Iran-linked hackers disrupt operations at US critical infrastructure sites | TechDistill

> Source: Ars_Technica

// Problem

産業用制御システム（ICS）において、PLCがインターネットに直接露出していること、およびそれらを管理するエンジニアリング・ワークステーションが、非標準ポートでのRDP公開などの不適切なネットワーク設定により、外部から容易にアクセス可能な状態にあることが技術的課題である。

// Approach

攻撃者はゼロデイ脆弱性を悪用せず、Rockwell Studio 5000 Logix Designer等の正規ツールを用い、公開されたワークステーションからPLCへ直接アクセスする手法をとる。これにより、HMI/SCADAの表示データの改ざんやプロジェクトファイルの操作を可能にしている。

// Result

複数の重要インフラセクターで運用停止や経済的損失が発生している。Modbus S7/10等の他プロトコルへの偵察も確認されており、今後、攻撃対象となるデバイスや手法が拡大する可能性が高い。PLCの隔離とアクセス制御の強化が急務となっている。

Senior Engineer Insight

> 本件の本質は、脆弱性の欠如ではなく「設計上の不備」にある。正規ツールを用いた攻撃は、従来のシグネチャベースの検知を容易に回避する。現場の技術責任者は、PLC自体の堅牢性のみならず、管理端末のネットワーク分離（エアギャップの確保）と、非標準ポートを含む不審な通信の徹底的な監視に注力すべきだ。スケーラビリティの観点からも、個別のデバイス保護に依存せず、境界防御とゼロトラストモデルの導入による階層的な防御設計が不可欠である。