Modbus PLCを標的としたグローバルキャンペーンを確認、中国に所在するインフラも観測

エグゼクティブサマリー

2025年9月から11月にかけて、Cato Networksの脅威リサーチチームは、インターネットに公開されたPLC（Programmable Logic Controller）を対象とする、不審なModbus/TCP（Transmission Control Protocol）通信を伴うグローバル規模のキャンペーンを観測しました。標的となった範囲は70カ国、14,426件の異なるIPアドレスに及び、最も多くの活動が確認されたのは米国でした。観測された活動は、大規模な自動スキャンと、より選択的かつ意図性の高い挙動が組み合わさったものであり、PLCがインターネット上に公開されている環境では、詳細なデバイスフィンガープリント取得、妨害行為、さらには不正操作につながる可能性があることを示唆しています。

3カ月間を通じて、広範かつ頻繁に変化する低信頼なインフラ群から、数千件規模のリクエストが確認されました。一方で、中国に所在するとみられる送信元を含む、一部の“高い意図性”を持つと考えられる注目すべきインフラも観測されています。現時点では脅威アクターの正体は特定されていません。しかし今回の調査結果は、Modbusをインターネットへ公開することが、運用上のリスクを大きく高めるだけでなく、その後の攻撃活動を招く可能性を高めることを、改めて浮き彫りにしています。

技術的な概要

Modbusへの書き込みが物理世界へ及ぼす影響

Modbusは、もともと信頼された産業ネットワーク内での利用を前提として設計されたプロトコルであり、インターネット上での公開運用は想定されていません。そのため、Modbus対応PLCが外部からアクセス可能な状態にある場合、リモートの脅威アクターは、デバイスの特定（フィンガープリント）、コントローラデータの読み取り、さらには書き込み操作に至るまでを短時間で実行できる可能性があります。特に書き込み機能が到達可能な環境では、物理プロセスに影響を与えるレジスタ値を変更することも可能になります。

こうしたインターネット公開されたModbus環境が、どれほど容易に現実世界への影響につながり得るのかを示すため、私たちはMITREの「Wildcat Dam」シミュレーションをベースにPoC（proof of concept = 概念実証）を構築しました。以下の動画では、脅威アクターがまずPLCの機器を識別（フィンガープリント）し、それがダム制御システムを管理していることを特定。その後、制御ロジックで使用されている水位しきい値に対してModbusの書き込みリクエストを送信し、値を書き換えています。その結果、水位は異常な速度で上昇し、第3しきい値では255%に到達しました。さらに脅威アクターは、ダムのゲート状態についても強制的に変更を加え、ゲートを開閉させることで、本来オペレーターが想定している制御状態を無効化し得る状況を作り出しています。また同時に、同様の手法に対してCatoのSASE Platformを用いることで、こうした機器識別（フィンガープリント）行為や不正な書き込み試行を検知・遮断できることも示しています。

Modbusレジスタの基本と、0x03および0x10が重要となる理由

Modbusでは、PLCのメモリは「コイル（Coils）」および「レジスタ（Registers）」を介してアクセスされます。レジスタは一般的に16ビット値として扱われ、「Input Registers（入力レジスタ：読み取り専用）」と、「Holding Registers（保持レジスタ：読み書き可能）」に分類されます。これらの機能については、Modbus PDU（protocol data unit）仕様の中で詳細に定義されています。

本レポートにおいて特に重要となる機能は、以下の3つです。

• 0x03 Read Holding Registers：読み書き可能なレジスタ領域から値を取得する機能です。主に設定情報やコントローラデータの読み取りに利用されます。
• 0x2B/0x0E Read Device Identification：ベンダー名、製品名、バージョン情報などのデバイス識別情報を取得する機能です。これは資産管理や可視化に有用である一方、攻撃者にとっても標的選定や環境把握に役立つ重要な情報となります。
• 0x10 Write Multiple Registers：Holding Registers（保持レジスタ）に対して値を書き込む機能です。この機能がインターネット経由で利用可能な状態にある場合、デバイスの挙動そのものを外部から直接変更される可能性があります。

