Dragos 2026年レポート:これがすべてを変える理由
一部のサイバーセキュリティレポートは、既に分かっていたことを裏付けるものです。しかし、今回のレポートは新たな事実を明らかにしています。
Dragosが2026年2月17日に発表した「2026年OT/ICSサイバーセキュリティレポート」は、産業および重要インフラを取り巻く脅威に関する同社の包括的な分析の9年目となります。しかし、今年の調査結果は単なる漸進的な変化ではありません。敵対者が運用技術(OT)環境にどのようにアプローチするか、その構造的な変化を示しており、それがデータセキュリティ、データプライバシー、規制コンプライアンスにどのような影響を及ぼすかを示しています。
最も重要であり、かつ警鐘を鳴らすべき発見は明確です。敵対者はもはやアクセスを得て待機するだけではありません。彼らは制御ループを積極的にマッピングし、産業プロセスの仕組みを理解し、物理的な影響を与えるための準備を進めています。
これは偵察ではありません。運用妨害のための準備です。
5つの重要なポイント
- 敵対者は偵察から制御ループのマッピングへと移行。 Dragos 2026年レポートは、脅威アクターが産業環境にアプローチする方法に根本的な変化があったことを記録しています。KAMACITEは2025年を通じて米国インフラ全体で制御ループを体系的にマッピングし、ELECTRUMはポーランドの分散型エネルギーシステムを標的に、運用資産への影響を意図的に試みました。敵対者は単にアクセスを得るだけでなく、コマンドがどこから発信され、どのようにシステム内を伝播し、どこで物理的な影響を与えられるかを学習しています。これは、受動的な足場から能動的な運用理解への成熟を意味します。
- 3つの新たな脅威グループが出現—連携したエコシステムとして活動。 Dragosは2025年に、SYLVANITE、PYROXENE、AZURITEという3つの新たな脅威グループを特定しました。特に注目すべきは、SYLVANITEがアクセスブローカーとして機能し、Ivanti、F5、SAP、ConnectWise製品の脆弱性を迅速に悪用し、確立した足場をVOLTZITEに引き渡してOTへのより深い侵入を実現している点です。PYROXENEは地域紛争中に重要インフラに対して破壊的なワイパーマルウェアを展開しました。AZURITEはFlax Typhoonとの運用上の重複を示し、米国、欧州、アジア太平洋地域で継続的な活動を行いました。エコシステムモデル—専門家がより高度な敵対者のためにアクセスを確立する—が現在の主要な運用パターンとなっています。
- OTに到達するランサムウェアグループが前年比49%急増。 2025年、産業組織を標的としたランサムウェアは前年比49%増加し、世界で3,300の組織に影響を与えました。しかし、本質的な問題は運用妨害です。ランサムウェアはもはや「ITだけ」の問題ではなく、OT特有の復旧を要する数日間の停止を引き起こしています。多くの組織は、ランサムウェアが運用環境にまで及ぶ影響を大幅に過小評価しており、インシデントをIT限定と誤認し、生産システムや安全制御、物理プロセスへの波及効果を見逃しています。
- 可視性が決定的な差別化要因—検知まで5日対42日。 OT環境で包括的な可視性を持つ組織は、OTランサムウェアインシデントを平均5日で検知・封じ込めました。一方、業界全体の平均は42日です。これはわずかな改善ではなく、インシデントを封じ込めるか壊滅的な事態になるかの違いです。検知の成熟度は対応の成否に直結しますが、OTネットワークのうち必要な可視性を備えているのは10%未満であり、敵対者が目的を達成する前に偵察や横移動、データ流出を検知できていません。
- VOLTZITEがICSサイバーキルチェーンの第2段階に到達。 Dragosは、VOLTZITEがエンジニアリングワークステーションのソフトウェアを操作し、設定ファイルやアラームデータを抽出したことを観測し、同グループをICSサイバーキルチェーンの第2段階に格上げしました。このグループは、どのような運用条件でプロセスが停止するかを詳細に調査しました。あるケースでは、VOLTZITEがSierra Wireless Airlinkセルラーゲートウェイを侵害して米国の中流パイプライン運用にアクセスし、そこからエンジニアリングワークステーションに横展開しました。VOLTZITEはVolt Typhoonと技術的な重複があり、米国情報機関が重要インフラ妨害の準備を警告しているグループです。
制御ループマッピング:脅威を理解する
制御ループマッピングがなぜ重要なのかを理解するには、制御ループとは何かを知る必要があります。
産業環境において、制御ループとは、物理的な変数(温度、圧力、流量、レベルなど)を検知し、その値を設定値と比較し、プロセスを変化させるためにデバイスを作動させる一連の機器とソフトウェアのことです。サーモスタットで暖房を制御するのは単純な制御ループの例です。製油所のように何百もの相互接続されたプロセスを管理する場合、数千もの制御ループが存在します。
敵対者が制御ループをマッピングする際、彼らは施設の運用ロジックを学習しています。どのセンサーがどのコントローラーに接続されているか、どの閾値でアラームや自動停止が発動するか、どのように値やコマンドを操作すれば特定の物理的結果を生み出せるかを把握しています。
KAMACITEは2025年、米国インフラ全体でまさにこの活動を実施しました。ELECTRUMはポーランドの分散型エネルギーシステムを標的に、運用資産への影響を意図的に試みました。VOLTZITEはエンジニアリングワークステーションから設定ファイルやアラームデータを抽出し、どの条件でプロセス停止が発生するかを詳細に調査しました。
これは理論上の能力ではありません。実際に記録された運用活動です。
組織のセキュリティを信じていますか。本当に検証できますか?
