出荷する機器は安全であるか
2026年7月02日ポーランドの再生可能エネルギーへのサイバー攻撃から学ぶ、台湾製造業への3つの警鐘
2025年末、ポーランドにある30か所を超える風力・太陽光発電所の産業制御機器が、同日一斉に機能停止に追い込まれた。攻撃者の目的は身代金の要求(ランサムウェア)でも機密情報の窃取でもなく、「直接的な破壊」であった。変更されていなかったデフォルトパスワードの脆弱性を突き、機器の最高管理者権限を完全に奪取、悪意あるファームウェアをアップロードしてコントローラを無限ループ(再起動)に陥らせる、あるいはマルウェアによってデータを上書きするという手口を実行したのである。
この攻撃はポーランドの厳しい冬の真っ最中に発生したが、そこから発せられたシグナルは、台湾の機器メーカーにとっても同様に凍りつくようなものであった。今回標的となったRTUコントローラ、シリアルポートサーバ、保護リレー、HMI(ヒューマンマシンインターフェース)といった機器は、まさに台湾のネットワーク機器、産業用制御機器および蓄電システムメーカーが主軸とする製品カテゴリーそのものだからである。悪用された脆弱性、すなわちデフォルトパスワードの放置、暗号化されていない通信プロトコル、検証仕組みのないファームウェアアップデートは、私たちの生産ラインから今なお出荷され続けている製品の現状そのものなのである。
本稿では、製品開発の意思決定者の視点から、この製品セキュリティインシデントが台湾の製造業にもたらす影響を「製品安全設計のギャップ」「欧州連合(EU)規制による市場参入への圧力」「先行者が獲得できる競争優位性」の3つのレイヤーに分解して解説する。
1. 自社製品の何が問題だったのか:攻撃者が悪用したのは高度な脆弱性ではなく、基本的な設計ミス
ポーランド国内のサイバーセキュリティインシデントの対応・監視を専門とするセキュリティ対応チームCERT Polskaによる技術報告書には、攻撃者が各機器上で行った具体的な操作を詳細に記録している。最も深刻かつ懸念すべきは、その攻撃手法がいかに精密であったかではなく、いかに単純であったかという点である。
| 被害に遭った機器 | 攻撃者が行った操作 | なぜ成功したのか(脆弱性の原因) |
| Hitachi RTU560コントローラ | Web管理画面から「0xFF」の無効な命令を含む悪意あるファームウェアをアップロードし、プロセッサーを無限再起動(ループ)に陥らせた。 | 製造時(工場出荷時)のデフォルトアカウント「Default」のままログインされた。 ファームウェアのアップロード時に、ファイルが改ざんされていないかを検証するデジタル署名の検証機能がなかった。 |
| Mikronika RTU コントローラー | root権限でSSHサービスにログインし、コマンドを実行して機器全体のLinuxファイルシステムを削除した。 | SSHサービスに製造時のデフォルトパスワードが使用されており、導入後も一度も変更されていなかった。 |
| Hitachi Relion 650 IED(保護リレー) | FTPサービスを介して、機器の動作に必要なシステム上の重要ファイルを削除した。 | FTPサービスがデフォルトで有効化されており、かつデフォルトのユーザー名・パスワードが変更されていなかった。 |
| Moxa NPort(シリアルポートサーバ) | 機器を工場出荷状態(初期状態)にリセットし、管理パスワードを変更。さらにIPアドレスを「127.0.0.1(ローカルホスト)」に書き換えることで、システム管理者がネットワーク経由でアクセスできないようにした。 | 管理画面へのアクセス制限が行われておらず、任意のソースIPアドレスからのアクセスがデフォルトで許可されていた。 かつ、デフォルトのユーザー名・パスワードが変更されていなかった。 |
| Windows HMI | RDP(リモートデスクトップ)経由でログインし、ワイパー型(データ破壊型)マルウェア「DynoWiper」を感染させてデータを破壊した。 | 脆弱なパスワード(弱組織パスワード)でログインされた。 SMB共有フォルダのアクセス権限が適切に設定されておらず、デフォルトで誰でもアクセスできる状態だった。 |
ここで、一つの共通パターンが浮かび上がる。攻撃者はゼロデイ脆弱性など必要としていなかった。彼らが悪用したのは、製品の出荷段階から存在していた「設計上の選択」の不備である。すなわち、パスワードの強制変更、ファームウェアの署名検証、攻撃面の最小化といった対策の欠如だ。これらは「導入現場における運用の問題」ではなく、製品の設計段階で決定できたはずの事柄である。
