コンテンツにスキップするには Enter キーを押してください

ハッカーが待ち伏せ、イラン船舶の通信を遮断

投稿日 2025年8月26日

ペルシャ湾のタンカー

出典:Farzad Abdollahi(Shutterstockより)

イランの国営ハッカーの実態を暴露してきたことで知られる謎のハクティビスト集団が、数十隻のイランの石油タンカーや貨物船の通信を遮断し、重要な船内システムを完全に使用不能にしたと主張しています。

英国拠点の「イラン・インターナショナル」は金曜日、これをイランの海運業界に対する過去最大級のサイバー攻撃の一つと報じ、イラン国営タンカー会社(NITC)およびイラン・イスラム共和国船舶会社(IRISL)が運航する約25隻の貨物船と39隻のタンカーが影響を受けたと伝えました。両社は、イラン政府に関連した様々な違反行為により米国財務省から制裁を受けています。

完全掌握

報道によると、「Lab-Dookhtegan(縫い合わされた唇)」と呼ばれる攻撃者グループは、船舶の衛星端末を動かすLinuxシステムに管理者レベルでアクセスし、船舶の通信を維持するソフトウェア「Falcon」を無効化したと主張しています。「Falconを停止すれば、船と陸上の完全な通信断絶となる」と同グループは述べ、これにより自動船舶識別システム(AIS)や衛星リンクも使用不能になったとイラン・インターナショナルは伝えています。

攻撃者は、NITCやIRISLなどイランの海運業界に衛星通信サービスを提供するイランのITベンダー「Fanava Group」を侵害することで船内システムへの足がかりを得た模様です。この事件は、戦略的サプライヤーへの単一の攻撃が業界全体に広範な混乱をもたらすことを改めて示しています。Fanavaへのコメント要請は、同社のウェブサイトの問い合わせフォームを通じて繰り返し行われましたが、返答はありませんでした。

Nariman Gharib氏は、ロンドン在住のイラン人サイバー研究者・活動家で、イランのデジタル諜報やハッキング活動を調査・報告しています。彼によれば、Lab-Dookhteganは単に通信機能を遮断しただけでなく、さらに深刻な被害を与えたといいます。ハッカーが彼に共有したスクリーンショットには、旧式でバグだらけのiDirect衛星ソフトウェアを動かす船内システムでroot権限を得た後、デジタル版のハンマーとも言える破壊的なコマンドが使われていたことが示されていました。

「私は、組織的なデータ破壊を示すコマンドを発見しました」とGharib氏はブログで書いています。複数の船舶からのログやフォレンジック画像を分析した結果、「6つの異なるストレージパーティションがゼロで上書きされていました。すべて消失 ― 航海ログ、メッセージアーカイブ、システム設定、さらにはリモート修復用のリカバリーパーティションまで」と述べています。Gharib氏は、システムの復旧には各船舶に人が乗り込み、通信システムを一から再インストールする必要があると評価しています。「1隻あたり数週間、場合によっては数か月のダウンタイムになるでしょう」とも語っています。

機会をうかがっていた

被害者側から見て最も不安なのは、Lab-DookhteganがGharib氏に共有したメールログによると、攻撃者は早くも5月には船内システムへのアクセスを得ており、ただ機会をうかがっていただけだったことです。その間、彼らはシステムに完全かつ持続的にアクセスでき、いつでも停止させることができました。さらに悪いことに、攻撃者は影響を受けた船舶のIP電話システムも掌握していました。理論上は、船と港とのすべての通話を盗聴したり、他人の声を装ったり、あるいは単に気まぐれで音声通信自体も使用不能にできた、とGharib氏は記しています。

Lab-Dookhteganは2019年初頭に登場し、イランのサイバー諜報グループAPT34(OilRig、Helix Kittenとも)に関連するツールやマルウェア、関係者の身元情報をリークしたことで大きな注目を集めました。今年初めにも、同ハッカー集団はNITCおよびIRIS所有の116隻の船舶の通信システムを妨害したと主張しており、これはイラン産の安価な石油を中国に販売したり、イエメンのフーシ派反乱軍への武器販売を支援したことに対するものと見られます。これらの攻撃は、同国での米国によるフーシ派への軍事作戦と時期が重なっていたとGharib氏は指摘しています。「今回は、米国財務省がイラン石油取引に関与した13社を新たに制裁リストに追加した直後のタイミングです」とGharib氏は書いています。「偶然でしょうか?あなたはどう思いますか。」

Lab-Dookhteganの攻撃は、地政学的緊張がサイバースペースでしばしば表面化することを反映しています。国家主体もハクティビストも、戦略的目標の達成や主張のために重要産業を標的にすることが多いのです。こうした状況では、国家主体から特に注目されていないと考えている組織でさえ、被害者となる可能性があります。

「私たちの企業の脅威モデルには、顧客基盤に関連する脅威アクターを含める必要があります。今回の場合、国家支援や活動家を問わず、組織が持つ関係性ゆえに関心を持つ脅威アクターです」とBugcrowdのチーフストラテジー&トラストオフィサー、Trey Ford氏は述べています。「企業の視点からは、今日多くの企業が外交や戦時状況の変化を受け、台湾や東欧での事業やパートナーシップ依存について考えています。」

このような攻撃はまた、基盤となるサービスプロバイダーや関連プラットフォームのセキュリティ体制に細心の注意を払う重要性も浮き彫りにしています。「今回の攻撃の範囲は壊滅的です ― 主要な運用・通信プラットフォームの完全なフォレンジック上書きは、決して小さなことではありません」とFord氏は語ります。「通信の中枢がダウンしたとき、どうやって劣化状態で運用を続け、システムが復旧するまで業務を維持するのかが問われます。」

翻訳元: https://www.darkreading.com/cyber-risk/hackers-knocked-out-iran-ship-comms

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です