Industry Security

重要インフラへの攻撃:ウクライナ電力網から学ぶIT/OTセキュリティの教訓

  • April 15, 2026

戦争は戦場だけにとどまりません。2022年にロシアがウクライナへの全面侵攻を開始して以来、最も一貫して標的にされてきたのは軍事基地でも武器庫でもなく、エネルギーインフラです。変電所、ガスパイプライン、発電所、送電線が繰り返しミサイル、ドローン、そしてサイバー攻撃によって標的にされてきました。

ウクライナ国外のセキュリティ担当者にとって、これを遠い地政学的問題として捉えたくなる気持ちは理解できます。しかし現実は違います。ウクライナの電力網への攻撃で使われた手法—スピアフィッシング、認証情報の窃取、SCADA操作、ワイパーマルウェア—は普遍的に適用可能です。これらはすでにヨーロッパ、中東、そして東南アジアのエネルギーインフラへの攻撃に転用されています。

本記事では、10年にわたるウクライナ電力網への攻撃から得られた実践的教訓を整理し、日本の製造業・インフラ事業者のSOCチームが今日から実行できる具体的な対策と、NISCガイドラインおよびIEC 62443への対応策を解説します。

関連記事

すべての記事を読む →

日本企業にとっての文脈:NISC・J-CSIP・経済安全保障

本題の前に、日本企業が置かれた規制環境を確認します。

内閣サイバーセキュリティセンター(NISC)は「重要インフラの情報セキュリティ対策に係る第4次行動計画」において、エネルギー、水道、交通、金融、情報通信など14分野の重要インフラ事業者に対して、サイバーセキュリティ対策の強化を求めています。特にICS/SCADA環境についてはIEC 62443シリーズへの対応が事実上の標準となっています。

J-CSIP(サイバー情報共有イニシアティブ)は経済産業省・IPAが運営し、重要インフラ・製造業のサイバー脅威情報を業界横断で共有する仕組みです。ウクライナ型攻撃のTTPsは既にJ-CSIPを通じて日本国内に共有されています。

経済安全保障推進法(2022年)は、基幹インフラの安定的な提供を確保するため、特定社会基盤事業者に事前審査を義務付けており、OTセキュリティの実装状況も審査対象となります。

さらに、工場のスマート化・IoT化が進む日本の製造業において、OT環境とIT環境の境界が急速に曖昧になっています。自動車、電機・電子、化学、食品加工など幅広い産業でSCADA・PLCがERP(SAP、Oracle)やMESと統合されており、ウクライナ型の攻撃シナリオは日本の製造拠点にとっても現実的なリスクです。

10年間の攻撃:ウクライナ電力網という実証実験

2015年 — 史上初のサイバー誘発停電

2015年12月23日、攻撃者はウクライナの電力配電会社3社の制御システムに遠隔アクセスし、キーウおよびイワノフランキフスク州の約30カ所の変電所で遮断器を操作しました。20万人以上の顧客が停電しました。

Sandwormグループは、Windowsシステムを標的としたスピアフィッシングメールでBlackEnergyマルウェアを送り込み、適切に分離されていなかったICS環境へラテラルムーブメントを行いました。さらに、ユーティリティのコールセンターにDoS攻撃を仕掛け、対応を妨害しました。

使用された手法は高度なものではありませんでした。 クレデンシャルの使い回しと長期的な偵察活動、そしてベンダーアクセス用に設定された「意図的な例外」としてのSSHトンネルが侵入経路となりました。

2016年 — Industroyer:ICSプロトコルを直接操作するマルウェア

2016年12月、同じ攻撃グループがIndustroyer(別名CRASHOVERRIDE)を展開しました。IEC 101、IEC 104、IEC 61850、OPC DAなどのICS通信プロトコルをネイティブに実装した、産業制御システム専用の初のマルウェアです。オペレーターのSCADAインターフェイスを介さずに遠隔で遮断器を操作でき、ワイパーコンポーネントでファームウェアと設定データを削除することで復旧を数時間から数週間に延長しました。

重要なのは攻撃規模ではなく実証された能力です。 産業プロトコルを理解するマルウェアは、同じ機器を使用する世界中の事業者に転用可能な「再利用可能なインフラ」です。

2022年〜2025年 — 消耗戦と攻撃対象の地理的拡大

2022年2月の全面侵攻後、攻撃は精密打撃から消耗戦型に移行しました。物理的なミサイル・ドローン攻撃とサイバー攻撃の組み合わせにより、ウクライナの発電能力は戦前の約38GWから2024年半ばには12GWにまで低下しました。

