🛡 概要
フランス当局は、イタリアの旅客フェリー「Fantastic」(運航:Grandi Navi Veloci, GNV)の船内に不正なリモートアクセスツール(RAT)が仕込まれた事件で、乗組員2名を拘束し、このうちブルガリア人は釈放、ラトビア人1名が勾留中と発表しました。捜査はDGSI(仏内務保安総局)とイタリア当局が連携して継続中で、同RATはGNVによって発見・無力化され、運航への直接的影響は出ていないと報じられています。仏内務相は「外国勢力の関与の疑い」を示唆しました。本件とは別に、仏内務省のメールサーバ侵害でも容疑者が逮捕されています。
🔍 技術詳細
公表情報は限定的ですが、「船内でRATが発見・押収された」「乗組員が関与した疑い」という点から、初期侵入は外部からのゼロデイ悪用ではなく、物理的アクセスまたは正規資格情報を用いた内部者(もしくは内部協力者)による導入である可能性が高いと推測されます。船舶では、事務系ITネットワーク(予約・売上・乗務員端末)と、航海・機関・安全制御などのOTネットワークが分離されるべきですが、実運用では保守や更新のためのブリッジやジャンプホストが存在することがあり、これが不適切に保護されているとRATを足場として横展開が起き得ます。RATは一般に、(1) サービスやタスクによる永続化(例:Windowsサービス登録、スケジュールタスク)、(2) 暗号化トンネルを用いたC2通信、(3) 資格情報窃取やリモートサービス(RDP/SSH/SMB)経由の横移動といった機能を持ちます。今回「遠隔で船を操作できる恐れ」と報じられた点は、RATがIT側に導入されていても、セグメンテーションの不備や特権経路の悪用があればOT領域への到達可能性があることを示唆します。とはいえ、どのシステムが標的だったか、どの脆弱性が使われたか、具体的なマルウェア名やC2インフラは公表されていません。CVSSスコアやCVEの紐づけも現時点で未公表です。検体解析・ログ相関・資産台帳との突合により、導入経路(USB持込、管理端末からの配布、リモートメンテナンス口の悪用など)と到達範囲を確定させるのが技術的優先事項になります。
⚠ 影響
最悪ケースでは、航行・推進・安全監視の可用性と信頼性が損なわれ、安全保障・人命・環境に関わるリスクに発展します。事業面では、寄港地での臨検・拘留、運航停止、保険・規制対応、ブランド毀損、サプライチェーン遅延、法的責任の拡大が想定されます。たとえ被害が「無影響」で終息しても、内部関与が示唆される事案は組織の内部統制・人事管理・アクセス管理の見直しコストが大きくなります。
🛠 対策
– ネットワーク分割とゼロトラスト: IT/OTのレイヤ分離、双方向の制御付きデータダイオード/プロキシ、管理用ジャンプホストの強固化、ポリシーベースの東西トラフィック制御
– アクセス管理強化: 特権IDの金庫化とJIT付与、多要素認証(衛星回線/港湾Wi‑Fi経由の管理アクセス必須化)、共有アカウント廃止、USB等リムーバブルメディア制御
– アプリ制御: 重要端末でのアプリケーション許可リスト(allowlisting)とPowerShell制約モード、スクリプト実行制御
– 監視とEDR: 船内/陸上SOC連携、EDRのオフライン運用手順(署名更新のキャッシュ、衛星回線帯域制御)、Sysmon・Windows監視の標準化
– 変更管理とサプライヤ統制: 乗組員交代・業者乗船時の貸与端末検査、保守作業の録画・録音・コマンド記録、ソフト配布の署名検証と二者承認
– インシデント対応: 隔離・根絶・復旧の手順を船内で実行可能な形に整備し、港湾寄港時のフォレンジック引継ぎ計画を明文化
– 人的対策: 採用前/配属前のバックグラウンドチェック、セキュリティ誓約、情報持出・操作記録の定期レビュー
📌 SOC視点
– 典型検知ポイント: 新規サービス/ドライバ導入(System/Service Control Manager 7045)、スケジュールタスク作成(Microsoft-Windows-TaskScheduler/Operational 106/140/200系)、異常なログオン(4624/4672/4648)、新規ローカル管理者追加(4720/4732)、不審なRDP/SMB/WinRMの横接続(Sysmon 3, 10, 11)
– C2/ネットワーク: VSAT/4Gバックホールからの定期ビーコン、TLS/SNI不整合、DNSトンネリング疑い、プロキシ未通過の直結通信
– エンドポイント: 署名なしのRAT、LOLBin(mshta、rundll32、regsvr32、powershell)の不審利用、永続化痕跡(Run/Services/StartupFolders)
– ハンティング: 新規バイナリの出現頻度上昇、港湾寄港時刻と一致する管理者操作スパイク、OTセグメント方向へのスキャン/接続試行
📈 MITRE ATT&CK
– T1078 Valid Accounts(正規アカウント悪用): 乗組員/保守用の資格情報が濫用された可能性に整合
– T1219 Remote Access Software(RATの使用): 船内でRATが実際に発見・押収されたと報じられている事実に基づく
– T1053 Scheduled Task/Job(永続化): RATの定着化手口として一般的。痕跡はタスク履歴・レジストリに残存
– T1543 Create or Modify System Process(サービス作成): サービス化による自動起動と権限昇格の常套手段
– T1105 Ingress Tool Transfer(ツール持ち込み): 物理持込/管理端末経由などでRATを搬入した状況に適合
– T1021 Remote Services(横移動): RDP/SMB/SSH等を介した船内横展開の可能性に言及
🏢 組織規模別助言
– 小規模(〜50名): 重要端末のホワイトリスト化とUSB遮断を最優先。衛星回線の出口はフルプロキシ化し、C2の外向き通信を遮断。乗組員の権限は職務に必要最低限に限定
– 中規模(50〜500名): IT/OT間のジャンプホストにMFA+録画・コマンド監査を導入。特権IDの金庫化(緊急時ワークフローを含む)。港湾寄港ごとに変更差分監査を実施
– 大規模(500名以上): グローバルSOCで船陸一体の可視化を実現。攻撃面最小化(ASR/EDR、攻撃面削減ルール)、脅威インテリジェンス連携、レッドチームで内部不正とOT越境の実証試験
🔎 類似事例
– 2017年 MaerskがNotPetyaで全社IT停止(海運業の運航・港湾オペへの広範影響)
– 2018年 COSCO Shippingがランサムウェア被害(予約・Eメール障害)
– 2021年 米・Oldsmar浄水場で遠隔操作ソフトの濫用未遂(RAT/リモートツールのリスク示唆)
本件に直接対応するCVE/CVSSは現時点で公表されていません。
🧭 次の一手
1) 直ちに資産台帳とネットワーク図を更新し、IT/OT間の到達性を再評価 2) 船内・港湾での「乗船者/業者」アクセス手順を多要素・録画監査付きに格上げ 3) 重要端末でアプリ許可リストとRAT既知シグネチャのブロックを適用 4) SIEMに船内ログ(Windows/EDR/ネットワーク)を継続送信できる帯域・バッファ設計を整備 5) 役員向けに海上安全とサイバーの統合演習(Table‑Top)を実施。MITRE ATT&CK(Enterprise/ICS)のカバレッジ差分を把握し、改善計画に落とし込みましょう。
