OT（Operational Technology） セキュリティトレンドレポート 2019年版

REPORT

ICS / SCADAシステムの 脅威に関する最新情報

2

目次

概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

インフォグラフィック：主な調査結果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

OTの脅威トレンド. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

トレンド：OTシステムに影響を与える ITベースの攻撃が増加. . . . . . . . . .5

トレンド：OTシステム専用に設計された攻撃が続々登場し、 現在の標的は安全システムへ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

トレンド：OTシステムへの攻撃が地理的に拡大 . . . . . . . . . . . . . . . . . . . .12

まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

参考資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

3

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

概要組織が急速な進化を続けるマーケットプレースに対応しようと俊敏性を高めるなか、多くの運用テクノロジー（OT）システムは、初めて外の世界へと接続されようとしています。このトレンドは、組織に大きなメリットをもたらす一方で、OTシステムは高度な脅威に常にさらされることになります。かつて、OTシステムをハッカーやマルウェアから守っていた「エアギャップ」は既に姿を消し、OTシステムを標的にした攻撃が増加しています。

この「OT（Operational Technology）セキュリティトレンドレポート 2019年版」では、FortiGuard Labsから収集したデータを分析し、監督制御データ収集（SCADA）システムやその他の産業用制御システム（ICS）のセキュリティ態勢に関する実用的なインテリジェンスについて解説します。分析の結果、OTシステムは、情報テクノロジー（IT）を対象とした攻撃（既に ITシステムに対する効力を失った古い攻撃）や、OT専用に開発された攻撃の標的になりつつあります。論理的には、このような攻撃は OTネットワークの最弱な部分を狙い、プロトコルが標準化されていない複雑さを悪用します。業界や地理的な場所に関係なく攻撃は仕掛けられ、業種や地域を問わず攻撃件数も増加しています。

OTシステムのネットワークへの接続が進むにつれて、攻撃も増加の一途をたどる可能性があります。ビジネスの中核を狙う大きな脅威に対抗するには、これまでよりも厳格なベストプラクティスをセキュリティオペレーションとライフサイクル管理に適用しなければなりません。そのためには、OTチームと ITチームが協力し、増加する脅威に対して包括的に対応する必要があります。

インフォグラフィック：主な調査結果

2018年、ほぼすべての ICS / SCADAベンダーにおいて、

エクスプロイトの規模と検知率が増加

OTシステムの攻撃には、ITへの脅威が 繰り返し再利用されている

BACnetへの攻撃の ピークは 2018年

1月～ 4月であり、 Miraiボットネットと 一致している

Moxa 313 脆弱性への攻撃は、 日本に集中した

ユニークな脅威検知数の85%は、以下を 実行するマシンを 標的としている：

OPC ClassicBACnetModbus

85%

4

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

はじめにこれまで「エアギャップ」に守られてきた OTシステムは今、プラントマネージャーや産業用制御エンジニアの認識を上回る規模でネットワークへの接続が進んでいます。最近の調査によると、OTデバイスの 3分の 2近く（32%）がインターネットに直結しており、さらに 32%はゲートウェイを介して企業に接続されています 1。単一の PCが OTシステムとインターネットの両方に個別に接続し、ゲートウェイの役割を担うこともあります。

次のようなメリットを認識する多くの企業は、ITシステムと OTシステムの統合を進めています。

nn さらに効果的かつ効率的なプロセス監視：これには、重要な変更を即時実行する機能も含まれます。

nn IoT（モノのインターネット）デバイスから収集したデータの活用：豊富な情報に基づいて意思決定を行い、顧客、製品、プロセスに関してさらにきめ細かい情報を提供できます。

nn 市場データへのリアルタイムアクセス：製品の市場投入の最適なタイミングを見極め、サプライチェーンとの円滑なインタラクションを実現します。

nn コストの大幅削減：消費電力を抑え、原料の廃棄をなくし、従業員を効率化します。

OTの統合からセキュリティの問題が発生

このように明らかなメリットがある一方で、エアギャップを失った OTシステムは、ITシステムと同様のセキュリティリスクにさらされることになります。そしてこれは、OTに標的を絞ったエクスプロイトが簡単に拡大する要因になっています。また ICS / SCADAシステムでは、これまでITシステムよりもかなり長いサイクルでアップデートやリプレースが行われてきたため、非常に古いテクノロジーのシステムが数多く残っています。その結果、高度な持続的脅威に狙われることになり、さらに事態は深刻化しています。また、可視性がないという課題もあります。ある調査では、82%が「OT / ITネットワークに接続されているデバイスを完全に識別できていない」と回答しています 2。

