IT & OT risk & incident responce

Transcript

1. THREAT ALERT 攻撃予告メール JUDGMENT POINT POINT 判断の分岐点 もしもあなたの組織に 届いたなら アスタリスク・リサーチ

   岡田良太郎 [email protected] サイバー攻撃予告が CYBER SECURITY RESPONSE

2. Representative Director 株式会社 アスタリスク・リサーチ 代表取締役 エグゼクティブアドバイザ BBT大学 サイバーセキュリティ担当教員 OWASP コントリビュータ

   / ライフタイムメンバー 岡田 良太郎 Riotaro Okada - [email protected] 専門分野 Security 経営 教育 Speaker

3. Concept Fundamental Balance セキュリティコントロールの本質 外部脅威 × 組織リスクの力関係 THREATS RISKS 外部からの脅威

   攻撃者の手口・動機 ランサムウェア サプライチェーン 組織のリスク 脆弱性（未パッチ・認証） 資産の重要性（インフラ） 影響範囲（停止時の被害） バランス? 監視 分割 ID保護 パッチ SECURITY CONTROLS

4. AIリスクの急浮上 3位 生成AI悪用でディープフェイク・自動攻撃が 現実化 NEW ランサムウェア被害 1位 5年連続1位。二重・三重脅迫が常態化 サプライチェーン攻撃 2位

   委託先経由の侵入増加。ゼロトラスト必須 Japan Standard IPA 情報セキュリティ 10大脅威 2026 日本国内で最も参照される指標 情報処理推進機構（IPA）が毎年選出 （2026年1月29日発表） TOP 10 2026年版の3つの注目点 Highlight

5. DDoS攻撃の急増 77% 全インシデントの77%。政治的動機が主因 OT領域への侵入 INCREASE 18.2% OT攻撃18.2%増。製造業被害率59.3% 国家支援型攻撃の常態化 重要インフラが標的。破壊活動へシフト ENISA

   Threat Landscape 2025 欧州サイバーセキュリティ機関 EU圏で最も信頼される脅威分析レポート。 4,875件のインシデントを詳細分析。 (2024.7 - 2025.6) Global Authority TOP REF 2025年版の3つの核心 質的変化：金銭目的から破壊活動へ Trend Alert

6. Vector 01 認証突破・システム脆弱性 「だれがやられたんだろうか」 Vector 02 保守/テレワークVPN 「ついにきたか」 Vector 03

   フィッシング詐欺 「誰が踏んだんだろうか」 Vector 04 サプライチェーン 「どの仕入れ先が...」 社内 ネットワーク Common Target 侵害完了 Overview Common Patterns 侵入経路、御社であり得るのは？ IT環境 OT環境 Threat Landscape

7. Section Break Current Focus IT 環境 サイバー攻撃の現実と対応 脅迫メールが来たときなにを思いますか

8. 02 正規ルート侵入 正規認証で堂々とログイ ン 検知が困難 03 管理者権限奪取 AD（認証中枢）の管理者 権限を奪取 全権掌握

   04 内部拡散 ファイルサーバ・OTセグ メントへ拡散 被害拡大 05 犯行声明メール データ暗号化後、 脅迫メール送信 完了通知 01 VPN認証情報 漏えい 保守用ID・パスワード が漏えい （ダークウェブ等） 正規の鍵が流出 エピソード１：漏えいした保守用認証情報 保守用アカウントがすでに流出されていた Target Ris k OT・医療のリスク高 Dark Web = 非公開の闇市場 AD (Active Directory) = 認証管理の中枢

9. 01 管理口の放置 VPN管理画面がデフォル トパスワードのまま放置 裏口が開いたまま 02 更新サーバ脆弱性 WSUS等のパッチ適用遅 れで攻撃の足場に 守る側が弱点に

   04 正規ツール偽装 PowerShell等の 正規ツールで検知回避 見た目は正常業務 05 犯行声明メール バックドア完成後、 脅迫メール送信 手遅れの通知 03 アプデ疲れ 警告を見過ごし 正常性バイアス エピソード２：放置してあった脆弱性 VPN管理機器・ファームウェア・更新サーバの死角 Target Ris k 既知の脆弱性 WSUS = Windows Server Update Services Security Fatigue = セキュリティ疲れ・慣れ

10. 01 改ざん 業務サイトや 委託先サーバが改ざん 正規サイトが悪意 に 02 閲覧・DL いつもの操作で 裏で悪性コード実行

    無意識の実行 03 感染・C2 マルウェア感染、 C2サーバと通信開始 遠隔操作確立 04 内部拡散 認証情報奪取し、 内部拡散 横展開（Lateral） 05 犯行声明メール データ暗号化後、 脅迫メール送信 侵害完了の宣言 エピソード３：いつもの業務から入口をつくられる 水飲み場／サプライチェーン攻撃 Target Ris k 全業種・サプライチェーン Watering Hole Attack = 水飲み場攻撃（よく行くサイトを改ざん） C2 Server = 攻撃司令塔サーバ

