-PENTESTは ノルウェーのダムにあるインターネットに接続されたHMIを、脆弱なパスワードを利用して侵害し 、物理的な水管理システムを操作する能力を獲得した。また、CyberArmyofRussia_Rebornはテキサス州ミュールシューのHMIにアクセスし、スタッフが手動操作に切り替える前に貯水タンクを溢れさせる事態を引き起こした。
これらは高度な攻撃ではありません。単純で、好機を逃さず、その影響はますます深刻化しています。OT環境において物理的な混乱を引き起こすためのハードルは、多くの運用担当者が想定しているよりも低いのです。
ファイルベースの攻撃、ワイパー、およびIT/OT間のピボッティングが、ICS/OTへの侵入の特徴となっている
異なる主体、分野、地域にまたがるこれらの一連の事案を通じて、一貫した一連のパターンが浮かび上がってくる。
ワイパーは、最も主要な破壊ツールとなっている
これは、ICSおよびOTにおける脅威活動の最も顕著な傾向です。 2024年から2025年にかけてだけでも、少なくとも6つの異なるワイパー型攻撃キャンペーンが産業および重要インフラ環境を標的としました。具体的には、ポーランドのエネルギー部門を標的とした「DynoWiper」、ウクライナの重要インフラを標的とした「PathWiper」、ウクライナの通信部門を標的とした「AcidPour」、イスラエルのエネルギー部門を標的とした「BAUXITE」または「BlueWipe-SewerGoo」、イスラエルとアルバニアの政府および重要インフラを標的とした「PYROXENE」、そして世界の医療分野を標的とした「Handala」です。
ワイパー型マルウェアは、より標的を絞った攻撃を行うようになってきています。DynoWiperは、ポーランドのエネルギーインフラを標的として展開され、分散型エネルギー施設にあるWindowsベースのマシンを消去し、一部のOT機器を復旧不能な状態に陥らせました。PathWiperは、ファイルを上書きMFT MBRとMFT 破壊し、復旧を極力困難にします。AcidPourは組み込みLinuxデバイスを標的とし、OT機器で使用されているUBIボリュームやDevice Mapperパーティションを消去します。
HandalaによるStrykerへの攻撃は、これとは異なる進化の形態を示した。攻撃者は、特注のマルウェアを大規模に展開する代わりに、「Microsoft Intune」という正規の企業向け管理ツールを悪用し、登録済みのデバイス全体に対して一斉にデータ消去コマンドを発行した。これにより、組織自身のインフラが事実上、攻撃の武器へと変貌した。これらは、OT向けに転用された汎用ツールではない。それらは、影響を与える環境に合わせて設計されたり、その環境に組み込まれたりしているものである。
ICSを標的としたマルウェアは、その手口がますます巧妙化している
FrostyGoopは、重要な節目となる事例として特筆に値する。2024年1月にリヴィウの地域暖房システムに対して展開されたこのマルウェアは、実稼働環境においてModbus TCPプロトコルを直接悪用した初の事例となった。Go言語で記述され、Windows PEバイナリとしてコンパイルされたこのマルウェアは、エンジニアリングネットワークを経由して配信され、ファイル転送を通じてIT環境からOT環境へと侵入した。この攻撃により、氷点下の気温の中、600棟以上の集合住宅が2日間にわたり暖房供給を停止する事態となった。
FrostyGoopが注目される理由は、Modbus TCPが世界中の産業環境で広く利用されているためです。このマルウェアは、攻撃者がOT(オペレーション技術)に隣接するWindowsワークステーションを標的とする段階をすでに超えていることを示しています。現在、攻撃者は産業用プロトコルと直接通信するコードを作成しているのです。
FrostyGoopの目的は、それが読み込むコードそのものにあります。インポートされるライブラリは、ただ一つの目的、すなわち産業用コントローラとの通信のために存在しています。
すべてのOT侵害には、その攻撃の連鎖において対応するファイルが存在する
これが共通点です。タイムライン上のあらゆるインシデントにおいて、攻撃者、セクター、地理的な場所を問わず、攻撃の連鎖のどこかの段階で、悪意のあるファイルが信頼境界を越えて侵入しています:
- ワイパーは、PE実行ファイル、VBScriptドロッパー、およびLinux ELFバイナリとして配布されました。
- このサプライチェーン攻撃では、トロイの木馬化されたインストーラーパッケージやソフトウェアの更新プログラムが利用されました。
- スピアフィッシング攻撃では、VBAマクロを含むExcelファイルや、ペイロードが埋め込まれたOneNoteファイルなど、悪意のある文書が送信された。
- ICS向けマルウェアには、FrostyGoopのようなコンパイル済みGoバイナリ、TritonやCOSMICENERGYのようなPythonペイロード、そしてIndustroyer2やDynoWiperのようなカスタムPEバイナリが含まれていた。
- 「Volt Typhoon」のような現地資源を活用した攻撃でさえ、侵害されたシステム上にウェブシェル、横方向の移動用スクリプト、認証情報収集ツールなどの痕跡を残していた。
- ハリバートンやアーカンソー・シティなど、OT関連環境に影響を及ぼしたランサムウェアのペイロードは、フィッシングメールの添付ファイルやサーバーへの不正アクセスを通じて配信された。
ファイルの種類は様々です。侵入の手口も様々です。攻撃の主体も様々です。しかし、そのパターンは一貫しています。ファイルが環境内に侵入し、信頼ゾーンに到達すると、そこで直接実行されるか、あるいは次の段階の侵害を可能にするのです。
エッジデバイスと外部に露出しているHMIが、新たな境界線となっている