この課題は、多くの企業においてセキュリティインシデントの件数が許容レベルを超える原因となっています。OTリーダーを対象とした最近の調査によると、77%が「昨年マルウェアの被害に遭った」と回答し、50%はその数を「3 ～ 10件」としています 3。マルウェアの影響は深刻です。マルウェア感染により、生産性の低下（43%）、売上の喪失（36%）、ブランドイメージの低下（30%）、データの損失（28%）、さらには物理的な安全性の低下（23%）も発生しています。

OTセキュリティが大きなリスク要因となっている

攻撃者は、さまざまな動機で ICSシステムと SCADAシステムに攻撃を仕掛けます。サイバー犯罪者は、工場の停止、バッジアクセスシステムの無効化、重要なインフラストラクチャの乗っ取りを行った後、身代金を要求します。国家的組織や、国営企業に依頼された攻撃者は、システムに侵入して産業スパイ行為を行います。また、政治的目的を持つ攻撃者は、目的の達成を妨げる企業を混乱に陥れようとします。

システムがオンライン接続された結果、OTシステムのセキュリティ担当者は次のような深刻な課題に直面しています。

nn「エアギャップ」がなくなったため、攻撃対象領域が大幅に拡大した

nn レガシーシステムのセキュリティ機能は、ネットワーク接続されていないインフラストラクチャを想定した設計になっている

nn システムに可視化機能がなく、IoTデバイスはばらばらに接続されることが多い

nn レガシーのテレメトリデバイスの操作は極めて困難になることがある

nn ネットワークセグメンテーションが不十分であり、ICS / SCADAユーザーの 45%が特権アイデンティティ管理を使用していない 4

この「OT（Operational Technology）セキュリティトレンドレポート 2019年版」では、膨大な数のフォーティネットデバイスから収集したデータを分析し、ICS / SCADAシステムのサイバーセキュリティの状況を明らかにしています。システムのセキュリティ担当者は、この分析結果を参考に、リスクの把握と対応の優先順位付けを行うことができます。

5

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

OTの脅威トレンドトレンド：OTシステムに影響を与える ITベースの攻撃が増加OTシステムの ITネットワーク接続が進んでいますが、OTシステムはセキュリティチェーンの最弱リンクになりがちです。FortiGuard Labsのデータによると、攻撃者は、OTシステムの攻撃に ITベースの脅威を悪用しています。1つのマルウェアを使って、ITシステムと OTシステムの両方に攻撃を仕掛けるのが一般的です。OTシステムは古いテクノロジーを使用し、セキュリティ運用も遅れていることが多いため、攻撃の成功率は高くなります。

攻撃者は OT用にマルウェアを「再利用」

かつて IT攻撃に使用され、現在ではシグネチャベースの ITセキュリティソリューションで捕捉されてしまうレガシーマルウェアパッケージが、OT攻撃に再利用されています。図 1は、フォーティネットが検知した既存の脅威の割合と、OTプロトコルを実装したデバイスの攻撃件数を月別に示したものです。グラフは、周期的なパターンを示しています。悪用される脅威の数と、攻撃に遭うデバイスの数は反比例しています。

図 1：2018年に検知された侵入件数とユニークな侵入件数

この周期から、攻撃者は新たに接続された OTシステムに存在する新たな脆弱性を探していることがわかります。「偵察」フェーズでは、比較的少数のマシンを対象に古いマルウェアを幅広くテストします。悪用できそうな脅威が見つかると、「攻撃」フェーズへと移り、成功する確率の高い攻撃を多数のマシンに仕掛けます。その目的は、標的型の攻撃を新たに開発する前に、既存のマルウェアを最大限に活用することにあります。

