米国当局が、イランに関連するとみられる脅威アクターによるサイバー攻撃の活発化を警告し、標的として上下水道などの重要インフラが挙げられた。上下水道は住民の生活に直結し、停止や水質への影響が社会不安に直結するため、攻撃者にとって「少ない労力で大きな効果」を狙いやすい。加えて、運用技術(OT)領域はITと異なる制約が多く、脆弱性管理や更新の難しさ、保守ベンダー依存、遠隔運用の増加などが重なり、攻撃が成立しやすい環境が残りやすい。
上下水道が狙われる理由:社会的インパクトと攻撃しやすさ
上下水道システムは、浄水場・配水・ポンプ場・下水処理場など複数の設備が連携し、センサーや制御機器(PLC、RTU、HMI/SCADA)で運転状況を監視・制御している。攻撃者が狙う主な目的は次の通りだ。
社会的混乱の誘発:断水、処理能力低下、警報の乱発などは住民・自治体の対応を強制し、報道や政治的圧力を生みやすい。
心理的効果:水は生活インフラの中でも「安全・衛生」と直結するため、信頼低下の影響が大きい。
運用上の制約:稼働停止が難しく、更新・パッチ適用が後回しになりがちで、古い機器が長期利用されやすい。
ネットワークの混在:ITとOTの接続、保守用リモートアクセス、クラウド連携などにより攻撃面が広がる。
特に近年は、地政学的対立と連動して重要インフラが「圧力の道具」になりやすい。破壊工作に至らずとも、運用妨害や不正操作の兆候を示すだけで、相手国・組織にコストを強いることができる。
想定される攻撃シナリオ:IT侵害からOTへ波及する
上下水道を含むOT環境では、いきなり制御機器へ侵入するよりも、まずIT側(業務ネットワーク、メール、VPN、端末)から侵害し、横展開してOTへ到達するパターンが現実的だ。代表的なシナリオは以下である。
認証情報の窃取とリモートアクセス悪用:VPN、RDP、リモート保守ツールのID/パスワードが流出すると、正規利用を装って侵入されやすい。多要素認証が未導入、共有アカウント、退職者アカウント放置があるとリスクが急増する。
フィッシングからの初期侵入:請求書・発注書・工事関連などの文面は自治体・インフラ事業者で成立しやすく、添付ファイルや誘導リンクから端末感染が起こる。
境界の不備によるOT到達:IT-OT間のファイアウォール設定不備、ジャンプサーバ不在、運用上の例外(緊急対応のための直通経路)があると、侵害がOTへ波及する。
HMI/エンジニアリング端末の掌握:運転監視端末や設定変更端末が侵害されると、運転条件の改変、警報無効化、ログ改ざんなど、物理プロセスに影響しうる。
ランサムウェアによる操業停止:OT機器そのものより、周辺のWindowsサーバ、監視端末、帳票・在庫・保全システムが暗号化され、操業継続が困難になる。
重要なのは、攻撃者が必ずしも「高度なゼロデイ」を必要としない点だ。現場で長年使われる機器・端末には既知の弱点が残りやすく、運用の穴(パスワード管理、ネットワーク分離、監視不足)を突くことで成立してしまう。
上下水道特有のリスク:安全・品質・可用性の優先順位
OTセキュリティでは「機密性」よりも「可用性」「安全性」が最優先となる。誤検知で制御通信を遮断すれば、停止や事故につながりかねないため、ITで一般的な対策をそのまま適用できない場面がある。
また、上下水道は広域に設備が点在し、遠隔監視や委託運用が多い。ポンプ場や配水池など無人施設が多いこともあり、通信回線・現地機器・保守端末の管理が複雑化する。さらに、自治体・地域企業・ベンダーが連携して運用するケースでは、責任分界とセキュリティ要件が曖昧になりやすい。
日本の事業者・自治体が取るべき実務的な対策
地政学リスクが高まる局面では、特定国名の脅威に限定せず、「重要インフラを狙う攻撃が増える」前提で備える必要がある。現実的に効果が出やすい対策を、優先度の高い順に整理する。
資産の可視化と通信の把握(OTの棚卸し)
最初の一歩は、何がどこにあり、どの通信が正なのかを把握することだ。PLC、HMI、スイッチ、無線区間、保守用回線、委託先の接続経路を一覧化し、機器の型番・ファームウェア・サポート期限を整理する。未知の機器や不要な接続が見つかるだけでもリスク低減につながる。
リモートアクセスの統制:MFAと最小権限
侵害の起点になりやすいリモート接続は、MFAを原則必須とし、ジャンプサーバ経由に統一する。共有アカウントを廃止し、作業者ごとに個別アカウントを付与、作業時間帯・接続元・コマンドの監査ログを残す。委託先・ベンダーについても、接続要件と監査権限を契約で明確化することが重要だ。
IT-OT境界の設計見直し:分離と例外管理
ネットワーク分離は「ある/ない」ではなく、現実の運用に耐える設計が必要である。OT側は必要最小限のプロトコルと通信先に限定し、例外ルールは期限付きで管理する。可能であれば、OT DMZを設け、データ連携は一方向ゲートウェイや中継サーバで制御する。
検知と初動:OTを止めない監視設計
OTに過度なエージェント導入が難しい場合でも、ミラーポート等で通信を観測し、異常な操作や普段と違う通信先を検知する仕組みは構築できる。加えて、インシデント発生時の初動手順(隔離判断、手動運転への切替、関係者連絡、ログ保全)を訓練し、机上ではなく現場で回る形に落とし込む。
脆弱性・更新の現実解:停止できない前提での計画
パッチ適用が難しい機器は、ネットワーク制御、アクセス権限の限定、設定変更の監査、バックアップとリカバリ手順の整備でリスクを抑える。更新が可能な端末やサーバは、計画停止の枠を確保し、手順書と検証環境を整えて適用率を上げる。特にエンジニアリング端末は、一般の事務端末以上に厳格な管理が必要だ。
経営・ガバナンスの観点:サイバーを「安全保障」として扱う
上下水道のサイバー対策は、IT部門だけでは完結しない。施設保全、運転、調達、委託管理、危機管理部門が一体となり、優先設備の定義、復旧目標(RTO)や手動運転の条件、代替供給の手順まで含めた事業継続計画(BCP)に落とし込む必要がある。
また、サプライチェーンの観点も欠かせない。制御機器メーカー、保守会社、SIer、通信事業者など外部関係者が多い領域だからこそ、セキュリティ要件(MFA、ログ提出、脆弱性対応、インシデント連絡)を契約と運用で担保することが、実効性を左右する。
今後の見通し:狙いは「破壊」だけではない
重要インフラに対するサイバー脅威は、物理破壊や汚染のような極端な事態だけでなく、運用妨害、情報収集、アクセス権の潜伏、心理的圧力など多層的である。攻撃者は、短期的な混乱を狙う場合もあれば、有事を見据えてアクセスを確保し続ける場合もある。
だからこそ、対策のゴールは「侵入ゼロ」ではなく、侵入を前提にした検知・封じ込め・安全な運転継続・迅速な復旧を実現することにある。米当局の警告は、特定の地域の話にとどまらず、日本の上下水道を含むOT運用者に対しても、平時からの備えを急ぐべきだという強い示唆となる。