11. Analysis Recent Attack Patterns 入口が違っても、内部の目的はだいたい同じ 共通チェイン分析 The 5-Step Chain 対応の第一歩は、この「鎖（チェーン）」のどこまで進んでいるかを見極めること。

    足場づくり 外から入れる 状態を確保 Step 01 権限を上げる 管理者権限へ Step 02 横に広げる 別の端末・ サーバへ Step 03 盗む／壊す準備 持ち出し・ バックアップ破壊 Step 04 TARGET 犯行声明 支払わせる圧力 侵害宣言が来たということはすでにということ 潜入&準備完了している可能性が高い

12. Action Plan First 60 Minutes Response 初動のアクション Emergency Response Protocol

    即時行動の「型」 01 02 03 04 05 証拠を保全する ログ・予告文・リンク・画面 証拠を残す 連絡窓口を整える バラバラ返信禁止・電話連絡 組織窓口一本化・ヘルプデスク 再入場を絞る VPN・リモート管理の一時停止 外から入れる経路を減らす 資産とアクセスを守る 攻撃者に奪われる前に確保 ID(特権)・バックアップ 被害範囲を確かめる 犯人探しより「進行度」の確認 鎖のどこまで進んだか

13. Assessment Key Indicators 侵害を想定したモニタリング・ログはなにか Initial Triage Checklist 初動の絞り込み 1. 認証：ログインの異常

    見慣れない場所・時間帯 深夜や休日、海外IPからの接続試行か？ 短時間の「失敗連発」とその後の「成功」か？ 2. 外部からの入口の成功・失敗ログ VPN装置 ／ 公開サーバ 境界の認証ログを確認。 大量のデータ転送や、特定のIPとの長時間接続。 3. 端末での実行状況、接続 見慣れないスクリプト・ツール・接続先 PowerShellやコマンドプロンプトの不審な履歴。 正規管理ツール（PsExec等）の予期せぬ実行。 4. データへのアクセスとクラウド転送量 急な圧縮 ／ 大量送信 ／ DBクエリー ファイルサーバでの大量アクセスログ。 zip/rarなどの圧縮ファイルの作成痕跡。 Golden R ule 見つけた事実を「時系列」で並べる 点と点をつなぐと、攻撃のストーリーが見える

14. Section Break Critical Infrastructure OT 環境 制御システムへの脅威 重要インフラを守る実践的アプローチ

15. Safety First Critical Infrastructure Protection OT（制御環境）は“止め方”を間違えると安全事故になる Priority Hierarchy 安全停止の原則 ITの正解

    Information Technology 「即遮断」 情報漏えいを防ぐため すぐに止めるのが定石 OTの正解 Operational Technology 「計画分離」 急停止は爆発等の危険あり 手順に従い安全に止める 証拠保全 事業継続 設備の安全 人の安全 ACTION REQUIRED 運転・安全の責任者を呼び、一緒に決める セキュリティ担当だけの判断でネットワークや電源を遮断できない

16. Analysis OT Entry Vectors 侵入経路の現実：3つの主要ルート OT環境への侵入実態 Reality of OT Intrusion

    Paths 1. インターネット露出 パスワード「鍵を渡した」 状態 2. ITからの横移動 事務系PC侵害からの到達。 3. ベンダー保守 「繋ぎっぱなし」リモート保守。 端末衛生管理及ばず バックドア化 Reality Check 高度な技術で壁を越えるよりも、「開いているドア」から入る 攻撃者は最もコストの低い侵入経路を選択する

17. Warning Critical Infrastructure Threat 重要インフラを狙う影 Introduction to OT Security 物理的破壊へのシフト

    OTシステムの脅威 ICSマルウェアの登場 産業制御システム（ICS）を標的とし、 重要インフラの機能を直接狙う。 PLC等を標的化 攻撃者の目的変化 「物理的な機能停止」 明確にシフトしている。 対策の変化についていく ITセキュリティの延長線上の対策だけではNG に基づいた、根本的な再設計が必要 OT特有の制約と前提 Phase Shift Target Objective OT（制御環境）への攻撃は 『停止・破壊』

18. Threat Analysis VoltRuptor 脅威の実態：OT向けマルウェア Advanced Persistent Threat Invisible Destruction 産業プロトコルの悪用

    ModbusやDNP3などのOTのレガシ ーなプロトコルを操作。「正規コ マンド」に見せかけて機器を誤動 作させる 従来の異常検知では発見が困難。 痕跡の隠蔽工作 ログの改ざん・消去に加え、Time Stomping（時刻改変）などの高度 なアンチフォレンジック技術を実 装。 ENISAの警告：攻撃手段の拡散 高度な攻撃ツールがダークウェブで流通し、低いスキル の攻撃者でも扱える状況が拡大 正規操作に偽装し 痕跡も消す

