連邦捜査局（FBI）、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、国家安全保障局（NSA）、環境保護庁（EPA）、エネルギー省（DOE）、および米国サイバーコマンド（USCYBERCOM）のサイバー国家任務部隊（CNMF）は、米国の重要インフラセクター全体でインターネットに接続された運用技術（OT）デバイス、特に**Rockwell Automation/Allen-Bradley**製プログラマブルロジックコントローラ（PLC）が悪用されていることについて、共同で緊急警告を発令しています。 この活動は、プロジェクトファイルへの悪意のある操作や、ヒューマンマシンインターフェース（HMI）および監視制御・データ収集（SCADA）ディスプレイ上のデータの改ざんを通じて、混乱を引き起こしています。一部のケースでは、これにより運用上の混乱や財務的損失が発生しています。 ### 標的セクターと攻撃者 関係機関は、これらの攻撃の背後にイラン関連のAPTグループがいると評価しており、米国国内での混乱を引き起こすことを目的としています。標的となったセクターは以下の通りです。 * 政府サービスおよび施設 * 水および廃水処理システム（WWS） * エネルギー 以前は、PLCを標的とした同様の活動は、イランのイスラム革命防衛隊（IRGC）サイバー電子コマンド（CEC）と提携するサイバー脅威アクターである**CyberAv3ngers**（別名 Shahid Kaveh Group）に起因するとされていました。 ### 推奨される対策 米国の組織は、アドバイザリで提供されている戦術、技術、手順（TTP）および侵害の兆候（IOC）を確認することが強く推奨されます。主な対策は以下の通りです。 * セキュアゲートウェイおよびファイアウォールを使用して、PLCを直接インターネットから隔離する。 * 提供されたIOCについて、利用可能なログを照会する。 * OTデバイスのポート（例：`44818`、`2222`、`102`、`502`）における不審なトラフィック、特に海外のホスティングプロバイダーからのトラフィックについてログを確認する。 * Rockwell Automationデバイスについては、コントローラの物理モードスイッチを「実行」位置に設定する。 ### 侵害の兆候（IOC） IOCはダウンロード可能です。 * [AA26-097A STIX XML](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.xml) (35KB) * [AA26-097A STIX JSON](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.json) (12 KB) ### Rockwell Automationのガイダンス Rockwell Automation/Allen-Bradley PLCを使用している組織は、以下のガイダンスを確認してください。 * [PN1550 | CVE-2021-22681: Logixコントローラで認証バイパスの脆弱性が発見](https://www.rockwellautomation.com/en-fi/trust-center/security-advisories/advisory.PN1550.html)（2021年公開） * [SD1771 | Rockwell Automation、サイバー脅威からPLCを保護するため、デバイスのインターネットからの切断とPLCの強化に関する顧客ガイダンスを再確認](https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html)（2026年公開） 質問やインシデントの報告については、Rockwell Automation Product Security Incident Response Team（PSIRT）まで [[email protected]](mailto:[email protected]) までお問い合わせください。 ### 歴史的背景 2023年11月以降、IRGC CECと提携する**CyberAv3ngers**が米国のPLCおよびHMIを標的とし、混乱を引き起こす同様のキャンペーンが観測されています。これらの攻撃により、少なくとも75台のデバイスが侵害され、WWSを含む複数の重要インフラセクターで使用されている米国のUnitronics PLCデバイスが標的となりました。このグループは、Hydro Kitten、Storm-0784、APT Iran、Bauxite、Mr. Soul、Soldiers of Solomon、UNC5691、および Shahid Kaveh Groupとしても知られています。