(MENAFN- Mid-East Info)イランでの戦争は24時間も経たないうちに歴史的な第一歩を記録しました。それは意図的に商業データセンターを標的としたことです。3月1日、イランのドローンがアラブ首長国連邦とバーレーンのアマゾンウェブサービス(AWS)施設3箇所を攻撃し、コアクラウドインフラを妨害、金融アプリや企業ツールを破壊しました。これは湾岸だけでなく遠く離れた地域にまで影響を及ぼし、物理的な距離が戦闘地域からの隔離を保証しないことを示しました。 しかし、多くの組織にとってより差し迫ったリスクはサイバースペースで展開し、さまざまな脅威アクターが関与しています。2月28日の米国・イスラエルの「エピックフューリー作戦」(「ロアリングライオン作戦」)直後、イラン関係のサイバーアクターは大量に動員されました。Palo Alto NetworksのUnit 42は60以上の活動中の親イランハクティビストグループを数えています。同じく数時間以内に、英国とカナダのサイバーセキュリティ機関も脅威レベルの高まりを警告しました。やがて、欧州連合刑事警察局(Europol)や米国国土安全保障省も同様の警告を発しました。 ** ** 脅威と脅威アクター**** 動的な紛争の勃発は、関与するサイバーアクターの数と規模を拡大させる傾向があります。ハクティビスト活動は騒々しく、多くの場合虚勢や自信に満ちており、最初に急増します。高度な持続的脅威(APT)作戦は偵察や初期アクセスを伴い、並行または直後に展開されます。足場を築き、ターゲットをマッピングした後は、スパイ活動、妨害、破壊、その他の目的を達成するための舞台が整います。もちろん、線引きは必ずしも明確ではなく、一部の戦術は同時に展開されることもあります。ウェブサイトの改ざんや分散型サービス拒否(DDoS)攻撃は迷惑行為のハクティビスト活動のように見えますが、実際には別の攻撃を隠すための巧妙な陽動である場合もあります。イラン関係のグループは、世界中で最も活動的かつ資源豊富な国家支援グループの一つであり、その攻撃的サイバー能力とツールセットは近年成熟しています。特に、中東地域やそこに関係する組織にサプライチェーンの関係を持つ企業にとって脅威は非常に深刻です。CyberAv3ngersグループによる2023年の米国や他国の水道・下水道ユーティリティへの攻撃は、そのターゲティングの論理がどのように実行されるかを示しています。侵害されたシステムに残された不吉なメッセージ—「あなたはハッキングされた、イスラエルに屈せよ。『イスラエル製』のすべての機器はCyberAv3ngersの合法的ターゲット」—はハクティビストの出力のように見えましたが、実際にはイラン国家の指示の下で活動していることが判明しました。このハクティビストの正体と国家支援の作戦の境界は曖昧になっており、その根源は2012年のサウジアラムコ事件にさかのぼる可能性もあります。これには「フェイクティビズム(faketivism)」という呼称もあります。異なるグループ間の運用の重複はさらに深く、ESETの研究者は以前、イラン支援のAPTアクター間の密接な関係を記録しています。特に、MuddyWaterはOilRigのサブグループLyceumと密接に連携し、他のイラン支援グループの初期アクセスブローカー(IAB)としても機能していた可能性があります。さらに状況は複雑化し、いくつかの親ロシアのハクティビストグループもイラン支援のために戦線に加わったとみられ、ロシアのサイバー犯罪フォーラムでイラン関連グループがIABと関わっているとの報告もあります。これにより、利用可能なツールとターゲットの範囲が拡大しています。重要インフラはあらゆる敵対者にとって最も狙われやすい「戦利品」の一つであり、最近のESETのテレメトリーは、イラン支援のアクターが特に工学・製造分野の組織を標的にしていることを示しています。また、報復を目的とする場合、破壊行為はランサムウェアによる恐喝より優先される傾向があります。データ消去型マルウェアは現代の紛争に隣接した作戦の一貫した特徴であり、ロシア支援のグループはウクライナでこのパターンを繰り返し示しています。コストパフォーマンスの高い攻撃手法としては、サプライチェーンの侵害が最も一般的です。2022年、ESETの調査では、イラン支援のAgriusグループがイスラエルのソフトウェア開発者を悪用したサプライチェーン攻撃で破壊的なワイパー「Fantasy」を展開し、さまざまな業界やイスラエル以外の地域も攻撃対象にしたことが記録されています。サプライチェーン攻撃の爆発範囲は、直接標的にされなかった組織や紛争と明確な関係のない組織にまで及ぶ可能性があります。関連するリスクとして、マネージドサービスプロバイダー(MSP)とその顧客も挙げられます。2022年には、MuddyWaterのサイバー諜報活動によるキャンペーンが記録されており、MSPのリモートアクセスを侵害して最終ターゲットにアクセスしていました。彼らはターゲットに直接侵入する必要はなく、MSPのアクセス経路を利用して攻撃を行ったのです。また、MuddyWaterや他のグループは、すでに侵害されたメールアカウントからのスピアフィッシングを好み、成功率も高いです。これらの攻撃は、従業員が別のチャネルで確認すべき重要なリクエスト(資格情報、アクセス変更、緊急の「セキュリティアップデート」など)を狙います。AIツールを利用した巧妙なフィッシング誘導や、脆弱性調査、マルウェア開発支援など、攻撃の各段階でAIが活用されています。クラウド依存度のマッピングも重要です。どのSaaSプロバイダーに依存しているか、そのインフラがどこにホストされているかを把握してください。中東に拠点を持たなくても、あなたのプロバイダーがそうである可能性もあります。AWSの攻撃後、多くのベンダー(Sno
イラン戦争によるサイバー・フォールアウト:あなたのレーダーに入れておくべきこと