2025年12月、Electrumグループ—2015年・2016年のウクライナ攻撃に関与した同一グループ—がポーランドの分散型エネルギーリソース(DER)インフラを攻撃しました。風力発電、太陽光発電、コジェネレーション設備を標的とした初の大規模サイバー攻撃として記録されています。攻撃により複数サイトでの監視喪失、制御喪失、DoS状態が発生しました。

戦略的含意は明確です。 攻撃者は集中型SCADAシステムから、セキュリティ対策が脆弱なグリッドの分散エッジへと標的を進化させています。

すべての産業環境に適用される5つの教訓

教訓1:境界防御だけでは不十分

2015年の攻撃者はスピアフィッシングから侵入しました—企業ネットワーク侵害のほとんどと同じ初期侵入ベクターです。ITネットワークに入った後、適切に分離されていなかったためOTネットワークへラテラルムーブメントできました。正規のクレデンシャルを持つ攻撃者に対して、インターネット境界のファイアウォールは無意味です。

SOCチームが取るべき対応: 「侵害を前提」とした姿勢を採用します。重要な問いは攻撃者が侵入できるかどうかではなく、ITからOTへのラテラルムーブメントを業務影響が発生する前に検知できるかどうかです。SIEMは両環境のvisibilityを持ち、正規のクレデンシャルが使われていてもICS隣接システムへの不審なアクセスをフラグする検知ロジックが必要です。

教訓2:IT/OTコンバージェンスは共有リスクを生む

現代の産業環境では、SCADA・PLC・HMIがITネットワークと接続し、監視、リモートアクセス、ERPとの統合が行われています。このコンバージェンスは業務上必要不可欠です—しかし同時にウクライナのユーティリティが脆弱だった理由でもあります。ベンダーリモートアクセス用の「意図的な設定例外」としてのSSHトンネルが侵入口となりました。

SOCチームが取るべき対応: OT環境へのすべての正規リモートアクセスパスは潜在的な攻撃ベクターです。これらはログ取得、監視、ビヘイビアアラートの対象とすべきです。ファームウェア変更、予期しないSCADAログイン、異常なICSプロトコルトラフィックはすべて高品質な検知シグナルです。

教訓3:プロトコル対応の検知は必須

Industroyerが成功したのは、正規のSCADAシステムが使用するプロトコル—IEC 104、Modbus、DNP3—で通信したからです。標準的なITセキュリティツールは、これらのプロトコルを理解しないため、悪意のあるICSトラフィックと正常なICSトラフィックを区別できません。

SOCチームが取るべき対応: ICS/OT環境にはOT固有の検知能力が必要です。産業プロトコルをネイティブに解析できる専用OT監視ツール、またはPLCログ・HMIイベント・SCADAオーディットトレイルの異常パターンをフラグするカスタムWazuhデコーダーの構築が必要です。

教訓4:復旧能力はセキュリティコントロール

2015年・2016年の両攻撃で、ウクライナのオペレーターはリモート復旧が不能となったため、変電所に物理的に出向いて遮断器を手動で操作せざるを得ませんでした。2016年のワイパーコンポーネントはファームウェアと設定データを削除し、復旧時間を数時間から数週間に延長しました。

SOCチームが取るべき対応: OT環境のインシデントレスポンス計画にはオフライン復旧手順が必要です。ICS設定、ファームウェアイメージ、ネットワークトポロジードキュメントはオフラインで保存し、定期的に復旧シナリオに対してテストする必要があります。

教訓5:攻撃者はパッチ適用より速く適応する

2025年12月のポーランドDERインフラへの攻撃は、攻撃者の進化の最も明確な証拠です。集中型SCADAシステムの防御を把握したElectrumグループは、セキュリティ対策が脆弱で可視性が低いエッジターゲットへと移行しました。

SOCチームが取るべき対応: 脅威情報に基づいた防御には、過去の攻撃への対応だけでなく、攻撃者の進化の追跡が必要です。Dragos WorldView、IPA/JPCERT/CC のICS勧告、J-CSIP共有情報などのICS固有の脅威インテリジェンスフィードを検知エンジニアリングパイプラインに組み込み、新たなTTPsを定期的に自社のアセットインベントリにマッピングすることが標準的実践となっています。