さらに致命的だったのは、これらの機器が30カ所以上の発電所において、全く同じデフォルト設定のまま大量に導入されていた点だ。攻撃者は、たった一つの導入テンプレートを突破するだけで、サプライチェーン上にある同タイプのインフラすべてを同時に機能停止に追い込むことができた。
ポーランドCERTおよび脅威インテリジェンス機関のDragosは、これを「リピータブル・アタック(Repeatable Attack:再現可能な攻撃)」と呼んでいる。これは、分散型エネルギーが急速に拡大する中で、標準化された設計がもたらした構造的な代償にほかならない。
設備製造業者における製品セキュリティ設計の自己点検
- 製品の初回起動時に、パスワードを設定しない、または初期設定のデフォルトパスワードを変更しないまま、直接操作インターフェースへ入ることが可能であるか。
- ファームウェア更新機構は、更新ファイルの真正性を検証する仕組みを備えているか。
- 製品は、FTP、Telnet、HTTPなどの安全ではない通信プロトコルを依然としてデフォルトで有効化しているか。
- 顧客が同一の構成で50拠点に当該製品を展開した場合、ひとたび脆弱性が発見された際の影響範囲(露出リスク)はどの程度となるか。
2. 法規制はもはや文書作業にとどまらない:EU CRAがもたらす市場参入への障壁
今回のポーランドでのインシデントは、単なるセキュリティコミュニティ内の議論にとどまるものではない。これは、CRA(欧州サイバーレジリエンス法)が求める要件の正当性を証明する、最も説得力のある現実の生きた証拠である。
なぜなら、CRAが義務付けている規制内容は、まさに今回の攻撃で破られたすべての脆弱な要素の対極にある、本来あるべき安全基準そのものだからである。
| ポーランド事案の失敗モード | CRAが製造業者に求める要求 | 条文根拠 | 不適合の結果 |
| 機器が初期のID・パスワードのまま運用され、初回起動時に強制変更する仕組みがなかった。 | 製品は初期状態で安全に構成されていなければならない。(Secure by Default) | Art. 13(2), Annex I Part I §1(d) Part I (b) | 1.CEマークの取得・維持が不可能となり、欧州市場での販売が全面的に禁止される。 2.サイバーセキュリティ上の設計欠陥に対し、メーカーが直接的な法律上の賠償責任を負う。 3.最高1,500万ユーロまたは全世界売上高の2.5%のいずれか高い方の罰金が科される。 4. 出荷後も長期のセキュリティ保守が義務付けられ、従来の「売り切り型(Ship and Forget)」のビジネスモデルは完全に通用しなくなる。 |
| 改ざんされたファームウェアがそのまま実行され、機器側で更新ファイルの変更有無を検証しなかった。 | 更新プログラムが改ざんされていないかを検証しなければならない。 | Art. 13(5), Annex I Part I §1(f) 2(2)(f) | |
| インシデント発生後、ユーザー側でどの機器が影響を受けたのか判断できなかった。 | 製造業者は製品識別情報を提供しなければならない。 | Art. 13(15) | |
| 複数ベンダーの機器の脆弱性が悪用されたが、連携して開示・対処するための窓口やルートがなかった。 | 製造業者は、悪用されたセキュリティ脆弱性を報告する仕組みを構築しなければならない。 | Art. 13(6)141 | |
| 機器の設置後、セキュリティ監視や継続的なアップデートを行う仕組みが欠如していた。 | 製品の想定寿命期間内におけるセキュリティアップデートの継続提供する。 | Art. 13(8) |
CRAは2027年に全面施行される予定である。その時点で、セキュリティ要件を満たさない「デジタル要素を含む製品」は欧州市場への参入が不可能となる。これには、ネットワーク機器、産業用コントローラー、蓄電システム(ESS)のエネルギー管理モジュール、スマートグリッド機器など、台湾メーカーの主力輸出製品がすべて含まれる。
重要なのは、CRAの規制ロジックを理解することだ。CRAは出荷時の安全基準だけでなく、製品の「全ライフサイクル」に対するメーカーの責任を要求している。これには、導入後の脆弱性監視、セキュリティアップデートの提供、そしてインシデント発生時の通報義務が含まれる。これは、台湾メーカーが長年慣れ親しんできた「売ったら終わり(Ship and Forget)」のビジネスモデルが、欧州市場において完全に違法となることを意味している。
欧州だけではない:米国連邦政府調達からも排除される不安全なエッジ機器
市場参入への圧力は欧州CRAにとどまらない。2026年2月5日、米CISA(サイバーセキュリティ・インフラセキュリティ庁)は、法的拘束力のある行政指令「BOD 26-02」を発令した。これは、米国のすべての連邦政府民間行政機関に対し、サポートが終了したすべてのエッジ機器(ルーター、ファイアウォール、VPNゲートウェイ、ロードバランサーなど)を12〜18カ月以内に調査・交換することを義務付けるものである。