また、新しい脅威と古い脅威に存在する季節的な変動には、別の要因も関わっています。特に、HVAC（暖房、換気、空調）システムや送電網の攻撃は、使用量のピーク時に起こりがちであり、発生頻度が最も高いのは北半球の夏期です。また、OTシステム時代の到来も要因の 1つです。セキュリティが万全の最新テクノロジーよりも、古いテクノロジーが標的になることが多いといえます。

特定された新たな脅威既存の脅威の検知

600万

100万

1,000万

400万

75万

800万

200万

50万

25万

侵入の試行回数

検知されたユニークな侵入（%）

1月

4月

7月

10月

2月

5月

8月

11月

3月

6月

9月

12月

6

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

多様な OTプロトコルを使用するデバイスが攻撃の標的に

ITシステムには、TCP / IPプロトコルに基づいて標準化されてきた歴史がありますが、OTシステムでは多様なプロトコルが使用されており、その多くは機能、業界、地域に固有のものです。OPC Foundationが 1990年代に設立され、プロトコルの標準化に向けた取り組みが開始されました。新たな OPC UA（Unified Architecture）では、産業システム全体に共通のプロトコルが実現される可能性がありますが、レガシープロトコルが広く普及している点と、OTシステムの入れ替えペースが遅い点で、統合は何年も先になる見通しです。

サイバー犯罪者は、標準化の穴を悪用し、各プロトコルの弱点を突いてきます。長年エアギャップで保護されてきた OTシステムには標準化された防御対策がなく、セキュリティが脆弱であることから、構造的問題はさらに深刻化しています。

トラフィック量が大きい上位 3つのプロトコル

トラフィック量という点で標的になりやすいプロトコルを考える場合、プロトコルの普及率と脆弱性という 2つの要素を検証します。OPC

Classic、BACnet、Modbusの 3つのプロトコルを合計すると、OTの制御で使用されるアプリケーション制御シグネチャの 85%を占めます。

トラフィック量という点で最も標的になっているプロトコルは OPC Classicです。これは OPC UAの前身ですが、現在でも広く普及しています。このプロトコルは、比較的新しいテクノロジーを使用しており、ほとんどは 1990年末から 2000年代に開発されたものですが、システムの普及率が高い点と、さまざまな要素が縦割りで開発された点で、サイバー攻撃の標的になりやすくなっています。

OTの中でも、自動化は単一のプロトコルでの標準化が最も進んでいる領域です。BACnetは、業界を問わずほとんどの企業で使用されています。その理由の 1つが、Johnson Controlsや Carrierといった大手 HVACベンダーによる採用です。その結果、BACnetは 2番目に普及率の高いプロトコルとなっています。もう一つの要因として、BACnetは 1987年に登場した非常に古いテクノロジーであることも挙げられます。2018年の攻撃デバイス数の比較では、上位 4つのうち 3つが BACnetでした（図 2）。BACnetマシンのプロトコル検知数は 2018年前半に急増していますが（図3）、これは BACnetシステムを狙った Miraiボットネットに起因します。Miraiは、世界中で DDoS（分散型サービス拒否）攻撃を引き起こしました 5。Miraiは 2018年 10 ～ 12月に存在していましたが、BACnetは標的にはなっていませんでした。これは、「レンタル可能」なボットネットである Miraiは、BACnetではなく他の OT攻撃に使用されたことを示しています。

図 2：2018年の検知デバイス数に基づく上位 4つのプロトコル

BACnet_Simple.ACK

BACnet_Confirmed.COV.Notification

BACnet_Subscribe.COV

CIP_Response.Success

シグネチャ

7

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

図 3：2017年 9月 ～ 2018年 12月のプロトコル検知数

月

3番目に普及率の高いプロトコルは、Modbusです。この通信プロトコルは、OTシステムがさまざまなコンポーネントと効果的にインタラクションを実行することを支援します。1979年に開発されたこのテクノロジーは、閉じた（エアギャップ）システム向けに設計されています。Modbusには、ベンダー各社が作成したさまざまなバージョンがあるため、OTチームにとって脆弱性の追跡が困難なプロトコルとなっています。

