Gambit Securityの脅威インテリジェンスチームは、米国・イスラエル・サウジアラビア・トルコの複数組織を標的とした、破壊的なサイバーキャンペーンの全容を明らかにしました。
この活動が公に報告され始めたのは2026年3月下旬から4月上旬にかけてのことです。「Ababil of Minab」と名乗る親イラン系の人物が、ロサンゼルス郡都市交通局(LACMTA/LAメトロ)への侵入、データの窃取、そしてシステムの消去について犯行声明を出したことがきっかけでした。
Gambitの調査によると、今回の作戦はその声明が示唆する規模をはるかに超えた、より広範かつ危険なものです。同社の分析で得られたフォレンジック上の痕跡とインフラの関連性は、過去のイラン関与作戦との繋がりを示しています。
技術的なアーティファクトとネットワークインフラは、イスラエル国家サイバー局(INCD)がイランの情報安全保障省(MOIS)に公式に帰属させた活動と一致しています。
これは、「Ababil of Minab」が独立したハクティビスト集団ではなく、国家と連携した大規模な組織の一部である可能性を示唆しています。Gambitはさらに独自の窃取ツールを回収し、攻撃者が公表していないイスラエルとトルコの追加被害組織も特定しています。
攻撃者はデータ窃取と標的型破壊工作を組み合わせて使用しました。Gambitが観測した複数の被害事例では、情報の窃取に続いて、ITシステム・アプリケーション・仮想化プラットフォーム・ストレージボリューム・バックアップに対する破壊活動が実施されていました。
具体的な破壊手法としては、仮想マシンやストレージをスクリプトで削除する方法、データベースをオペレーターが手動で直接削除する方法、そしてバックアップコピーの消去などが確認されています。
これらの手法はモジュール式かつ多層的に構成されており、自動実行されるものと、人間のオペレーターが直接操作して標的を削除するものが混在しています。
破壊手法の種類ごとに、復旧における課題も異なります。仮想マシンやスナップショットを削除すると、プラットフォームレベルの復旧経路が断たれ、相互依存するサービスが破損する恐れがあります。
データベースインスタンスやストレージボリュームを削除した場合、再構築が困難なアプリケーションの状態やトランザクション履歴が失われます。バックアップやそのメタデータを消去することは最も深刻なダメージをもたらします。完全復旧への最後の砦が取り除かれてしまうからです。
攻撃者がこれらの複数レイヤーにわたって活動した場合、復旧には並行して複数の作業が必要となります。仮想環境の再構築、残存するコピーやログからのデータベース復元、アプリケーションの整合性検証など、復旧作業は長期化し、多大なコストを要します。
Gambitがチームを結成したのは、まさにこの課題に取り組むためです。同社は脅威インテリジェンスと運用上のレジリエンスを橋渡しすることに注力しています。
同社の詳細レポートには、帰属に関する証拠、回収したカスタム窃取ツール、イスラエル・サウジアラビア・トルコにおける追加被害組織のリスト、そして破壊的な攻撃手順のステップバイステップの分析が含まれています。
防御担当者への教訓は明確です。セキュリティ投資の一部を、純粋な侵害防止から「検証可能な復旧能力」の構築へとシフトさせることが急務です。セキュリティチームが今問うべき問いは、「侵入を防げるか?」だけではなく、「侵入された後に、システムを取り戻せるか?」でもあります。
バックアップ管理、仮想化基盤、またはインシデント対応を担当している方は、データ窃取と破壊工作が同時に発生するシナリオを想定したテーブルトップ演習を優先的に実施することをお勧めします。
この種の演習は、従来の侵入防止テストではほとんど発見できない復旧上のギャップを浮き彫りにし、この新しいクラスの攻撃を乗り越えるために必要な対応能力を組織に身につけさせてくれます。
翻訳元: https://cyberpress.org/iran-hackers-wipe-systems/