調査手法

私たちは、3カ月間にわたって観測されたModbus/TCPのインバウンド通信テレメトリを分析し、特に以下の観点に着目しました。

• ファンクションコードの出現頻度およびそのシーケンス
• PDU引数における一貫性と変動性（固定化されたパターンは、自動化された通信である可能性を強く示唆します）
• プロトコル上限付近に達する大規模な読み取り要求のサイズ、および高頻度で繰り返されるリクエストパターン
• 単一の送信元から単一ターゲットに対して行われる通信挙動
• AbuseIPDB、VirusTotal、さらに単一送信元による複数のIPSトリガーといった内部相関分析を組み合わせたエンリッチメント分析

調査結果と分析

3カ月間にわたるModbus/TCPのインバウンド通信テレメトリを分析した結果、私たちは、大規模な自動化リコネサンスから、可用性低下やデバイス状態の操作につながり得る、より高リスクな挙動へと段階的に発展していく不審な活動パターンを確認しました。表1では、観測された主要な挙動、その内容、推定される攻撃手法、そして想定されるリスクレベルを整理しています。

観測された挙動	観測内容	挙動分析および推定される手法	リスク
1.大量のレジスタ読み取り（0x03）	3カ月間で約23万5,500件のインバウンドリクエストを観測。送信元IPは233件に及び、通信の大半を0x03が占めていた	インターネット公開されたPLCに対し、Holding Register（保持レジスタ）からデータを取得しようとする自動化スキャン活動	中〜高
2.機器識別（フィンガープリント）後の標的型読み取り	デバイスが特定（ベンダー／製品／バージョン情報取得）された後、固定レジスタ（0xB414）に対する8レジスタ読み取りを実施	スクリプト化されたデバイスの特定（フィンガープリント）の後、既知のレジスタ領域に対して、ベンダーまたは機種固有のデータ取得を行う挙動	高
3.大量読み取りによる過負荷攻撃	124レジスタ前後の、プロトコル上限に近い大量読み取りを確認。ある送信元は単一ターゲットに対し、約15万8,100件の読み取りを短時間で実行	PLCのCPU、キュー、接続処理能力などのリソース枯渇を狙った、高頻度な大量読み取り攻撃	高
4.稀な拡張デバイス識別（0200）	6件のIPから175件のリクエストを観測。大半の送信元は中国からの通信とみられ、複数の脅威情報で危険性が確認されていた	拡張デバイスメタデータ収集を用いた、攻撃準備段階とみられる情報収集活動	高
5.複数レジスタへの継続的な書き込み試行（0x10）	単一IPから3,240件の書き込みリクエストを観測。常に0x0BB8を開始アドレスとし、27〜122レジスタへの書き込みを実施	書き込み可能なHolding Register（保持レジスタ）領域に対する、自動化された書き込み試行および操作行為	重大（Critical）

特筆すべき点として、この活動に使用されていたインフラの多くは、観測時点では公開されている危険度評価サービス上で「未知」とみられる状態でした。多くの送信元IPは、AbuseIPDBにおいて低スコア、あるいはスコアなしの状態であり、VirusTotalでも検知しているベンダー数は限定的でした。これは、新規、あるいは短期間で切り替えられるインフラを利用する探索活動の特徴と一致しており、実際の調査・探索活動に対して、危険性に関する情報更新が追いついていない状況を示しています。

本レポートにおける「挙動分析」欄の評価は、プロトコルの通信パターンおよび反復性に基づいています。インフラの所在情報や地理情報のみをもって、攻撃主体を特定するものではありません。脅威アクターは、プロキシ、VPS（仮想専用サーバー）、あるいは侵害済みホストを経由して通信を行う可能性があるためです。