プロトコル

1月

4月

7月

10月

10月

2月

5月

8月

11月

11月

3月

6月

9月

9月

12月

12月

8

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

図 4：2017年 10月 ～ 2018年 12月に ICS / SCADAベンダーを標的にした脅威の検知数

どの ICS / SCADAベンダーも攻撃を避けられない

2018年に OTベンダー 70社を標的にした攻撃を追跡した結果、特定ベンダーに対する攻撃がいくつかあったものの（Schneiderや Moxaなど）、それ以外は年間を通して継続的に発生していました（図 4）。ユニークな脅威数という点で最も標的になったベンダーは、Advantech、Schneider、Moxa、Siemensという大手企業です（図 5）。古く複雑な製品ほど、新しい合理化された製品よりも脆弱になるのが一般的です。

ベンダー

1月

4月

7月

10月

10月

2月

5月

8月

11月

11月

3月

6月

9月

12月

12月

月

9

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

図 5：ユニークな脅威検知数に基づく ICS / SCADAベンダーのランキング

図 6：2018年第 1 ～ 第 4四半期の ICSベンダーを標的にしたエクスプロイトの検知率と件数

全体的に ITベースの攻撃は増加傾向にある

季節的な変動や標的のばらつきはあるものの、OTシステムに対する ITベースの攻撃が増加を続けているのは明らかです。たとえば、図 1を見ると、新しい脅威の検知数は年初よりも年末の方が格段に多くなっています。そして、図 6で示すように、ほぼすべての ICSベンダーを標的にしたエクスプロイトは、件数と検知率のいずれにおいても2018年を通じて増加しています。この状況が2019年に変化するとは考えられません。件数は、全体的な頻度や割合を示す測定値であり、脅威イベントが検知された合計数または割合を示しています。検知率は、グループ全体での拡散または感染の度合いを示す測定値であり、脅威イベントが 1回以上発見されたと報告した組織の割合です。

規模

100万

10万

1万

1,000

100

10

1 / 10,000 1 / 1,000

検知率

10

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

OTシステムを標的としたランサムウェアの攻撃は続く2018年の初め、FortiGuard Labsは IT環境でランサムウェアとランサムウェアワームが急増している状況を発見しました 6。これは、2017年に発生した大規模な NotPetyaランサムウェア攻撃の直後であり、この攻撃では世界中で ITシステムと OTシステムの両方が標的になりました。被害に遭ったのは次の OTシステムでした。

n Merck：NotPetyaはほとんどの製薬メーカーのOTシステムをダウンさせました。製造が中断された結果、米国疾病予防管理センター（CDC）が管理するガーダシルの備蓄 2億 4,000万ドル分を借り受けることを余儀なくされました 7。この攻撃により、総額で 10億ドル近い被害が発生しています。

n A.P. Møller – Maersk：世界最大のコンテナ輸送企業が NotPetyaの標的となり、輸送量が 20%も減少しました。優秀な従業員たちが手作業で膨大なグローバルオペレーションを行い、エレクトロニックインフラストラクチャ全体をわずか 10日で再構築しなければ、被害はさらに拡大していたと考えられます 8。攻撃による被害額は、2億ドルを超えると試算されています。

2018年末には、ITシステムを狙ったランサムウェアは減少しており、多くの攻撃者はクリプトジャッキングのような攻撃へと「移行」したように見えました 9。ところが、既存のマルウェアの多くは、ITシステムほどセキュリティ対策が講じられていない OTシステムに再利用されたのです。これは、近い将来、OTシステムにとってランサムウェアは、ITシステムへの影響を凌ぐ脅威になることを示しています。SCADAのマスターは、Microsoft Windowsや Linuxベースのハードウェアで稼働することが多いため、十分な防御策を講じない限り、ランサムウェアの標的になってしまいます。

アルミニウム関連の巨大企業である Norsk Hydroは、2019年 3月に攻撃を受け複数の工場の停止に追い込まれた結果、最初の 1週間で 4,000万ドルの被害を被りました。この攻撃で使用された LockerGogaマルウェアは、機能が改良されたバージョンだと言われています。最初のバージョンは比較的ベーシックなもので、初期のマルウェアを模倣したものでした 10。