MITRE ATT&CK for ICSへの攻撃チェーンマッピング

flowchart TD
    A["初期侵入\nスピアフィッシング / 認証情報窃取\nMITRE T0817, T0886"] --> B["実行\nBlackEnergy / Industroyer\nITエンドポイントへ展開\nMITRE T0853"]
    B --> C["ラテラルムーブメント\n未監視リモートアクセス経由\nIT から OT へ侵入\nMITRE T0812"]
    C --> D["情報収集\nOTネットワーク偵察\nSCADAトポロジーマッピング\nMITRE T0840, T0888"]
    D --> E["対応妨害\nコールセンターDoS\nICSファームウェアワイパー\nMITRE T0804, T0838"]
    E --> F["影響\n遮断器操作\n停電\nMITRE T0831"]
    A -.->|"Wazuhエンドポイント\nおよびメールルール"| G["SOC検知レイヤー"]
    C -.->|"OpenSearch\nラテラルムーブメントアラート"| G
    D -.->|"カスタムICS\nデコーダールール"| G
    F -.->|"DFIR-IRIS\n自動ケース作成"| H["インシデントレスポンス\nDFIR-IRIS + Shuffle SOAR"]
    G --> H

オープンソースSOCスタックのカバレッジとギャップ

Wazuh + OpenSearch + DFIR-IRIS + Shuffle SOARの構成は、ウクライナ型攻撃ベクターに対して有意義なカバレッジを提供します:

強いカバレッジ:

  • WazuhエージェントによるWindows/LinuxのITシステムエンドポイントテレメトリ
  • ネットワーク機器、ファイアウォール、Active Directoryを横断するログ集約・相関分析
  • Shuffle SOARとDFIR-IRISによるアラートトリアージとケース自動作成
  • VirusTotal、AbuseIPDBによる既知IOCの脅威インテリジェンス強化

ICS/OT固有のギャップ:

  • ICSプロトコル(Modbus、DNP3、IEC 104)のネイティブ解析には専用OT監視ツール(Dragos、Claroty、Nozomi Networks)またはプロトコルごとのカスタムWazuhデコーダー開発が必要
  • PLC・RTUファームウェア整合性監視はネイティブではサポートされておらず、カスタム統合が必要
  • HMIログの正規化はベンダーによって大きく異なり、導入ごとのデコーダー開発が必要

日本の製造業向けの実践的推奨は二層アプローチです:既存のSIEMがIT側の可視性を担い、専用OTネットワークモニターがICS環境のプロトコル対応カバレッジを提供し、両方がDFIR-IRISに統合されてアナリストが単一のインターフェイスで作業できる構成です。

今すぐ実施すべき5つのコントロール

ICS Five Critical Controls(SANS/Dragos)に基づく実装優先事項:

1. ICS固有のインシデントレスポンス計画
すべての重要OTシステムのオフライン復旧手順を文書化します。攻撃中にリモートアクセスが失われた場合の対応を、ITスタッフだけでなくOTオペレーターにも訓練します。

2. 防御可能なアーキテクチャ
IT/OTネットワーク分離を厳格に施行します。OT環境へのすべての正規リモートアクセスは、完全にログ取得される専用ジャンプホスト経由とします。ICSコンポーネントからインターネットへの直接接続をすべて削除します。

3. 可視性と監視
OT DMZにパッシブネットワーク監視を展開し、ICSプロトコルトラフィックをキャプチャします。最低限、すべての認証イベント、リモートアクセスセッション、SCADA・HMIシステムのファームウェア・設定変更をログに記録し、SIEMに送信します。

4. リモートアクセスセキュリティ
ベンダー・保守アクセス用の永続的リモートアクセスアカウントを廃止します。時間制限付き・MFA保護されたセッションをセッション記録とともに実装します。時間外アクセスすべてにアラートを設定します。

5. OT脆弱性管理
ファームウェアバージョンを含むすべてのOTコンポーネントの正確なアセットインベントリを維持します。インターネット隣接コンポーネントとICS固有CVEを持つコンポーネントのパッチを優先します。パッチ適用が困難な場合は、ネットワーク分離と異常検知による補完的コントロールを適用します。

まとめ

ウクライナの電力網は、重要インフラサイバーセキュリティにおいて最も詳細に記録されたケーススタディとなりました。これらの教訓は普遍的に適用可能です。攻撃者はウクライナのユーティリティ固有の手法を使ったのではなく、監視が不十分なあらゆるIT/OT環境に通用する手法を使いました。

日本の製造業・インフラ事業者にとって、OT環境へのSOCの可視性拡張は、NISCガイドラインへの対応であると同時に、実際の運用リスク管理の要件です。

関連サービス

Simplicoは、タイおよびアジア地域の産業・エンタープライズ環境向けにSOC統合パイプラインとカスタムICS監視ソリューションを構築しています。OT環境へのセキュリティ監視の拡張、またはIEC 62443・NISC要件に対応したWazuhベースのSOC構築を検討している方は、simplico.netまでお気軽にご相談ください。

Simplico Co., Ltd.はバンコク拠点のソフトウェア・AIエンジニアリングスタジオです。Security Operations、エンタープライズシステム統合、AI/RAGアプリケーションを専門とし、日本市場向けプロジェクトの実績を持ちます。

最新の記事