(MENAFN- Mid-East Info)イランでの戦争は24時間も経たないうちに歴史的な第一歩を記録しました。それは意図的に商業データセンターを標的としたことです。3月1日、イランのドローンがアラブ首長国連邦とバーレーンのアマゾンウェブサービス(AWS)施設3箇所を攻撃し、コアクラウドインフラを妨害、金融アプリや企業ツールを破壊しました。これは湾岸だけでなく遠く離れた地域にまで影響を及ぼし、物理的な距離が戦闘地域からの隔離を保証しないことを示しました。
しかし、多くの組織にとってより差し迫ったリスクはサイバースペースで展開し、さまざまな脅威アクターが関与しています。2月28日の米国・イスラエルの「エピックフューリー作戦」(「ロアリングライオン作戦」)直後、イラン関係のサイバーアクターは大量に動員されました。Palo Alto NetworksのUnit 42は60以上の活動中の親イランハクティビストグループを数えています。同じく数時間以内に、英国とカナダのサイバーセキュリティ機関も脅威レベルの高まりを警告しました。やがて、欧州連合刑事警察局(Europol)や米国国土安全保障省も同様の警告を発しました。
** ** 脅威と脅威アクター****
動的な紛争の勃発は、関与するサイバーアクターの数と規模を拡大させる傾向があります。ハクティビスト活動は騒々しく、多くの場合虚勢や自信に満ちており、最初に急増します。高度な持続的脅威(APT)作戦は偵察や初期アクセスを伴い、並行または直後に展開されます。足場を築き、ターゲットをマッピングした後は、スパイ活動、妨害、破壊、その他の目的を達成するための舞台が整います。
もちろん、線引きは必ずしも明確ではなく、一部の戦術は同時に展開されることもあります。ウェブサイトの改ざんや分散型サービス拒否(DDoS)攻撃は迷惑行為のハクティビスト活動のように見えますが、実際には別の攻撃を隠すための巧妙な陽動である場合もあります。
イラン関係のグループは、世界中で最も活動的かつ資源豊富な国家支援グループの一つであり、その攻撃的サイバー能力とツールセットは近年成熟しています。特に、中東地域やそこに関係する組織にサプライチェーンの関係を持つ企業にとって脅威は非常に深刻です。
CyberAv3ngersグループによる2023年の米国や他国の水道・下水道ユーティリティへの攻撃は、そのターゲティングの論理がどのように実行されるかを示しています。侵害されたシステムに残された不吉なメッセージ—「あなたはハッキングされた、イスラエルに屈せよ。『イスラエル製』のすべての機器はCyberAv3ngersの合法的ターゲット」—はハクティビストの出力のように見えましたが、実際にはイラン国家の指示の下で活動していることが判明しました。このハクティビストの正体と国家支援の作戦の境界は曖昧になっており、その根源は2012年のサウジアラムコ事件にさかのぼる可能性もあります。これには「フェイクティビズム(faketivism)」という呼称もあります。
異なるグループ間の運用の重複はさらに深く、ESETの研究者は以前、イラン支援のAPTアクター間の密接な関係を記録しています。特に、MuddyWaterはOilRigのサブグループLyceumと密接に連携し、他のイラン支援グループの初期アクセスブローカー(IAB)としても機能していた可能性があります。
さらに状況は複雑化し、いくつかの親ロシアのハクティビストグループもイラン支援のために戦線に加わったとみられ、ロシアのサイバー犯罪フォーラムでイラン関連グループがIABと関わっているとの報告もあります。これにより、利用可能なツールとターゲットの範囲が拡大しています。重要インフラはあらゆる敵対者にとって最も狙われやすい「戦利品」の一つであり、最近のESETのテレメトリーは、イラン支援のアクターが特に工学・製造分野の組織を標的にしていることを示しています。
また、報復を目的とする場合、破壊行為はランサムウェアによる恐喝より優先される傾向があります。データ消去型マルウェアは現代の紛争に隣接した作戦の一貫した特徴であり、ロシア支援のグループはウクライナでこのパターンを繰り返し示しています。
コストパフォーマンスの高い攻撃手法としては、サプライチェーンの侵害が最も一般的です。2022年、ESETの調査では、イラン支援のAgriusグループがイスラエルのソフトウェア開発者を悪用したサプライチェーン攻撃で破壊的なワイパー「Fantasy」を展開し、さまざまな業界やイスラエル以外の地域も攻撃対象にしたことが記録されています。サプライチェーン攻撃の爆発範囲は、直接標的にされなかった組織や紛争と明確な関係のない組織にまで及ぶ可能性があります。
関連するリスクとして、マネージドサービスプロバイダー(MSP)とその顧客も挙げられます。2022年には、MuddyWaterのサイバー諜報活動によるキャンペーンが記録されており、MSPのリモートアクセスを侵害して最終ターゲットにアクセスしていました。彼らはターゲットに直接侵入する必要はなく、MSPのアクセス経路を利用して攻撃を行ったのです。
また、MuddyWaterや他のグループは、すでに侵害されたメールアカウントからのスピアフィッシングを好み、成功率も高いです。これらの攻撃は、従業員が別のチャネルで確認すべき重要なリクエスト(資格情報、アクセス変更、緊急の「セキュリティアップデート」など)を狙います。
AIツールを利用した巧妙なフィッシング誘導や、脆弱性調査、マルウェア開発支援など、攻撃の各段階でAIが活用されています。
クラウド依存度のマッピングも重要です。どのSaaSプロバイダーに依存しているか、そのインフラがどこにホストされているかを把握してください。中東に拠点を持たなくても、あなたのプロバイダーがそうである可能性もあります。AWSの攻撃後、多くのベンダー(Sno