トレンド：OTシステム専用に設計された攻撃が続々登場し、現在の標的は安全システムへICS / SCADAシステムを標的にするマルウェアは 10年以上にわたって開発されてきましたが、その数は多くありません。OTに標的を絞ったエクスプロイトには、Stuxnet、Havex、Industroyerがあり、最近では Triton / Trisisが報告されています。

Industroyerと Havexは、2016年の政権交代時に、ウクライナの送電網を狙ったサイバー武器としてロシアが使用したのが始まりだと考えられています。その後、このマルウェアは流出し、同じ Schneider Electricインフラストラクチャが使用されているさまざまな送電網に再利用されてきました 11。

安全システムを狙った新種の危険な攻撃

Triton / Trisisは、Triconex安全計装システム（SIS）コントローラを標的にします。このコントローラは、Schneider Electricが販売し、エネルギー業界で広く普及しています。最初の犠牲者はサウジアラビアの石油 /ガス施設で、2017年に完全停止に陥りました 12。安全システムを標的にするため、機器の破損や人命への影響など、さらに深刻な影響が発生する恐れがあります 13。次に Triton / Trisisの攻撃の犠牲になったのは中東の企業（匿名）であり、2019年 4月に攻撃を受けました 14。専門家は、Triton / Trisisによって注意喚起されることになりました。Triton / Trisisは、OTシステムを対象とした初めての本格的なサイバー物理攻撃だとみなされています。

11

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

図 7：2018年の Industroyerマルウェアの検知数

検知

EternalBlue：レガシーWindowsシステムに対する脅威米国国家安全保障局（NSA）の元職員の証言によれば、EternalBlueは NSAが開発したツールです。2017年

4月 24日、ハッカーグループである Shadow Brokersがこれを公開し、その年の年末に WannaCryとNotPetyaマルウェア攻撃で悪用されました。また、銀行システムを狙ったトロイの木馬である Retefeでも使用されたと考えられています。これは、Microsoftの SMB（Server Message Block）プロトコルにある脆弱性を悪用します。

そこで Microsoftは、SMBを新しいプロトコルである CIFS（Common Internet File Sharing）にアップグレードしました。アップデートされた Microsoft Windows infrastructureを使用する ITシステムは、CIFSを設定することで古い SMBプロトコルを使ったリクエストを拒否できます。ところが、多くの ICS / SCADA

システムは、CIFSをサポートしない旧バージョンのWindows上で稼働しています。したがって、特定のSMBトラフィックのみを許可して他を拒否するためには、NGFW（次世代ファイアウォール）に外部制御機能を実装する必要があります。

古い OT脅威による攻撃が続く

FortiGuard Labsのデータは、OTのみを標的としたマルウェアが世界中のデバイスを攻撃し続けることを示しています。例えば図 7は、2018年に検知された Industroyerの侵入施行回数を示しており、その検知件数は同年の前半に特に顕著になっています。Industroyerのような複雑なマルウェアは、検知されてシグネチャが適用された後でも、長期にわたって猛威を振うのが一般的です。

検知数

1月

4月

7月

10月

2月

5月

8月

11月

3月

6月

9月

12月

12

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

トレンド：OTシステムへの攻撃が地理的に拡大グローバル企業が登場し、広範な接続性を特徴とするグローバル経済が多くの業界で主流となる今、正当な企業のみならず、犯罪者も地理的な境界を簡単に越えることができます。図 8では、ほとんどのベンダーが地域を問わず攻撃を受けていることがわかります。Rockwellと Schneiderについては、市場シェアが最も大きな南北アメリカに偏っています。一方で、Moxaのシステムについては、日本のユーザーを標的にMoxa 313脆弱性を悪用した最大規模の攻撃が発生しました（13ページの「Moxa 313の脆弱性：地域に集中したエクスプロイトを参照」）。このシステムは広く普及しているため、世界規模で攻撃が多発しています。