Read Now
エコシステムモデル:専門家から専門家への引き継ぎ
Dragosレポートで最も重要な発見の一つは、攻撃の各フェーズに特化したグループが連携する脅威エコシステムの出現です。
SYLVANITEはこのモデルの典型例です。同グループは、インターネットに公開されたシステム(Ivanti、F5、SAP、ConnectWise)の脆弱性を迅速に悪用することに特化しています。あるケースでは、脆弱性公開から48時間以内にIvanti VPNの脆弱性を悪用しました。Cobalt StrikeやSliverなどの一般的なツールを使い、永続性を確立した後、VOLTZITEにアクセスを引き渡してOTへのより深い侵入を実現します。
この分業体制は大きな意味を持ちます。初期アクセスとOTオペレーションが別々の専門分野となったことを意味し、初期侵害を防いでもリスクが消えない—別のグループがアクセスを引き継ぐ可能性がある—ことを示します。また、アクセスを得たグループが必ずしも運用上の影響を与えるグループとは限らず、帰属の特定がより複雑になっています。
2025年5月に米国の公益事業で発生したインシデントは、このモデルを象徴しています。SYLVANITEはIvanti Endpoint Manager Mobileの脆弱性を悪用し、LDAPユーザー情報やOffice 365トークンをバックエンドデータベースから抽出しました。これらの認証情報は内部でリプレイされ、横移動に利用されました。初期アクセスブローカーが足場を築き、より高度なアクターがそれを利用するのです。
OT環境へのランサムウェア49%急増
産業組織を標的としたランサムウェアは2025年に前年比49%増加し、世界で3,300の組織に影響を与えました。Dragosは運用環境に影響を与える能力を持つ119のランサムウェアグループを追跡しました。
しかし、問題は件数ではありません。本質は運用妨害です。
2025年の産業向けランサムウェアインシデントは、OT特有の復旧を要する数日間の停止を引き起こすケースが増加しました。ランサムウェアがエンジニアリングワークステーションを暗号化した場合、単にマシンを再イメージして終わりにはできません。制御システムの設定が改ざんされていないか検証し、安全システムが正しく機能しているか確認し、生産プロセスが期待通りに動作することを確かめてからシステムを再稼働させる必要があります。
ここでDragosのCEO、ロバート・リーの指摘が重要になります。「産業組織は、ランサムウェアがOT環境にまで及ぶ影響を大幅に過小評価しており、『ITだけ』の問題だと考えています。」
誤分類の問題は構造的です。OTの専門知識を持たないインシデントレスポンダーがランサムウェア攻撃を調査すると、運用上の影響に気付かない場合があります。ITシステムを復旧させてインシデント解決と判断し、生産データの破損やエンジニアリングワークステーションの侵害、安全システムの設定変更を見逃してしまうのです。
Dragosが指摘する業界全体の平均検知時間42日は、単なる検知の問題ではありません。可視性の問題です。組織は見えないものを検知できません—そして多くのOTネットワークは、運用への影響が出る前に侵害を特定するための監視、資産インベントリ、テレメトリを備えていません。
可視性ギャップ:多くの組織が見落としているもの
OTネットワークのうち、包括的な可視性と監視を備えているのは10%未満です。
この数字だけでも、業界平均の検知時間が42日である一方、包括的なOT可視性を持つ組織は5日でインシデントを封じ込めている理由が説明できます。違いは人材や技術の好みではありません。自分たちの環境で何が起きているかを把握できるかどうかです。
Dragosレポートは、OT環境で敵対者が狙うデータの主なカテゴリーを特定しています:
エンジニアリングプロジェクトファイル: CAD図面、設計仕様書、システムアーキテクチャ文書など、施設の構造やプロセスの相互接続を明らかにする情報。
アラームデータと閾値: どの条件でアラートや自動停止、安全システムが作動するかに関する情報—プロセスを検知されずに操作しようとする攻撃者にとって不可欠な知識。
設定ファイルとバックアップ: HMI/SCADAの設定、PLCプログラム、システムバックアップなど、産業プロセスを制御する運用ロジックが含まれる情報。