以下では、実環境で観測された不審なModbus通信について、さらに詳細な技術分析を行ったものです。

1. 大規模な探索活動：Read Holding Registers（0x03）が通信の大半を占有：Read Holding Registers（0x03）は、観測されたインバウンドModbus通信の中で圧倒的多数を占めており、233件の送信元IPから約23万5,500件のリクエストが確認されました。これは、インターネット公開されたPLCに対し、Holding Register（保持レジスタ）領域の読み取りを試みる活動が広範に行われていたことを示しています。また、私たちの通信分析では、これら送信元の約半数が複数のIPS検知と関連しており、多くの探索元が単なる計測や調査ではなく、より広範な不審活動の一部である可能性が示唆されました。
2. デバイス特定（フィンガープリント）後の標的型読み取り：自動化されたPLC識別とデータ取得：私たちは、一貫した2段階の通信手順を確認しました。まず、基本的なデバイス識別（0x2B/0x0E、データ 0100）を実施し、その後、固定された0x03レジスタ読み取り（例：開始アドレス 0xB414、8レジスタ）を行うという流れです。これらの値は極めて固定的であり、自動化された処理の特徴を示していました。この挙動は、「PLCの種類を特定した後、そのベンダーまたは機種において意味を持つ特定レジスタ領域を取得する」という、実践的な攻撃手順と一致しています。

手順	目的	ファンクション	PDUデータ	内容
1	デバイスの特定（フィンガープリント）	0x2B/0x0E	01 00	ベンダー名、製品名、更新情報の取得
2	標的型読み取り	0x03	b4 14 00 08	0xB414から8レジスタを読み取り

3. 上限付近の大量読み取り：妨害行為を示唆する挙動観測されたリクエストの中には、プロトコル上限に近い大量読み取りを試みるものが相当数含まれていました。多くは、上限125レジスタに対し、124レジスタを読み取る構成となっていました。ある送信元では、単一ターゲットに対して約15万8,100件の読み取りを短時間で連続実行していることも確認されています。実際にPLC側でどの程度の影響が発生していたかについては、対象機器へ直接アクセスできないため検証できませんでした。しかし、リクエストの規模と頻度は、PLCの応答性や可用性を低下させることを目的とした、リソース枯渇型の攻撃と整合する挙動でした。
4. 拡張デバイス識別：少数ながら意図性の高い活動基本的なデバイス識別（0100）は広く確認されましたが、拡張識別用データ（0200）は限定的であり、通信元も集中していました。観測されたのは、6件のIPから送信された175件のリクエストのみでした。これら送信元の大半は中国所在と判定され、複数の脅威情報において高い危険性が確認されていました。私たちはこれを、より意図性の高い情報収集活動に使用された注目すべきインフラと位置付けています。ただし、繰り返しになりますが、地理情報のみをもって攻撃主体を特定することはできません。
5. Write Multiple Registers：継続的な書き込み試行観測された書き込み通信は、すべて単一の送信元IPから発生しており、総数は3,240件に達していました。これらの書き込みは、一貫して0x0BB8を開始アドレスとし、27〜122レジスタに対して実行されていました。この規則性は、これらが自動化された処理である可能性を強く示しています。また、今回確認された活動の中でも、これは最も高リスクな種類に分類されます。書き込み権限は、PLCの状態や、現実世界における制御結果そのものへ直接影響を与える可能性があるためです。

観測された標的の業種別分布

図1は、不審なインバウンド通信によって標的となった、インターネット公開型Modbusエンドポイントを保有する組織の業種分布を示しています。対象となった業種は広範にわたっており、無差別的な探索活動であった可能性がうかがえます。最も多かったのは製造業で、全体の18%を占めていました。これに続き、医療、建設、技術、運輸、金融などが比較的小規模な割合で分布しており、その他の多様な業種は「その他」に分類され、全体の27%を占めています。製造業への集中は、Modbus対応PLCが最も広く導入されている分野であることと整合しています。特に、OT（制御・運用技術）への依存度が高い環境では、機器が外部公開される可能性が高く、その結果として探索対象になりやすい傾向があります。また、政府関連組織も一部確認されており、その大半は自治体関連でした。

