イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告
米国の重要インフラが、静かに蝕まれている。イラン系ハッカーによる攻撃はもはや偵察や情報窃取の段階を超え、水道施設やエネルギー設備の「実際の運用妨害」を引き起こしている。
FBIが認めた「財務損失と運用停止」
米国の連邦機関6組織が4月7日、異例の合同警告を発した。FBI、NSA(国家安全保障局)、CISA(サイバーセキュリティ・インフラ安全保障庁)、EPA(環境保護庁)、エネルギー省、そしてサイバー軍──これほどの顔ぶれが揃うこと自体が、事態の深刻さを物語る。
警告の核心は明確だ。イラン系のAPT(高度持続的脅威)グループが、米国の重要インフラで使用されるインターネット接続型のPLC(プログラマブルロジックコントローラ)を標的にし、すでに「運用妨害と財務損失」を引き起こしている。
PLCは浄水場の薬剤投入量から発電所のスイッチング操作まで、産業プロセス全体を自動制御する「現場の頭脳」だ。ここを侵害されると、オペレーターは正確な状況を把握できなくなり、物理的な被害に直結しかねない。
狙われているのはRockwell Automation(Allen-Bradley)製のPLCが中心だが、SiemensやSchneider Electric製の機器も標的となっている可能性が指摘されている。攻撃者は海外のホスティングサービスを経由し、標準的なOTポート(44818、2222、102、502など)を通じてアクセスを確立。Rockwell Automationの設定ソフトウェア「Studio 5000 Logix Designer」などを使い、PLCの動作を規定するプロジェクトファイルを改ざんしている。
攻撃手法は決して高度ではない。デフォルトパスワードのままインターネットに露出した機器をスキャンし、認証をバイパスする──2021年に報告された脆弱性「CVE-2021-22681」が今も悪用されている。つまり、何年も前から警告されてきた基本的な対策の欠如が、実害を生んでいる。
2023年の警告を無視した代償
これは突然始まった攻撃ではない。
2023年11月、イランの革命防衛隊(IRGC)と関連する「CyberAv3ngers」がペンシルベニア州の水道施設を含む米国のUnitronics製PLCを攻撃し、少なくとも75台のデバイスが侵害された。イスラエル製のPLCを意図的に狙った「政治的メッセージ」を含む攻撃だった。
その時点でCISAは、デフォルトパスワードの変更、インターネット接続の遮断、多要素認証の導入を強く推奨していた。しかし今回の警告が示すのは、その教訓が十分に浸透しなかったという現実だ。
セキュリティ企業Check Pointのセルゲイ・シケヴィッチ脅威インテリジェンス部門マネージャーは、今回の警告について「我々が数カ月前から観測していた事態を追認するもの」と指摘する。同社によれば、エネルギー・公益事業セクターは先月、米国で5番目に多く攻撃された業界だった。
「イランの脅威アクターは、ITとOTインフラの両方をより速く、より広範囲に標的にしている。これは新しい脅威ではなく、加速している脅威だ」
戦時下のサイバー攻撃
攻撃のエスカレーションには、明確な地政学的背景がある。
2026年2月28日、米国とイスラエルは「オペレーション・エピック・フューリー」として知られる共同軍事作戦を開始し、イランの核施設、軍事インフラ、そして指導部を標的にした空爆を実施。最高指導者ハメネイ師が命を落としたとされる。
その報復として、イラン系のサイバー攻撃が急増した。3月11日には医療機器大手Strykerが「Handala」を名乗るグループに侵害され、Microsoft Intuneを悪用した社内デバイスの大量ワイプが発生。4月初頭にはIRGCが18の米国企業(Apple、Google、Microsoft、Nvidia、Boeing、Teslaなど)を「テロリストスパイ企業」と名指しし、「正当な標的」と宣言する声明を出した。
今回の合同警告が発表された4月7日、トランプ大統領は「今夜中に取引がまとまらなければ、文明全体が消える」とイランに対する最後通牒を発していた。パキスタンの仲介で2週間の停戦が成立したものの、サイバー空間での攻防は停止していない。
守る側の体制崩壊
皮肉なことに、CISAはこの危機的状況でまさに機能不全に陥っている。
2026年2月14日に始まった連邦政府のシャットダウンにより、CISAの約1,453名──全職員2,341名の62%──が一時帰休となった。稼働しているのはわずか38%。しかもそれ以前に、トランプ政権の「効率化」施策によって約3分の1の職員がすでに退職していた。
CISAは2025年1月時点で3,300名以上の職員を擁していたが、2026年2月初頭には2,389名まで減少した。
| 時期 | 職員数 | 稼働率 | 状態 |
|---|---|---|---|
| 2025年1月 | 3,300名以上 | 100% | 通常 |
| 2026年2月初頭 | 2,389名 | 約72% | 効率化で削減 |
| 2026年2月14日〜 | 888名 | 38% | シャットダウン |
シャットダウン開始後、ある週には高度な技術を持つ脅威ハンティング・インシデント対応チームから6名が同日に辞表を提出したという。残った職員は無給で働きながら、国家および犯罪グループからの攻撃圧力に直面している。
重要インフラの防御を担う機関が6割の人員を失った状態で、敵対国家によるOT攻撃が激化する──これ以上ない悪条件だ。
今すぐ確認すべきこと
連邦機関は、Rockwell Automation製PLCを使用する組織に対して以下を強く推奨している。
インターネットに接続されたPLCを即座に切り離すこと。メーカーのセキュリティガイダンス(SD1771)を確認すること。OTポート(44818、2222、102、502)への不審なトラフィック、特に海外ホスティングプロバイダーからのアクセスをログで確認すること。多要素認証を導入し、デフォルトパスワードを変更すること。
Check Pointによれば、イスラエルでも同様のPLC攻撃が先月確認されている。攻撃の対象は米国に限らない。
「小さすぎて狙われない」という想定は、もう通用しない。勧告は明確に、地方自治体を含むあらゆる規模の組織がターゲットセットの一部であると指摘している。水道、電力、政府サービス──日常を支えるインフラが、見えない戦場になっている。
参照元
関連記事
- FBI長官の個人メール、イラン系ハッカーが侵害
- 米国サイバー犯罪被害が過去最高208億ドル突破、AIとクリプト詐欺が急増
- Drift 2.7億ドル流出の裏に北朝鮮の6か月潜入工作
- イランがStargate UAE壊滅を宣言、衛星画像で威嚇
- AWS中東リージョン「完全ダウン」──Amazon社内文書で判明
- イランのサイバー部隊がStrykerを壊滅させた手口と、FBIが学んだ教訓
- イラン革命防衛隊、米テック18社に「施設破壊」を予告
- Appleの「メールを非公開」は警察からは隠せない
- Flatpakに致命的な脆弱性、サンドボックスを完全に突破される
- GmailのGemini統合、Googleが「メールでAIを訓練しない」と改めて表明