CISAは同指令において、「国家級の脅威主体が、サポート終了したエッジ機器を大規模に悪用している」と明記し、ポーランドのエネルギーインフラへの攻撃事件をその証拠として挙げた。さらに5日後の2月10日、CISAと米エネルギー省(DOE CESER)は共同で特別警戒情報を発出。ポーランドCERTの報告書を直接引用し、次の3つの結論を強調した。
- エッジ機器の脆弱性が最大の攻撃の侵入口である。
- ファームウェア検証機能のないOT機器は、修復不能な物理的損傷(永久的な破壊)を受ける。
- デフォルトパスワードの放置問題は、特定のベンダーに限った話ではない。
台湾製造業への意味:供給側と需要側からの挟み撃ち
台湾のメーカーにとっての意味は極めて明確である。自社製品が米国連邦政府顧客のEOS(サポート終了)リストに載り、かつセキュリティ基準を満たした明確な後継機種を提示できなければ、その製品は連邦政府の調達選択肢から即座に抹消される。
BOD 26-02は、各機関に対して24カ月以内に(不安全な機器を)継続的に検知する仕組みの構築も求めている。これは「過去に売り抜けた製品」すらも強制排除の対象になることを意味する。
欧州CRAが「供給側(メーカー)」から製品の安全設計を義務付け、米国BOD 26-02が「需要側(市場)」から不安全な製品を排除する。これら二大市場の規制のベクトルは、完全に一致しつつある。
3. 先行者の競争優位:セキュリティ適合はコストではなく、市場ポジショニングである
法規制上の圧力は事実であるが、それを単なるコストと捉えるのは短視的である。早期に布石を打つ製造業者にとって、CRAへの適合は、以下の3層の競争優位性をもたらす。
3.1 市場アクセスにおける時間差
2027年の施行時、EU市場で販売されるすべての対象製品は法への適合が義務付けられる。しかし、安全な開発ライフサイクル(SDL)の構築、製品のセキュリティ評価、SBOM(ソフトウェア部品表)の作成、そしてPSIRT(製品セキュリティインシデント対応チーム)のプロセス設計に至るコンプライアンスの準備には、通常12〜18ヶ月を要する。現時点から準備を開始するメーカーは、2027年に規制のハードルが有効化された際にもスムーズに市場へ参入できる。一方で、未だ行動を起こしていない競合他社は、製品の販売停止や市場投入の遅延というリスクに直面する。このタイムラグこそが、先行者のビジネスチャンスとなる。
2027年の施行時、EU市場で販売されるすべての対象製品は法への適合が義務付けられる。しかし、安全な開発ライフサイクル(SDL)の構築、製品のセキュリティ評価、SBOM(ソフトウェア部品表)の作成、そしてPSIRT(製品セキュリティインシデント対応チーム)のプロセス設計に至るコンプライアンスの準備には、通常12〜18ヶ月を要する。現時点から準備を開始するメーカーは、2027年に規制のハードルが有効化された際にもスムーズに市場へ参入できる。一方で、未だ行動を起こしていない競合他社は、製品の販売停止や市場投入の遅延というリスクに直面する。このタイムラグこそが、先行者のビジネスチャンスとなる。
3.2 B2B調達における信頼プレミアム
ポーランドでの事案以降、欧州のエネルギー事業者が設備調達の仕様書においてIEC 62443への適合を要求する動きは、予期されたトレンドとなっている。米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)も、同事案を受けてOT/ICS(制御技術/産業用制御システム)のセキュリティギャップに関する注意喚起を発行した。重要インフラの調達意思決定において、第三者検証レポート、SBOMドキュメント、脆弱性開示ポリシーを含む完全なセキュリティコンプライアンスの証明を提供できるサプライヤーは、価格競争を超えた追加の信頼プレミアムを獲得できる。価格競争の激しい台湾のODM/OEM企業にとって、これは「コスト競争」から「価値競争」へとシフトするための具体的な道筋である。
ポーランドでの事案以降、欧州のエネルギー事業者が設備調達の仕様書においてIEC 62443への適合を要求する動きは、予期されたトレンドとなっている。米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)も、同事案を受けてOT/ICS(制御技術/産業用制御システム)のセキュリティギャップに関する注意喚起を発行した。重要インフラの調達意思決定において、第三者検証レポート、SBOMドキュメント、脆弱性開示ポリシーを含む完全なセキュリティコンプライアンスの証明を提供できるサプライヤーは、価格競争を超えた追加の信頼プレミアムを獲得できる。価格競争の激しい台湾のODM/OEM企業にとって、これは「コスト競争」から「価値競争」へとシフトするための具体的な道筋である。
