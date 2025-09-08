この記事は、Jeff KuoとKelsey Oliverの協力により作成されました。
世界で最も洗練された脅威アクターは、より高速かつ静かに動作し、現代社会の心臓部であるオペレーショナル・テクノロジー（OT）と重要なインフラストラクチャーをターゲットにしています。事実は明らかです。多くのランサムウェア、持続的標的型攻撃（APT）、サイバー犯罪グループはデータ窃盗にとどまらず、物理的な混乱、さらには破壊行為を目指しています。ビジネスニーズによるITとOTの融合により、リスクの高い攻撃対象領域が拡大しています。武器化された脆弱性（CVE）は、多くの場合、公開後数日または数時間以内に猛スピードで悪用されます。
このブログでは、IBM X-Forceが提供する最前線のインテリジェンスと、2025年データ侵害のコストに関する調査で明らかになった新たなOT関連の漏えいデータを融合します。
IBMの2025年「データ侵害のコストに関する調査」では、当社の研究パートナーであるPonemon Instituteが6,485件を超える侵害を調査しました。これらの組織のうち、15%がインシデントがOT環境に影響を与えたと回答し、そのグループのうち4分の1近く（23%）が、インシデントがOTシステムまたは設備に損害をもたらしたと報告しました。
組織が侵害の成果としてOT環境への影響を受けていることは驚くべきことではありません。近年、脅威アクターがさまざまな業界にわたってOTの混乱を引き起こす事例が数多くあります。
現代の攻撃者の技術的な高度化と根強い存在は、物理的な安全性、規制遵守（NERC CIP、NIST CSF、IEC 62443など）に連鎖的な影響を及ぼし、重要なインフラストラクチャーに対する一般市民からの信頼を損なうなど、複数のベクトルによる混乱を同時に引き起こす可能性を生んでいます。
今日の攻撃者は、国民国家のリソース、サイバー犯罪のイノベーション、ハクティビストの日和見主義が融合し、これまで以上に多様かつ専門的で、攻撃的になっています。攻撃者のプレイブックは絶えず進化しており、新しいグループや同盟がレガシー・プレイヤーに加わり、世界中の重要なインフラストラクチャーを脅かしています。
オペレーション上の混乱を引き起こす脅威アクターは、主にVPNコンセントレーター、リモート・デスクトップ・ゲートウェイ、OTプロトコル変換器などの境界向けデバイスに影響を及ぼす狭い範囲の脆弱性を標的にしています。これらのCVEは、一度武器化されると、攻撃者に非認証的なリモート・コードの実行やルートレベルのデバイス制御を提供し、多くの場合、レガシーの認証およびアクセス制御メカニズムの直接バイパスを可能にします。デバイスのアップタイム要件、ベンダーのパッチの遅延、または資産の可視性のギャップにより、重要な環境ではこれらの脆弱性の多くがパッチを適用されていないままであるため、オペレーションへの影響は増幅されます。
さらに、ITとOTの融合、リモート管理ツールの普及、サードパーティー・ベンダーとの統合により、攻撃者に新しい横方向の経路が生まれています。侵害されたサプライチェーン・パートナーやサード・パーティーのインテグレーターが信頼できるエントリー・ポイントとして活用され、ベンダーのリモートアクセスが公開されたことやファイアウォールの設定ミスにより、静的セグメンテーションがさらに損なわれます。攻撃者は、信頼できるIT/OTブリッジ、セキュリティーで保護されていないフィールド・デバイス、さらには保守用ノートPCをエクスプロイトして、プロセス制御ネットワークや安全システムに直接アクセスします。この進化する攻撃対象領域により、従来の境界セキュリティー・モデルは不十分になり、動的なネットワーク監視、継続的な資産発見、脅威情報に基づいたアーキテクチャーの必要性が際立つようになりました。
X-Forceの脆弱性データベースのデータによると、2025年上半期にOT環境に影響を及ぼす可能性のある脆弱性が670件公開されており、そのうち11%のCVSS重大度評価 は「重大」（CVSSスコア：9.0～10.0）となっています。さらに、重大な脆弱性の5分の1（21%）はエクスプロイト・コードが公開されています。
今年、重大なOTの脆弱性を悪用した注目すべき例は以下のとおりです。
これらの例は、脅威アクターのレーダーにかかっている脆弱性を常に把握しておくことの重要性を示しています。X-Forceは、さまざまなオンライン・フォーラム、市場、Telegramチャネル、チャット・ルーム、ディスカッションを評価し、2025年上半期に最も多く言及されたOT/ICS環境に影響を与える可能性のあるCVEを明らかにしました。これらの洞察は、組織のパッチ管理戦略に役立ちます。
2025年上半期に開示されたOTに影響を与える可能性のあるCVE上位10件のうち、90%が積極的にエクスプロイトされ、70%がAPTによって積極的にエクスプロイトされています。例えば、トップに挙げられたCVE-CVE-2025-0282は、「中国と関係のあるスパイ・アクターと疑われる」UNC5221によってエクスプロイトされたと報告されています。この脆弱性により、認証されていない攻撃者が、脆弱なConnect Secure VPNアプライアンスの背後にある内部ネットワークへの最初の足掛かりを得ることができます。その後、攻撃者はネットワークに水平的に侵入し、産業用制御システムに影響を及ぼす可能性があります。2番目に多く言及された脆弱性であるCVE-2025-31324は、「中国の脅威アクター」Chaya_004によって積極的にエクスプロイトされたと報告されました。SAP NetWeaver Visual Composerに影響するこの脆弱性により、攻撃者はリモートでコードを実行できる可能性があります。多くの産業組織は、エンタープライズ・リソース・プランニング（ERP）やサプライチェーン・マネジメント（SCM）にSAPを活用しており、OTシステムと直接的に連携したり、間接的に影響を与えたりする場合があります。
2025年は、OTおよび重大なインフラストラクチャーのセキュリティーにとって決定的な年です。意欲的な国家レベルの攻撃者、急速に進化するランサムウェアのエコシステム、そして影響力の大きい脆弱性の狭い範囲の持続的なエクスプロイテーションは、レガシーOT環境の根本的な弱点を露呈しています。攻撃者は現在、従来の境界防御を日常的に回避し、サプライチェーンの侵害、特権認証情報の盗難、深い横移動を利用して、ビジネスに大打撃を与え、さらには安全性にも重大な結果をもたらしています。
このような脅威ランドスケープにより、組織はOTリスクの管理方法を根本的に再考する必要があります。サイバーセキュリティーは、コンプライアンスやチェックボックスによる管理を超えて、インテリジェンス主導の、セクター固有の防御モデルへ移行します。生き残るためには、もはや初期アクセスを防ぐだけでは不十分です。迅速な検知、効果的な封じ込め、そしてレジリエントな回復が求められ、これらはすべて、経営陣の継続的な関与と取締役会レベルのガバナンスによって支えられます。
2026年以降のオペレーション上のレジリエンスは、適切な脆弱性に優先順位を付け、現実世界の攻撃シナリオをシミュレートし、階層化された制御を実施し、制御室から取締役会までサイバーセキュリティーの所有権を推進する組織の能力によって決まります。サービス継続性、規制遵守、物理的安全性、公共の信頼はすべて、積極的かつ適応性のあるOTサイバー防御ストラテジーにかかっています。IBMでは、組織に対して次の推奨事項を確認することをお勧めしています。
1. パッチ管理を最優先する
2. セクターに脅威をマッピングする
3. レッド・チームのような手法を取る
4. 「チェックボックス型セキュリティー」ではなく階層型防御を採用する
5. 取締役会レベルの賛同と現実世界でのテスト