図1.  不審なModbus探索活動に関連して観測された標的の業種別分布

観測された標的の地域別分布

地理的に見ると、不審なインバウンドModbus通信は、70カ国・14,426件の異なる標的IPに及んでいました。ただし、その分布には大きな偏りが見られました。図2が示す通り、標的IP数の上位10カ国だけで全体の86%を占めており、さらに上位3カ国である米国、フランス、日本の合計だけで、全体の61%を占めていました。

地域別では（図3）、南北アメリカ地域が48%で最も多く、これに欧州（28%）、アジア（23%）が続いています。

図2. 観測された標的国 上位10カ国

図3.  観測された標的地域

2025年9月〜11月の3カ月間における主な調査結果

• 大規模な探索活動：233件の送信元IPから、約23万5,500件のインバウンド通信を確認しました。通信の大半はRead Holding Registers（0x03）によるものでした。
• 新規または低評価のインフラの利用：多くの送信元IPは、公開されている危険性評価において低スコア、あるいは未評価の状態でした。これは、新規、または短期間で切り替えられる探索用ホストの利用と整合しています。
• 機器識別後の探索活動：Read Device Identification（0x2B/0x0E）の実行後、固定レジスタ読み取りを行う挙動が確認されており、自動化された標的探索の特徴と一致していました。
• 妨害および大きな影響を狙った試行：最大要求サイズ付近での大量読み取りによる過負荷型の挙動に加え、単一送信元から3,240件のWrite Multiple Registers（0x10）要求が確認されました。
• より意図性の高い注目インフラ：稀な拡張デバイス識別（0200）手法を使用していたのは、わずか6件のIPのみでした。
• 広範な地理的分布：標的は70カ国に及び、最も多かったのは米国（36%）でした。

結論

今回の調査により、インターネット公開されたModbus機器が、大規模な探索活動や機器識別だけでなく、妨害行為や直接的な操作の試みに至るまで、継続的に攻撃対象となっている実態が明らかになりました。攻撃主体そのものは特定できていないものの、この活動は複数の業界にまたがって確認されており、とりわけ製造業での割合が高く、対象地域も数十カ国に広がっていました。

本レポートにおける最も重要な提言は、一貫しています。Modbusをインターネットへ直接公開しないことです。やむを得ず外部接続が存在する場合には、OT環境をIT環境およびインターネットから分離するための適切な区分管理を行い、Modbusへ到達可能な範囲を厳格なアクセス制御によって制限する必要があります。さらに、初期段階の探索行為から、より深刻な攻撃行為までを阻止できる脅威防御機能を組み合わせて運用することが重要です。

対策

前述のWildcat Dam実証環境では、Cato Threat Protectionにより、脅威アクターによるModbus機器の識別行為および書き込み試行を遮断し、PLC制御ロジックへのアクセスを防止できることを確認しました。

また、Cato Threat Protectionは、本レポートで確認された以下のような挙動に対しても、リスク低減に寄与します。

• Read Device Identification（0x2B/0x0E）を利用した機器識別（フィンガープリント）
• 基本識別後に固定レジスタ読み取りを行う、自動化された識別・探索手順
• 上限付近のレジスタ範囲を高頻度で要求する、大量読み取り型の過負荷攻撃
• インバウンドのWrite Multiple Registers（0x10）通信（これらは監視対象となっており、ポリシーによって遮断することで、インターネット経由の不要なレジスタ書き込みを防止可能）

私たちは、インターネットからの不要なModbus書き込み通信を、既定で遮断することを推奨します。その上で、Modbusへのアクセスは、明示的に信頼された送信元のみに限定すべきです。

参考情報

• Cato Threat Protectionが、実際のOT環境を狙った脅威をどのように検知・遮断するかについては、関連ブログをご参照ください。
• また、本調査に関連するIoC（Indicators of Compromise：侵害指標）の一覧については、追加情報および背景説明とあわせて、Cato MDRチームまでお問い合わせください。