オペレーター情報: ユーザー認証情報、シフトパターン、アクセス権限、活動ログなど、ソーシャルエンジニアリングや権限昇格、攻撃タイミングの把握に利用される情報。
GISおよびネットワーク図: システムの地理的・論理的な接続関係を示す図—横移動や影響範囲(ブラストラディウス)を計画する上で重要。
これらのデータは常にシステム間を移動しています。エンジニアリングチームが設計を製造現場と共有し、ベンダーが保守のために技術仕様を受け取り、品質保証データが生産ネットワークと業務システム間でやり取りされます。これらのデータを運ぶチャネル—多くの場合、レガシーなSFTPサーバー、メール添付、非セキュアなファイル共有—が敵対者に悪用される経路となっています。
ハクティビズムは運用能力へと進化
Dragosレポートは、ハクティビストグループが象徴的な攻撃から運用能力を持つキャンペーンへと進化しているという新たな懸念すべき傾向も記録しています。
BAUXITEは2025年6月のイラン・イスラエル紛争中、イスラエルの標的に対して2種類のカスタムワイパーマルウェアを展開しました。これは、従来のアクセスや妨害から破壊的な意図へのエスカレーションを意味します。同グループは単にウェブサイトを改ざんしたりデータを盗んだりするだけでなく、不可逆的なデータ損失や運用妨害を引き起こすためのマルウェアを投入したのです。
ハクティビストグループは、イデオロギー的なメッセージと国家レベルの作戦をますます融合させています。インターネットに公開されたHMI、設定ミスのあるエンジニアリングワークステーション、Modbus/TCPやDNP3といったオープンなフィールドプロトコルを標的にしています。技術的な高度さには差がありますが、意図は一貫しています—デジタルアクセスを現実世界の影響へと転換することです。
重要インフラを運用する組織にとって、意味は明白です。脅威の状況には、国家レベルのアクターや金銭目的の犯罪者だけでなく、運用に影響を与える能力を持ったイデオロギー主導のグループも含まれるようになりました。攻撃対象領域—インターネットに公開されたデバイス、リモートアクセスシステム、IT/OT境界システム—は、誰が標的にしても変わりません。
産業環境におけるデータセキュリティへの示唆
Dragosの調査結果は、産業組織がデータセキュリティにどう取り組むべきかに直接的な影響を与えます。
狙われているデータは運用データ—個人情報だけではない。 従来のデータセキュリティは、個人情報や財務データ、知的財産の保護に重点を置いてきました。OTの脅威環境では、物理プロセスの妨害に利用されうる運用データという新たなカテゴリが加わります。エンジニアリングファイル、アラーム設定、制御システムのドキュメントは、リスクプロファイルに応じた保護戦略が必要な高価値ターゲットとなっています。
IT/OTの融合がデータ交換の脆弱性を生む。 産業組織はパラドックスに直面しています。OTシステムは安全性と信頼性のために分離が必要ですが、業務プロセスのためには運用データがITとOT間を流れる必要があります。サプライヤーと共有される設計図、グローバル拠点間でやり取りされる品質管理データ、設備更新のためのベンダー仕様など。これらのやり取りは、敵対者が体系的に悪用するチャネルを通じて行われます。サプライチェーンリスクを管理するには、ネットワーク境界の保護だけでなく、各データ交換自体のガバナンスが必要です。
ファイル転送インフラが主要な攻撃ベクトル。 Dragosレポートおよび業界全体の分析は、マネージドファイル転送やSFTPシステムが高価値ターゲットであることを指摘しています。これらのシステムは複数のソースから機密データを集約し、分離されていたネットワークセグメントを接続することもあります。侵害されると、運用データの集中リポジトリやOT環境への経路が提供されてしまいます。監査ログやアクセス制御、異常検知のないレガシーSFTPサーバーは特に危険です。
可視性の欠如がコンプライアンスリスクを生む。 OT環境で何が起きているかを把握できなければ、規制要件へのコンプライアンスを証明できません。誰がどのデータにアクセスしたかの監査証跡も作成できず、規定された期間内に侵害を検知・報告することもできません。平均42日の検知時間は、通知期間の長期化と規制上の責任拡大を招きます。
