イランのハッカーがアメリカの重要インフラを標的にしているとアメリカ当局が警告

アメリカの複数の政府機関が、イラン政府が支援するハッカー集団がアメリカの重要インフラシステムを標的にし、妨害工作を目的とした戦術をエスカレートさせているとして2026年4月7日に共同勧告を発信しました。

Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a

Iranian hackers are targeting American critical infrastructure, US agencies warn | TechCrunch
https://techcrunch.com/2026/04/07/iranian-hackers-are-targeting-american-critical-infrastructure-u-s-agencies-warn/

攻撃の主な対象となっているのは、上水道および廃水処理施設、エネルギー関連施設、地方自治体の設備といった国民生活に直結する重要インフラ部門です。これらの施設では産業用機器の制御や管理に使用されるPLCや監視制御・データ収集(SCADA)製品、特にRockwell Automation/Allen-Bradley製のPLCが使われており、これがハッカーの標的になっているとのこと。

当局はこの攻撃が2026年2月28日の空爆により始まったアメリカ、イスラエルとイランとの戦争を受けた対抗措置であり、戦術の顕著なエスカレートであると分析しました。

特定の攻撃主体として、イラン政府が支援するハッカー集団「Handala」の関与が指摘されています。このグループは、アメリカの医療技術大手ストライカーのネットワークに侵入し、企業のセキュリティツールを逆手に取って数千台の従業員用デバイスのデータを遠隔で消去したとされています。また、FBIのカッシュ・パテル長官の個人メールアカウントから内容を一部流出させた件についても、FBIはこのグループの仕業であると断定しています。

ハッカーは海外のIPアドレスから、Studio 5000 Logix Designerなどの正規のエンジニアリングソフトウェアを悪用してPLCへのアクセスを試みているとのこと。標的はロックウェル製品だけでなく、シーメンスのS7 PLCに関連する通信ポートも狙われていることから、他メーカーのデバイスも攻撃対象に含まれている可能性が高いとされています。さらに、被害者のシステム内にDropbearと呼ばれるSSHソフトウェアを設置し、継続的な遠隔操作を可能にするための足場を築いている実態も明らかになりました。

アメリカ当局は、これ以上の被害を防ぐために即時の対策を講じるよう組織に求めています。最も優先されるべき対策は、PLCをパブリックインターネットから完全に切り離すことです。やむを得ず遠隔アクセスが必要な場合は、VPNやジャンプホストを経由させ、多要素認証(MFA)を必ず導入することを推奨しています。また、ロックウェル製品などの物理的なスイッチを搭載したコントローラについては、リモートからのプログラム書き換えを防ぐために、物理的な鍵を「RUN(実行)」ポジションに固定しておくことが非常に有効な防御策となります。

最後に、当局はデバイスメーカーに対しても責任を果たすよう促しており、製品が工場から出荷された時点ですでに安全である「セキュアバイデザイン」の考え方を徹底し、管理画面がインターネットに露出するデフォルト設定を改めることや、基本的なセキュリティ機能に追加料金を課さないことを強く求めています。また、重要インフラを守るためには、運用組織による日々の監視に加え、メーカー側がユーザーに負担を強いない強固な製品を提供することが不可欠であると結論づけています。