グローバルナビゲーションへジャンプ
コンテンツへジャンプ
フッターへジャンプ

情報セキュリティ

制御システムのセキュリティリスク分析ガイド補足資料：「制御システム関連のサイバーインシデント事例」シリーズ

最終更新日：2024年4月18日

制御システムを保有する事業者にとって、国内外で発生したサイバーインシデント事例の情報をもとに、自社の制御システムに対して同様の脅威が発生した場合のリスクアセスメント（リスクの特定・分析・評価）を実施することは、セキュリティリスク管理の強化につながります。

IPA（情報処理推進機構）は、制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開しています。このガイドでは、制御システム保有事業者の事業に重大な被害を与えるサイバー攻撃からの回避に重点を置いた「事業被害ベースのリスク分析手法」を紹介しています。
同分析手法でも、攻撃シナリオの検討時に過去の攻撃事例を参考にすることを提示しており、これによって、自社の制御システムに対して類似の脅威が発生した場合の事業への影響、脅威の発生可能性、発生した脅威の受容可能性／脅威に対するセキュリティ対策の有効性を分析することができます。

この「制御システム関連のサイバーインシデント事例」シリーズは、事業被害ベースのリスク分析における攻撃事例の活用を支援するための補足資料です。
過去の制御システムのサイバーインシデント事例をもとに、その概要と攻撃の流れ（攻撃ツリー）を紹介しています。
　これらの情報をもとに、事業被害ベースのリスク分析を実施する際に、事例に相当する攻撃ツリーの作成、セキュリティ対策の策定に活用することができます。

現時点で、以下の11の事例を取り上げています。今後、追加拡充を図る予定です。

資料のダウンロード

【事例1】2015年ウクライナ大規模停電

【事例1】2015年ウクライナ大規模停電

2015年ウクライナ大規模停電(PDF:1.1 MB)

電力設備への不正侵入と遠隔操作による送電遮断とシステム破壊によって、大規模停電が発生した事例

公開日: 2019年7月31日
（2019年8月2日更新）

【事例2】2016年ウクライナマルウェアによる停電

【事例2】2016年ウクライナマルウェアによる停電

2016年ウクライナマルウェアによる停電(PDF:986 KB)

電力設備へのマルウェア感染による送電遮断とシステム破壊によって、大規模停電が発生した事例

公開日: 2019年7月31日
（2019年8月2日更新）

【事例3】2017年安全計装システムを標的とするマルウェア

【事例3】2017年安全計装システムを標的とするマルウェア

2017年安全計装システムを標的とするマルウェア(PDF:1.3 MB)

安全計装システム（SIS:Safety Instrumented System）を標的としたマルウェア感染攻撃によって、プラントの操業停止が発生した事例

公開日: 2019年7月31日
（2021年10月18日更新）

【事例4】Stuxnet：制御システムを標的とする初めてのマルウェア

【事例4】Stuxnet：制御システムを標的とする初めてのマルウェア

Stuxnet：制御システムを標的とする初めてのマルウェア(PDF:1.7 MB)

2010年、核燃料施設を攻撃対象とし、世界初の制御システムを標的としたマルウェアStuxnetの攻撃事例

公開日: 2020年3月16日

【事例5】2019年ランサムウェアによる操業停止

【事例5】2019年ランサムウェアによる操業停止

2019年ランサムウェアによる操業停止(PDF:1.6 MB)

大規模なランサムウェアを用いた標的型攻撃によって、世界規模のアルミニウム製造企業において操業停止が発生した事例

公開日: 2020年3月16日

【事例6】2018年半導体製造企業のランサムウェアによる操業停止

【事例6】2018年半導体製造企業のランサムウェアによる操業停止

2018年半導体製造企業のランサムウェアによる操業停止(PDF:980 KB)

サプライチェーンに起因するランサムウェア感染によって、世界的な半導体製造企業において操業停止が発生した事例

公開日: 2020年9月8日

【事例7】2020年医療関連企業のランサムウェアによる業務停止

【事例7】2020年医療関連企業のランサムウェアによる業務停止

2020年医療関連企業のランサムウェアによる業務停止(PDF:1.4 MB)

ランサムウェア感染と情報窃取による暗号化と情報暴露の「二重の脅迫」によって、医療関連企業の製造や診療に影響を及ぼした事例

公開日: 2020年9月8日

【事例8】2021年水道局への不正侵入と飲料水汚染未遂

【事例8】2021年水道局への不正侵入と飲料水汚染未遂

2021年水道局への不正侵入と飲料水汚染未遂(PDF:915 KB)

インターネット経由で水処理システムに侵入し、遠隔操作による薬液投入量の変更によって、飲料水の汚染未遂事件を引き起こした事例

公開日: 2021年10月18日
（2023年11月10日更新）

【事例9】2021年米国最大手のパイプラインのランサムウェア被害

【事例9】2021年米国最大手のパイプラインのランサムウェア被害

2021年米国最大手のパイプラインのランサムウェア被害(PDF:938 KB)

ランサムウェア感染攻撃により燃料パイプラインの操業停止が発生し、ガソリン等の供給が長期間停止した事例

公開日: 2021年10月18日

【事例10】2022年衛星通信網へのサイバー攻撃の事例

【事例10】2022年衛星通信網へのサイバー攻撃の事例

2022年衛星通信網へのサイバー攻撃(PDF:1.1 MB)

衛星通信網へのDDoS攻撃と、ワイパープログラムによる通信妨害の事例

公開日: 2024年3月4日

【事例11】2022年電力網への攻撃の事例

【事例11】2022年電力網への攻撃の事例

2022年電力網への攻撃（リンク）(PDF:1.1 MB)

仮想化システムの侵害による電力網への標的型攻撃の事例

公開日: 2024年3月4日

お問い合わせ先

本ページに関するお問い合わせ

IPA セキュリティセンター（IPA/ISEC）　

E-mail

更新履歴

2024年4月18日

事例11の一部を修正しました。
2024年3月12日

冒頭の文言を修正しました。
2024年3月4日

事例10、事例11を公開しました。
2023年11月10日

事例8の一部を修正しました。
2021年10月18日

事例8、事例9を公開しました。事例3の一部を修正しました。
2020年9月8日

事例6、事例7を公開しました。
2020年3月16日

事例4、事例5を公開しました。
2019年8月2日

事例1、事例2、事例3の誤字等を修正しました。
2019年7月31日

本ページ、事例1、事例2、事例3を公開しました。