OTにおけるデータプライバシー:見落とされがちな側面
Dragosレポートは運用セキュリティに焦点を当てていますが、関与するデータ種別は重大なプライバシー上の影響も伴います。
オペレーター情報—個人名、シフトパターン、エラー履歴、安全インシデントなど—は、GDPR、CCPA、その他新たなプライバシー規制の下で機微な個人データに該当します。ハクティビストグループによる認証情報の流出や活動ログの公開は、個人識別情報を世界中にさらします。
多くの組織は運用データを個人識別情報として分類していません。しかし、侵害通知要件が発動した際、適切なインベントリや保護をしていなかった機微な個人データを保持していたことに気付くのです。
運用上の文脈と個人識別情報の組み合わせは、多くの産業組織が想定していなかった規制リスクを生み出します。ITシステム向けに設計されたプライバシー影響評価では、OT環境に埋め込まれた個人データを十分に把握できない場合があります。
組織が今すべきこと
Dragosレポートは明確なメッセージで締めくくられています:残されたギャップは深刻であり、今こそ包括的なOT可視性の確立が不可欠です。
何よりも可視性を最優先に。 5日対42日の検知ギャップは、監視能力が決定的な差別化要因であることを証明しています。組織は、ITネットワークだけでなくOT環境もカバーする資産インベントリ、ネットワーク監視、テレメトリが必要です。OTテレメトリをITログと統合して取り込むSIEM連携により、敵対者が数週間も潜伏できる可視性ギャップを解消します。これは任意の強化ではなく、すべての基盤となるものです。
IT/OT境界をセキュアに。 IT/OT境界でやり取りされるエンジニアリングファイル、設定データ、ベンダー仕様などが、敵対者に悪用される経路となります。これらのチャネルには、暗号化、アクセス制御、監査ログ、異常検知を備えたガバナンスされたデータ交換が必要です。レガシーなSFTPやメールでは、運用妨害を可能にするデータには不十分です。監査証跡やDLP制御を備えた専用のマネージドファイル転送プラットフォームこそが、レガシーツールでは実現できないガバナンスチャネルとなります。
エコシステムモデルを前提に。 SYLVANITEのようなグループが足場をより高度なアクターに引き継ぐ場合、初期アクセスの防御だけではリスクは排除できません。セキュリティ戦略は、すでに侵害が存在する可能性を前提とし、横移動や権限昇格、運用データへのアクセスを影響が出る前に検知することに重点を置く必要があります。ゼロトラストの原則—最小権限、明示的な検証、侵害前提—はOT環境にも同様に適用されます。
誤分類ギャップを解消。 インシデント対応計画には、最初からOTの専門知識を組み込む必要があります。すべてのインシデントを「IT限定」と分類してしまうと、運用上の影響に気付くのが遅れます。検知・対応チームには、ITの侵害がOTに波及した場合にそれを認識するための文脈が必要です。
規制当局の監視に備える。 狙われている運用データ—エンジニアリングファイル、アラーム設定、オペレーター情報—は、組織が想定していなかったコンプライアンス義務を引き起こします。監査証跡、侵害通知機能、「合理的なセキュリティ」の証拠は、ITシステムだけでなくOT環境にも拡張する必要があります。NIST 800-53、NERC CIP、ISA/IEC 62443などのフレームワークは、運用データのアクセス、伝送、保護方法に対する実証可能な管理策を求めています。
Dragos 2026年レポートは、敵対者が産業オペレーションをプロセスレベルで理解し、その知識を侵入から運用影響の試みにまでエスカレートさせている脅威状況を記録しています。防御側への示唆は明白です:可視性、資産コンテキスト、ICS対応の検知はもはや任意ではありません。
これらの能力に投資する組織は、物理的な影響が出る前に脅威を検知できます。そうでない組織は、プロセスに異常が発生して初めて侵害に気付き、その時にはすでに被害が発生しているかもしれません。
Kiteworksがどのように支援できるかについては、カスタムデモを今すぐご予約ください。
よくあるご質問
