イランの関係するAPT勢力が米国エネルギーセクターのOTおよびSCADAシステムを標的に：グリッドセキュリティチームが今知っておくべきこと

イランの関係するAPT勢力が米国エネルギーセクターのOTおよびSCADAシステムを標的に — グリッドセキュリティチームが今知っておくべきこと

複数の合同機関勧告と2026年6月の脅威インテリジェンスレポートストリームは、一貫した運用上重要な脅威像に収束しています：イランの関係する高度な永続的脅威（APT）勢力は、米国の重要インフラ（エネルギーセクターの運用技術（OT）およびSCADA環境を含む）を積極的に標的にし、プロジェクトファイルを抽出し、HMIデータを操作し、インターネット公開の産業用制御システムを探索しています。この脅威は理論的なものではありません。文書化され、継続中であり、連邦機関と独立した分析機関により、テンポと高度さの面で増加していると評価されています。

GeoBitは、本分析の作成にあたり、利用可能なオープンソースレポートと合同機関勧告を検討しました。特定の主張が公開されている名前付き検証可能なソースに対して公開時に検証できなかった場合、それらの主張は本版から削除されているか、検証されていないものとして明確に属性付けられています。読者は、E-ISAC、CISA調整メカニズム、および関連する直接的なFERC関与を含む、組織が利用可能な分類情報または特権チャネルを通じて検証が必要な報告された脅威像として扱うべきです。

イランの関係する勢力がOT環境内で実際に行っていること

CISA、FBI、NSA、EPA、DOE、および米国サイバーコマンドからの合同勧告（最近は2026年4月）は、イランの関係する勢力がエネルギーシステムを含む米国の重要インフラ全体に展開されているRockwell/Allen-Bradleyプログラマブルロジックコントローラ（PLC）にアクセスしていることを文書化しています。文書化された活動には、プロジェクトファイルの抽出およびHMIとSCADAデータの操作が含まれます。これは、産業プロセスがどのように実行され、アラームがどのようにトリガーされ、オペレーターが物理的機器とどのように対話するかを定義するエンジニアリングおよび運用構成情報です。

これは抽象的な偵察ではありません。PLCからのプロジェクトファイル抽出により、敵対者は、システムがどのようにプログラムされているかについての詳細でデバイス固有のマップを取得します（設定値、インターロック、制御ロジック、および故障モード動作）。HMIデータの抽出は、オペレーターインターフェース層を含むその画像を拡張します。これらを合わせると、システムが操作された入力にどのように応答するかをモデル化し、高い影響を持つ介入ポイントを特定し、または物理的効果を最大化するために破壊的行動のタイミングを計るために必要な基盤を敵対者に提供します。

これらの勧告で文書化されている入口ベクトルは一般的なものではありません。IRGC関連のCyberAv3ngersグループに関連するものを含むイランの関係する勢力は、デフォルトまたは弱い認証情報で保護されているインターネット公開PLCおよびHMIインターフェースを一貫して悪用してきました。これは、インターネット公開用に設計されていなかった運用技術環境に対して繰り返し有効であることが証明されている低度の初期アクセス技術です。セキュリティチームへの含意は明確です。インターネット向けOTアセットを強化し、ICS/SCADAシステムに強い認証情報管理を実施することは、将来の状態の願いではなく、現在の最前線です。

敵対者の標的としての機密運用インフラストラクチャデータ

引用されたオープンソース勧告は、「重要エネルギー/電力インフラストラクチャ情報」（CEII）という規制用語をこのキャンペーンに関連して使用していませんが、標的とされているデータのカテゴリは機能的に類似しています：エネルギーおよび重要インフラストラクチャシステムがどのように構成され、制御され、脆弱にされるかについての詳細なエンジニアリングおよび運用情報。より広範な原則（機密計画データおよびシステムに関する運用データを取得した敵対者は、それをより効果的に攻撃する立場にある）は、脅威文献で十分に確立されており、2026年4月の勧告におけるイランの関係する勢力の文書化された動作によって直接サポートされています。

FERCのアクセスフレームワークの下で指定されたCEII資料を管理するセキュリティチームの場合、この脅威像は関連するシグナルです。合同勧告で文書化されている運用システムの詳細への敵対者の関心は、機密インフラストラクチャ計画データへのより広範な敵対者の関心と一致しています。CEIIアクセス制御、認証体制、およびアクセスログ監視の見直しは、組織が現在のキャンペーンの特定の標的として特定されているかどうかに関係なく、適切で時宜を得たステップです。CEII処理およびアクセス手順に関するFERCの公開アクセス可能なガイダンスは、FERCウェブサイトで利用可能であり、その監査の有用なベースラインを提供します。