3.3 適合投資の再利用効果
IEC 62443(産業用自動化・制御システムのセキュリティ)とCRAの技術的要件には、安全な開発プロセス、脆弱性管理、ペネトレーションテスト、製品セキュリティ評価など、多くの重複が存在する。これら2つのコンプライアンスを同時に準備するメーカーは、技術的な準備作業の約60~70%を共通化することが可能である。さらに、ETSI EN 303 645(消費者向けIoTセキュリティ)の標準化への収束傾向も加味し、セキュリティコンプライアンスへの道筋を体系的に計画することで、重複投資を回避し、複数の市場への参入を加速させることができる。
IEC 62443(産業用自動化・制御システムのセキュリティ)とCRAの技術的要件には、安全な開発プロセス、脆弱性管理、ペネトレーションテスト、製品セキュリティ評価など、多くの重複が存在する。これら2つのコンプライアンスを同時に準備するメーカーは、技術的な準備作業の約60~70%を共通化することが可能である。さらに、ETSI EN 303 645(消費者向けIoTセキュリティ)の標準化への収束傾向も加味し、セキュリティコンプライアンスへの道筋を体系的に計画することで、重複投資を回避し、複数の市場への参入を加速させることができる。
4. 具体的な行動ロードマップ:現在から2027年に向けて
以下は、ポーランドの事案によって明らかになった製品セキュリティのギャップを踏まえ、CRAの適合要件を組み合わせて、台湾の製造業者向けに提示する段階的な行動提言である。
| 時期 | 段階目標 | 主要アクション | 想定成果物 |
| 現在~2026年Q3 | ギャップ棚卸し | 主要輸出製品ラインを対象に製品セキュリティ評価(Product Security Assessment)を実施し、デフォルトパスワード、ファームウェア署名、通信プロトコル等の設計上のギャップを特定するとともに、CRA適合ギャップ分析を完了する。 | 製品セキュリティギャップ報告書、CRAギャップ分析報告書、優先改善項目リスト |
| 2026年Q3~2027年Q1 | プロセス構築 | セキュリティ開発ライフサイクル(SDL)を導入し、ソフトウェア部品表(SBOM)の作成・維持プロセスを構築し、脆弱性対応及び開示ポリシーを設計する。 | SDLプロセス文書、SBOMテンプレート、脆弱性対応及び開示ポリシー |
| 2027年Q1~2027年Q3 | 製品検証 | 改善後の製品について製品検証作業を実施し、IEC 62443 / CRA関連の第三者評価報告書を取得し、技術文書(Technical Documentation)の準備を完了する. | 第三者評価報告書、CEマーキングに必要な技術文書 |
5. 次のポーランド事案が発生する前に
ポーランドでの事案は、分散型エネルギーインフラを標的とした初の大規模かつ破壊的な攻撃であったが、これが最後になることはない。サイバー脅威インテリジェンス機関であるDragosは、ICS(産業用制御システム)への攻撃能力を持つ国家支援型組織が、強固に防御された基幹送電網から、防御の薄い分散型の物理エッジ設備へと標的を移していることを明確に指摘している。そして、それらの設備の中で稼働しているのが、台湾の製造業者が製造した製品である。
これは単なる脅威ではなく、市場が発しているシグナルである。このシグナルに応じ、製品において「Secure by Design(設計段階からのセキュリティ確保)」を実践し、コンプライアンスにおいて先行して布石を打つことができる製造業者は、グローバルサプライチェーンにおける信頼の再構築の中で優位な地位を占めることになる。
DEKRAグループは、試験、検査、認証、およびコンプライアンスサービスにおける世界的なリーディング機関である。昨今、注目を浴びているサイバーセキュリティサービスは、IoTおよび産業用制御システムのネットワークセキュリティ検証とコンプライアンスサービスに特化している。製品セキュリティ評価、IEC 62443適合コンサルティング、欧州CRA準備、ペネトレーションテスト、および脆弱性管理の分野において、設備製造業者が設計から市場投入に至るまでの体系的なセキュリティ能力を構築できるよう支援を行っている。DEKRAは、機能安全(Functional Safety)、サイバーセキュリティ(Cybersecurity)、そしてAI保証(AI Assurance)の3つのサービス能力を同時に兼ね備えた、世界でも数少ないTIC(試験・検査・認証)機関であり、コンプライアンス顧問であると同時に第三者認証機関でもある。