制御システムへの影響が想定されたサイバー攻撃の約半数がランサムウェアによるもの——。工場の制御システムを狙うサイバー脅威が事業継続を脅かす深刻なリスクとなっている現状が明らかになった。
5月26日に開催されたWebセミナー「TECH+セミナー 製造業×OTセキュリティ 2025 May. 工場・製造現場を守るセキュリティ事故の予防と対応策」において警鐘を鳴らしたのは、JPCERTコーディネーションセンター(JPCERT/CC) 国内コーディネーショングループ 制御システムセキュリティ シニアアナリストの河野一之氏だ。15年以上にわたって製造業を含む制御システムセキュリティを支援してきた同組織が蓄積した知見から、変化するサイバー脅威の実態と効果的な対策について詳しく解説した。
ランサムウェアによる間接影響が事業継続リスクに
河野氏はまず、ICS(Industrial Control System)/OT(Operational Technology)と呼ばれる制御システムに対するサイバー脅威の変化について説明した。
従来は制御システムの技術を取り込んだマルウェアによる直接的な脅威が注目されていたが、近年はランサムウェアなどにより情報システムが被害を受けた際に、その影響が制御システムや生産設備にも及ぶ「間接影響」が増加している。
「結果的に、ICS/OTへのサイバー脅威が高まる、またランサムウェアをはじめとした間接影響が高まるとなると、それは事業継続に対する大きなリスク因子になります」(河野氏)
JPCERT/CCが2024年に収集したOT影響が想定された国内外の事案170件のうち、約48%がランサムウェアによるものであった。被害業種は多種多様で、製造業も多数含まれている。
さらに、警察庁が公表している国内製造業におけるランサムウェア被害の統計によると、2022年75件、2023年67件、2024年65件と、製造業が3年連続で被害件数トップであり、高止まりしている状況が示された。被害組織の規模別では中小企業が約6割を占める。同氏は「サイバー攻撃の被害に遭う組織は、その規模とは関係がないことがうかがえる」と、事業規模にかかわらず対策することの必要性を訴えた。
リスク低減の鍵は、脆弱性対策
河野氏は、サイバー攻撃が成功してしまう一因として「脆弱性の悪用」を挙げた。JPCERT/CCと情報処理推進機構(IPA)が共同運用する脆弱性情報ポータルサイト「JVN (Japan Vulnerability Notes)」で2024年に公表された脆弱性情報462件のうち、ICS/OTに影響を与える攻撃にどの程度活用されたかは定かではないものの、JVNでの公表時点で悪用が確認されたものは3件、検証用コード(PoCコード)の公開が確認されたものは6件あったという。
「PoCコードは本来検証目的のものだが、サイバー攻撃ツールとして転用されるリスクがあります。また、この3件や6件という数字は小さく見えるかもしれませんが、1つの脆弱性が多くの企業に影響を与える可能性があり、被害の実態を表しているわけではありません」(河野氏)