ノルウェーでの「Z-PENTEST」ダム攻撃も、テキサス州でのミュールシュー水力発電所の溢水事故も、いずれも「インターネットに公開されたHMI(ヒューマン・マシン・インターフェース)の認証情報が脆弱であるか、デフォルト設定のままだった」という同じ弱点を悪用したものです。米国の水道施設を標的とした「CyberAv3ngers」キャンペーンでは、デフォルトの認証情報を使用しているUnitronics製のPLCが標的とされました。これらはゼロデイ攻撃ではありません。OTシステムとインターネットの境界における設定上の不備に起因するものです。
ITとOTの境界こそが、攻撃の足掛かりとなる場所である
数々のインシデントにおいて、攻撃の足掛かりとなるのはITとOTの境界です。両方の環境に存在し、企業ネットワークと生産現場のPLCを接続するエンジニアリング用ワークステーションは、最も一般的な足掛かりとなります。AZURITEはこれらを直接標的としています。Volt Typhoonはこれらを経由して侵入しました。Tritonは、そのうちの1台への物理的なアクセスを必要としました。FrostyGoopはエンジニアリングネットワークを通じて配信されました。ワークステーションを保護することは、そこに保存されるファイルを保護することにつながります。
実行前の予測と行動分析により、OT攻撃を被害が発生する前に阻止する
MetaDefender による行動ベースのゼロデイ攻撃検知
ICSおよびOTに対する攻撃に見られる共通の傾向は、ある一貫した現実を浮き彫りにしています。すなわち、未知かつ検知を逃れる脅威がファイルとして環境内に侵入し、信頼境界を越えて、従来の防御策が反応する前に実行されてしまうという現実です。こうした攻撃を阻止するには、詳細な行動分析に加え、実行前に悪意のある意図を予測する能力の両方が必要となります。
MetaDefender 、ファイルに潜む未知の脅威や検知を回避する脅威を特定するために設計された、OPSWAT統合型ゼロデイ検知ソリューションです。適応型サンドボックス、脅威インテリジェンス、脅威スコアリング、機械学習による類似性検索を単一の検知パイプラインに統合し、すべてのファイルに対して信頼性の高い判定結果を提供します。
Aetherは、エミュレートされた環境でファイルを解析することで、ランサムウェアのロジック、コードインジェクション、分析回避手法、多段階ペイロードなど、静的解析ツールでは検出できない隠れた動作を明らかにします。さらに、これらの分析結果を数十億件に及ぶ脅威インジケーターと照合することで、リスクを特定し、亜種を洗い出し、その活動を既知の攻撃手法と関連付けます。
このアプローチにより、組織は、 sanitize(無害化)や変更が不可能な実行ファイル、スクリプト、アーカイブ、パッチファイルに含まれるゼロデイ脅威を検出できるようになります。また、動的解析が義務付けられ、ファイルの完全性を維持しなければならない規制業界におけるコンプライアンス要件にも対応しています。
Predictive Alin AI による実行前の脅威予測
これに加え、Predictive Alin AIは、ネットワーク境界で動作する実行前検知レイヤーを導入しています。ファイルが実行されるのを待つのではなく、構造的および行動的な指標を分析することで、ミリ秒単位で悪意のある意図を予測します。これにより、組織は高リスクなファイルが環境内に侵入したり、重要なシステムに到達したりする前に、それらをブロックすることが可能になります。
予測型AI「Alin」は、MetaDefender 特定されたゼロデイ脅威を用いて継続的に再学習されています。確認された脅威が1つ増えるごとに、同様の攻撃を攻撃チェーンのより早い段階で検知するモデルの能力が強化されます。これにより、詳細な分析と予測型検知の間にフィードバックループが形成され、Aetherが未知の脅威を特定すると、Alinはその情報を活用して、次世代の攻撃が実行される前に阻止します。
MetaDefender Alin AIを併用することで、深度と速度の両方を実現します。Predictive Alin AIは境界線で実行前の判定を即座に行い、MetaDefender より詳細な検査が必要なファイルに対して包括的な行動分析を実行します。この多層的なアプローチにより、誤検知を低減し、SOCの対応を迅速化するとともに、既知および未知の脅威がOT環境に影響を与える前に確実に特定されます。
ファイルベースのOT攻撃を阻止するには、多層的なゼロデイ攻撃検知が必要である
ICSおよびOTに対する脅威の状況は、もはや単発のインシデントによって特徴づけられるものではありません。それは、繰り返し現れるパターンによって形作られています。ワイパー攻撃はより標的を絞ったものとなり、攻撃者の動きは加速しており、攻撃は常に信頼境界を足掛かりに展開されています。あらゆる事例に共通して言えるのは、あるファイルが環境内に侵入し、それが攻撃を可能にしているという点です。
静的解析やシグネチャベースのツールでは、これらの攻撃に共通する点、すなわち、まだカタログ化されていない意図を持って信頼境界を越えるファイルの存在を見抜くことはできません。こうした攻撃を阻止するには、そのファイルが実行される前に検査を行い、実行された際にどのような動作をするかを予測する必要があります。
これこそが、MetaDefender Alin AIが担う役割です。Predictive Alin AIは、境界線でミリ秒単位の速さで判定を下します。一方、MetaDefender 、詳細な検査が必要なものを検知して解析を行い、確認されたすべてのゼロデイ攻撃情報を予測モデルにフィードバックします。その結果、ICSやOTへの攻撃が始まるまさにその境界線において、処理するファイルごとに精度を高めていく多層防御が実現されます。
MetaDefender とPredictive Alin AIが、OT環境へのファイルベースの攻撃経路をどのように遮断するかをご覧ください。