より広範な戦略的文脈：イラン、米国インフラストラクチャ、および上昇したサイバーポスチャ

米国の重要インフラストラクチャへのイランのサイバー脅威は孤立して存在しません。2026年6月の戦略的脅威インテリジェンスブリーフィングは、イランの国家が後援する勢力および一致した勢力が「特にヘルスケアおよびエネルギーセクターで、重要インフラストラクチャに対する破壊的なサイバー攻撃をますます活用している」と評価しました。イランに直接関連する上昇した国家レベルのプレッシャーおよび近期的な破壊的活動のリスク。同じブリーフィングは、水、エネルギー、および政府システム全体のICSおよびSCADA環境へのイランリンク勢力の継続的な関心を評価しました。これは、文書化された2026年4月の勧告活動および複数年にわたる文書化されたキャンペーンにおけるイランのOTターゲッティング動作のより長い弧と一致しています。

CISAアドバイザリAA26-097Aを引用する独立分析は、米国の重要インフラストラクチャにおけるインターネット公開Rockwell/Allen-Bradley PLCを標的にするイランの関係する継続的なキャンペーンについて説明し、イランの関係する勢力が市町村および公的サービスをサポートする重要インフラストラクチャセクターを標的にし続けていると評価しています。エネルギーは明確にその範囲内にあります。

GeoBitは、この期間のより広範なレポート、打撃、海上事件、およびイラン国家サイバー作戦に関連していると主張される個人の逮捕に関する主張を含む、米国イランの文脈における運動活動に関するものを認識しています。特定の船舶名、逮捕の詳細、損害数字、および公開時にそれらのレポートからの死傷者評価は、名前付きのワイヤサービス、DOJ、または公式政府筋に対して検証できず、検証待機中に削除されています。地政学的気温は、これらの検証されていない詳細を一脇に置いてさえ、国内グリッドおよび重要インフラストラクチャのリスク態勢に直接関連する方法で上昇したままです。

本日のユーティリティグリッドおよびOTセキュリティチーム向けの含意

投資家所有ユーティリティ、公開電力事業体、協同組合、およびISO/RTOのセキュリティマネージャーの場合、この文書化された脅威の実用的な含意は、複数のドメイン全体に展開されます。

インターネット公開OTアセットは文書化されたエントリポイントです — それに応じて扱ってください。 2026年4月の合同勧告は明確です：イランの関係する勢力は、デフォルトまたは弱い認証情報を備えたインターネット向けPLCおよびHMIインターフェースを通じて侵入しています。OTデバイスのうちどれがインターネット公開（意図的または非意図的）を持つかを確認するアセットインベントリ、およびデフォルト構成に対する即時認証情報監査は、最優先の短期アクションです。これは複雑または高額な軽減ではありません。それは、文書化された敵対者の工作が存在しない場合に繰り返し悪用されている基本的な衛生です。

プロジェクトファイルおよびHMIデータ流出は、ターゲッティングフェーズであり、終点ではありません。 PLCプロジェクトファイルおよびHMIデータを抽出した敵対者は、事実上、ターゲッティングおよび偵察サイクルを完了しました。セキュリティチームは、初期アクセス試行を捕捉するだけでなく、事後偵察侵入と一致した横方向の移動およびフォローオンアクティビティを検出するために、OTネットワーク監視および異常検知体制を調整する必要があります。OT監視機能が初期コンプロミズの検出のみをキャッチするように設計されていた場合、それはその後に続くより重大なアクティビティを見逃すかもしれません。

ソーシャルエンジニアリングおよび認証情報窃取は、イランの関係するAPTの中心的な工作です。 複数の脅威インテリジェンス評価で文書化されているイラン支援APT MuddyWaterは、政府、防衛、および民間部門の組織に対する標的付きのスピアフィッシングキャンペーンを実施しています。認証情報取得のための古典的なソーシャルエンジニアリング。同じ認証情報盗難およびアクセス悪用パターンはイランの関係するICSターゲッティングキャンペーン全体に表示されます。OT環境、エンジニアリングシステム、または機密計画データへのアクセス権を持つ職員は、有効なスピアフィッシング対象です。OT隣接スタッフのためのセキュリティ認識トレーニングは、関連があり、サポートされている軽減です。

情報共有チャネルは現在不可欠です。 E-ISAC、CISA調整メカニズム、およびユーティリティ間の連携は、この脅威がルーチンなサイバー衛生問題ではなく、国家安全保障リスクとして複数の連邦および独立したレポートストリーム全体で評価されていることを考慮すると、最近の記憶でのあらゆるポイントより価値があります。組織が運用レベルでISAC脅威共有を積極的に消費および寄与していない場合、これはそのギャップを閉じる瞬間です。

状況認識および継続的な監視

文書化されたイランのOTターゲッティング活動、イランが破壊的なサイバー意図をエネルギーおよび重要インフラストラクチャに対して高めることの融合、および上昇した米国イラン地政学的緊張（すべて圧縮されたタイムフレーム内）は、エピソード的な脅威レビューではなく、継続的で統合された状況認識の価値を強調しています。機関勧告フィード、サイバー脅威インテリジェンスレポート、地政学的イベントデータ、およびインフラストラクチャマッピングを単一の運用画像に融合させる地理空間インテリジェンスおよびOSINTプラットフォームは、セキュリティチームが遠い地