サイバー攻撃というと「データが盗まれる / システムが止まる」という IT 寄りの被害をイメージしがちだ。しかし 2026 年 5 月は、より物理に近い領域 ─ 水・ガス・農機・産業制御 ─ への脅威が同時期に複数報じられた。海外では未完成のマルウェアが水インフラを標的に、国内では北海道ガスの LNG 受発注システムが不正アクセスを受けた。Hacking Labo 視点で、ICS / IoT 領域の脅威動向を整理する。
海外: イスラエル水インフラを標的にした「未完成」のマルウェア #
ScanNetSecurity の月次まとめによれば、イスラエルの水インフラを標的にした未完成のマルウェア が報告された。「未完成」という記述が重要だ。攻撃者は PoC 段階のコードを実環境に投入し、検知されつつ機能を確認している とも読める。水・電力・通信といった重要インフラは、実害を出さないテスト が攻撃者の戦術として現実味を帯びてきている。
国内: 北海道ガス LNG 受発注システム不正アクセス #
北海道ガスの LNG 受発注システムに不正アクセス があり、取引先や従業員の個人情報が流出した可能性が公表された。受発注システムは OT (Operational Technology) と直接の制御系ではないが、ガス供給サプライチェーンの計画情報 に近い。物量・スケジュール・取引先構造といったメタデータが取得されれば、後続のフィジカル攻撃の踏み台にもなりうる。
CISA ICS Advisory ─ 制御系の脆弱性開示が止まらない #
JPCERT/CC が 2026 年 5 月 14 日付で CISA ICS Advisory / ICS Medical Advisory を取り上げている。CISA (米国) の ICS アドバイザリは、産業制御システムと医療機器の脆弱性を継続的に公表している。「自社は工場を持たない」と思っている組織も、サプライチェーンを辿れば必ずどこかの ICS に依存 している。電力・水道・通信・物流が止まれば、IT サービスも止まる。
IoT の「構造的問題」 ─ 農業用トラクター事例 #
ScanNetSecurity が「底なしのウサギの穴で発見したもの」と題して取り上げたのは、農業用トラクターから見えた IoT セキュリティの構造的問題 だった。コンバインや GPS 連携農機は、もはや「鉄の塊」ではなく 車載 ECU + クラウド連携の集合体 だ。家電やスマートホーム製品と同じ問題 ── ファームウェア更新が困難、長期サポート切れ、認証情報のハードコード ── が、数百万円する産業機器に乗っかっている。
Hacking Labo 視点 ─ 物理に近い側を学ぶ価値 #
IT 中心のセキュリティ学習者にとって、ICS / IoT は「ちょっと別世界」に見えがちだ。しかし次の点で学ぶ価値は大きい。
- プロトコル知識 (Modbus, BACnet, MQTT 等) が IT のプロトコル学習の延長で習得できる
- 検知の難しさ (パッチ適用が容易でない、再起動が許されない) という制約を理解すると IT 側の運用観も変わる
- 物理影響 ─ 「ハッカー」が現実世界の何かを壊しうる、という当たり前の事実を肌で感じられる
自宅ラボで Wi-Fi 機器 / IP カメラ / スマートプラグを並べて mDNS や MQTT を観察するのは、ICS 学習の入り口として悪くない。物理側に近づくほど、「セキュリティ」という言葉の意味が変わってくる。