19. Evolution Malware History Modbusの弱点は20年前から潜在 Threat Escalation Timeline 2018 - 2025

    VPNFilter 2018 Modbus傍受・改ざん モジュール搭載 Sandworm (GRU) 帰属 実被害: なし (未遂) PIPEDREAM 2022 多プロトコル攻撃 (OPC UA/Modbus/CODESYS) "Stuxnet以来最も危険" FrostyGoop TURNING POINT Modbus TCP直接制御 (Go言語 Windows binary/ JSON) 実被害発生 (ウクライナ) 600棟の暖房停止 (氷点下) 2日間復旧不能 "VoltRuptor" ハクティビスト使用拡大

20. Strategy Defense in Depth 防御戦略：侵入を前提にしたレジリエンス設計 Purdue Model Segmentation 境界防御と通信制御 Level

    5 Level 4 Level 3 Level 2 Level 1 Level 0 PAM (特権ID管理) ＋ MFA (多要素認証) IT/OT間の直接接続を廃止。 「繋ぎっぱなし」を防ぐ。 マイクロセグメンテーション マルウェアの横移動(Lateral Movement)を封じ込める。 産業通信の許可リスト (Allow List) Modbus/TCP等の重要通信は 異常な制御コマンドを遮断 JIT (Just-In-Time) 権限付与 必要な時だけ権限を付与し、作業終了後に剥奪。 常時特権を持つアカウントをゼロにする。 DMZ Jump Server Historian

21. Immediate Action CISO Directives 今すぐすべきアクション (Next Step) Emergency Response Plan

    3つの緊急対策 1. 外部露出の 緊急棚卸し Shodan等で公開状態を確認 HMI / VNC / PLCのポート開放確認 パスワードなし/簡易認証の即時特定 発見次第即時遮断 2. デフォルト パスワード全廃 全拠点の認証設定を再点検 PLC / HMIの初期設定ID/PWを変更 共有アカウントの廃止と個別化 「admin/password2026」等の安易な設定 を排除 3. 保守ベンダー回 線の棚卸し 全リモート接続の見直し 「繋ぎっぱなし」の保守回線停止 接続経路をDMZ経由＋MFAに統一 JIT（必要な時だけ）権限付与へ Within 24 Hours Within 7 Days Within 7 Days Safety First Policy 人の安全・設備の安全を最優先 対策実施時は必ずOT（運転・製造）責任者と合議の上で進めること 19 / 23

22. Concept Paradigm Shift AppGuardの思想：実行・改変の防止 背景：入口の多様化 侵入経路は無数にあり、全てを塞 ぐのは困難で、正規ツールを悪用 した攻撃は、従来の「検知」をす り抜ける... 設計：実行制御

    「悪いもの」を探して止めるので はなく 「正しいプロセス」以外の 実行・改変を抑止。 相性：OT環境への適用 「頻繁な更新が難しい」OT環境においてシステムを堅牢 化する手法は、運用の制約がある。 Security Policy 実行させない 勝手に 変えさせない Design Philosophy: Zero Trust Endpoint Protection 21 / 23

23. Critical Warning Mitigation vs Remediation 重要な注意点：緩和策の限界 Common Misconception 可用性（Availability）の喪失リスク ハードウェア・OSの老朽化

    非互換性とサポート終了の影響 プロトコルレベルの脆弱性 正しい位置づけ：「時間を買う」戦略 根本パッチ適用までの猶予 緊急パッチのパニックから解放され、検証時間を確保。 AppGuardが最前線で時間を稼いでくれている間に、 我々人間は計画的にシステムのライフサイクル（更新）を回す。 The Absolute Conclusion 「放置してよい」という結論には絶対になりません。 計画的ライフサイクルへ移行 買った時間で、安全にシステム更新を計画・実行。

24. Concept Defense in Depth 攻撃者 ランサムウェア サプライチェーン 外部からの脅威 (THREATS) 監視

    分割 ID保護 パッチ Security Controls 組織のリスク 脆弱性 資産価値 影響範囲 Core Assets 常に存在する圧力 「侵入」を前提とする 継続的な更新が必須 継続的改善 多層防御の構造的理解

25. 01 現状の弱点は時系列で深刻化する。自然には解決しない。 攻撃想定レベルで明確化し、強化が先決。 02 「これまでのやり方」が攻撃の対象、脆弱性の前提になっている。 慣習の無防備な継続が最大のリスク。 03 モニタリングは「認証」から重点着手せよ。 成功/失敗ログを時系列で見れば動向が見える。 04

    敵は連帯している。ひとりでは勝てない。助けを求める力もセキュリティスキル。 巨大ネットワーク組織対。１組織の勝負。セキュリティネットワーク構築に着手せよ。 Conclusions 本日の論点（Takeaways）

26. M u l t i - L a y e

    r e d D e f e n s e S t r a t e g y Thank You アスタリスク・リサーチ 岡田 良太郎 [email protected]