図 8：2018年に ICS / SCADAベンダーを標的にした既存の脅威の検知件数の地域的な分布

図 9から、BACnetと Modbusプロトコルは世界中で使用されているものの、欧州 / 中東 / アフリカ地域で最も普及していることがわかります。プロトコルの検知件数は、広い地域にかなり分散しているか、プロトコルの普及率の高い地域に集中しています。たとえば、ICCPは SiemensやHoneywellなどのベンダーが主に使用していますが、アジアではあまり使用されていません。

ベンダー

日本 /

アジア太平洋地域北米 / 南米 欧州 / 中東 /

アフリカ

地域

図 9：2018年の既存の脅威のプロトコル検出件数の地域分布

Moxa 313脆弱性：地域に集中したエクスプロイト2018年 4月に発生したこの攻撃は、Moxaデバイスに存在するオペレーティングシステムコマンド実行の脆弱性を悪用したものです。これにより、悪意のある Telnetリクエストを処理すると、入力が検証されなくなります。4月、5月、6月に数千の NGFWが次々に攻撃されましたが、攻撃は9月までにほとんど姿を消してしまいました（図 10）。これは、脅威に対抗するパッチ適用の効果だと言われています。

13

プロトコル

日本 /

アジア太平洋地域北米 / 南米 欧州 / 中東 /

アフリカ

地域

図 10：2018年の Moxa 313の月別検知数

デバイス数

月

4月

1,549

6月

2,572

8月

1,000

10月

53

5月

2,667

7月

2,521

9月

47

11月

40

12月

44

2,000

1,500

2,500

1,000

500

0

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

このエクスプロイトを地域別に分析すると、ほぼ完全に日本に集中していることがわかります（図 11）。日本では、家庭やビジネス向けのオートメーション製品に Moxaテクノロジーは広く採用されていますが、これは世界の他の国でも同様です。この攻撃が日本だけで短期間に急増したという事実は、OTインフラストラクチャの最も小さく単純なコンポーネント（ブリッジやシリアルコンバータなど）が標的になりやすいという傾向を裏付けています。

14

まとめこの「OT（Operational Technology）セキュリティトレンドレポート 2019年版」では、ネットワークに接続した ICS / SCADAシステムを運用する組織が重視すべき脅威を解説してきました。攻撃者は戦略的に思考し、テクノロジーの新旧を問わず、防御の甘いシステムや脆弱性を悪用する脅威を新たに開発し、そこから最大の利益を得ようとしています。レガシーシステムは入れ替えペースが遅く、古いシステムが何年もの間使用され続けています。

世界中の政府機関がこのような新たな脅威への対策に取り組んでおり、特に重要なインフラストラクチャの保護を進めています。そのリスクは、グローバル経済の破綻を招くほど大きくなっています。政府機関は、重要度の高い資産の保護を目的に、業界向けのガイドラインを策定しています。たとえば、NERC（北米電力信頼度協議会）は、2003年に米国北東部で発生した停電を受けて標準を策定しました。また、NERCや NIST（アメリカ国立標準技術研究所）などの標準がますます厳格になっていることも、脅威が現実のものであることを示しています。

ICS / SCADAシステムは、長年にわたって多くの組織に大きく貢献してきましたが、何十年もの間大きなアップグレードは行われていません。高度な持続的脅威に対抗するには、パッチの適用、セグメンテーション、アクセス制御など、あらゆる対策を戦略的に講じる必要があります。このようなシステムには、ITネットワークと同レベルのセキュリティ、脅威対策、追跡とレポートプロセスを実装することが急務です。対策を講じなければ、OTネットワークは攻撃者の侵入経路となり、OTと ITの両方のシステムおよびデータへのアクセスを許すことになります。

すべての組織は、ITと OTの分離によって生まれた文化的な課題を克服しなければなりません。ITと OTは、お互いの価値を理解することで、相互にメリットをもたらす関係を構築することが可能です。脅威は現実であり、そのリスクは大きくなりつつあります。組織全体が、包括的かつ戦略的なアプローチで取り組むことこそ、最善の対策です。