マネージドファイル転送やSFTPシステムは、OT環境において2つの理由で高価値ターゲットとなります。第一に、複数のソースから機密性の高い運用データを集約する点、第二に、通常は分離されているネットワークセグメントを橋渡しする役割を果たしている点です。エンジニアリングプロジェクトファイル、アラーム設定、ベンダー仕様、品質管理データなど、あらゆる情報がこれらのシステムを経由して流通しており、1度の侵害で運用インテリジェンスの集中リポジトリやOTネットワークへの経路が開かれてしまいます。監査ログやアクセス制御、異常検知のないレガシーSFTPの導入は特に危険であり、Dragosレポートが指摘するように、ファイル転送インフラが体系的に悪用されている事実は、これらのチャネルのガバナンスがOTデータセキュリティの基盤であることを強調しています。
IT/OTの融合により、ビジネスネットワークと生産ネットワークの境界を越えて高価値の運用データが継続的に流れるようになります。外部サプライヤーと共有される設計図、グローバル拠点間でやり取りされる品質管理データ、設備保守のためのベンダー仕様、ビジネスシステムに転送される設定バックアップなどです。これらのデータは知的財産窃取だけでなく、運用攻撃の準備にも利用されます—エンジニアリングファイルやアラーム閾値を入手した敵対者は、検知されずに妨害を計画できるほど施設を理解しています。これらのやり取りを保護するには、暗号化、DLP制御、不変の監査証跡を備えたガバナンスされたファイル転送チャネルが必要であり、監査記録の残らないレガシーSFTPやメール添付では不十分です。
はい—これは産業セキュリティにおいて最も見落とされがちなコンプライアンスの側面の一つです。OT環境で日常的に収集されるオペレーター情報—個人名のシフトパターン、アクセス履歴、エラー記録、安全インシデントなど—は、GDPRやCCPAの下で個人データに該当します。多くの産業組織はこれを個人識別情報として分類しておらず、適切なインベントリや保護も行っていません。侵害が発生し、Dragosレポートが記録するような認証情報流出や活動ログの公開があった場合、組織は想定していなかった侵害通知義務に直面することになります。プライバシー影響評価は、規制当局に先んじてこのリスクを把握できるよう、OT環境にも明示的に拡張する必要があります。
長期の潜伏は運用面だけでなく規制面でもリスクを増大させます。コンプライアンスの観点では、主要なフレームワーク—GDPR、医療分野のOT向けHIPAA、NERC CIPなどの業界特有の規制—は、侵害通知の期限を数時間から数日単位で定めています。平均42日の検知時間では、組織はこれらの通知期限を常に逸脱し、侵害そのものに加えて通知違反も引き起こすことになります。また、規制当局が求めるフォレンジックタイムライン(誰が、いつ、どのデータに、どのシステム経由でアクセスしたか)も作成できません。OTネットワークのうち、これらの問いに答えられる監視インフラを持つのは10%未満であり、多くの組織が運用リスクとともに未公開のコンプライアンスリスクも抱えています。
産業組織は、多層的なコンプライアンス環境下で運用しており、多くのIT中心のセキュリティプログラムでは十分に対応できていません。NERC CIPは、広域電力システム運用者に適用され、グリッドの信頼性に影響するサイバー資産に対するアクセス制御、セキュリティ監視、監査ログを義務付けています。ISA/IEC 62443は、ネットワーク分割、ID・アクセス管理、セキュリティゾーンの文書化を求める国際的な産業サイバーセキュリティ規格です。NIST 800-53およびNISTサイバーセキュリティフレームワークは、重要インフラ運用者を含め広範に適用されます。OTシステムで個人データ(オペレーター記録、医療製造、水道システムなど)を処理する場合、GDPRや業界特有のプライバシー規制も適用されます。これらすべてのフレームワークに共通する要件は、OT環境自体にまで拡張された実証可能な管理策と監査証跡の文書化です—ITネットワークだけでは不十分です。
追加リソース
- ブログ記事 ゼロトラストアーキテクチャ:信じるな、常に検証せよ
- 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
- ブログ記事 DSPMで機密データが検知された後のセキュリティ対策
- ブログ記事 ゼロトラストアプローチで生成AIの信頼性を高める方法
- 動画 ITリーダーのための機密データ安全保管ガイド決定版