図 11：2018年の Moxa 313の国別検知数

国

日本

8,000 7,762

753

188 143 105263 174 116 63 56

7,000

4,000

6,000

3,000

5,000

2,000

1,000

0

南アフリカ ブラジル インド米国 台湾 韓国 カナダ フランス メキシコ

デバイス数

15

REPORT | OT（Operational Technology）セキュリティトレンドレポート 2019年版

1 「The 2018 SANS Industrial IoT Security Survey: Shaping IIoT Security Concerns」、Barbara Filkins著、SANS Analyst Program、2018年 7月（英語）： https://cdn2.hubspot.net/hubfs/2755567/White%20Papers%20and%20Briefs/Sans%20IIOT%20Survey.pdf

2 「IoT Security Fail: 82 Percent of Companies Can't Identify All Network-Connected Devices」、Jeff Goldman著、Security Planetm、 2017年 11月 8日（英語）： https://www.esecurityplanet.com/network-security/iot-security-fail-82-percent-of-companies-cant-identify-all-network-connected-devices.html

3 「State of Operational Technology and Cybersecurity Report（運用テクノロジーの現状とサイバーセキュリティレポート）」、フォーティネット、2019年 3月（英語）： https://www.fortinet.com/demand/gated/report-state-of-operational-technology.html

4 ｢Independent Study Pinpoints Significant SCADA/ICS Cybersecurity Risks｣、フォーティネット、2018年 5月 7日（英語）： https://www.fortinet.com/content/dam/fortinet/assets/white-papers/WP-Independent-Study-Pinpoints-Significant-Scada-ICS-Cybersecurity-Risks.pdf

5 「Security Implications of Publicly Reachable Building Automation Systems」、Oliver Gasser他、Technical University of Munich、 2019年 4月 18日にアクセス時の情報（英語）： https://www.net.in.tum.de/fileadmin/bibtex/publications/papers/bacnet-amplification.pdf

6 「フォーティネット脅威レポート 2018年第 4四半期版」、フォーティネット、2019年 3月： https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/ja_jp/TR-18Q4.pdf

7 「Merck has hardened its defenses against cyberattacks like the one last year that cost it nearly $1B」、Eric Palmer著、FiercePharma、 2018年 6月 28日（英語）： https://www.fiercepharma.com/manufacturing/merck-has-hardened-its-defenses-against-cyber-attacks-like-one-last-year-cost-it

8 「IT ‘heroes’ saved Maersk from NotPetya with ten-day reinstallation bliz」、Richard Chirgwin著、The Register、2018年 1月 25日（英語）： https://www.theregister.co.uk/2018/01/25/after_notpetya_maersk_replaced_everything/

9 「フォーティネット脅威レポート 2018年第 4四半期版」、フォーティネット、2019年 3月： https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/ja_jp/TR-18Q4.pdf

10 「Ransomware Behind Norsk Hydro Attack Takes On Wiper-Like Capabilities」、Lindsey O’Donnell著、Threatpost、2019年 3月 27日（英語）： https://threatpost.com/lockergoga-ransomware-norsk-hydro-wiper/143181/

11 「Industroyer: An in-depth look at the culprit behind Ukraine's power grid blackout」、Charlie Osborne著、ZDNet、2018年 4月 30日（英語）： https://www.zdnet.com/article/industroyer-an-in-depth-look-at-the-culprit-behind-ukraines-power-grid-blackout/

12 「Menacing Malware Shows the Dangers of Industrial System Sabotage」、Lily Hay Newman著、WIRED、2018年 1月 18日（英語）： https://www.wired.com/story/triton-malware-dangers-industrial-system-sabotage/

13 「FortiGuard Threat Intelligence Brief」、フォーティネット、2018年 2月 2日（英語）： https://fortiguard.com/resources/threat-brief/2018/02/02/fortiguard-threat-intelligence-brief-february-02-2018

14 「SAS 2019: Triton ICS Malware Hits A Second Victim」、Tara Seals著、Threatpost、2019年 4月 10日（英語）： https://threatpost.com/triton-ics-malware-second-victim/143658/

参考資料

Copyright© 2019 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、FortiGate®、FortiCare®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。

〒106-0032東京都港区六本木 7-7-7　　Tri-Seven Roppongi 9 階www.fortinet.com/jp/contact

Report-2019-OT-Security-Trends-201911-R1