出典:Karen Roach(Alamy Stock Photo経由)
イラン国家情報機関の将来のメンバーが匿名のデータ漏洩によって暴露された。
10月22日、英イラン人活動家ナリマン・ガリブが、ラヴィンアカデミーに関連する1,000人以上の人物のリストを公開ウェブ上に掲載した。ラヴィンアカデミーは、政府の傘下である高度持続的脅威(APT)グループAPT34(別名:MuddyWater、Helix Kitten、OilRig)と関係のある、制裁対象のイランのサイバーセキュリティ学校である。
ガリブはデータを入手した手段について詳細を明かしていないが、文脈から見て反イラン的ハクティビズムの匂いがする。
被害者は、The Registerが入手し翻訳したTelegramの投稿で、そのように示唆した。漏洩を認める声明では、「この事件は、過去に繰り返し虚偽かつ誤解を招く内容が公開されてきたことと相まって、このアカデミーの評判を傷つけ、イランの安全保障を損ない、サイバーセキュリティ分野におけるナショナルオリンピアドの地位を損なうことを目的としている」と述べている。
後半の文は、現在テヘランのパルディス・テクノロジーパークで開催中のラヴィンアカデミーの「テックオリンピック」イベントを指している。現地メディアによると、このイベントには66カ国から12,000人以上が参加し、そのうち1,100人が決勝ラウンドのためにテヘランに渡航した。中東、アジア、ヨーロッパからの参加者が、人工知能(AI)、モノのインターネット(IoT)、サイバーセキュリティなどに関連するスキルチャレンジで競い合っている。このイベントは、イラン全体およびラヴィンアカデミーが国際的なテクノロジー分野で主要な存在であることを正当化する上で重要な役割を果たしているようだ。「この1年間のメディア活動が上記の目的を達成するために行われてきたことを考えると、このイベントの反対者や国際的な競争相手がこの大きな国家的成果を損なおうとするのは自然なことだ」とラヴィンは述べている。
ラヴィンアカデミーとは?
ラヴィンアカデミーは2019年11月、イラン情報省(MOIS)の職員であるセイエド・モジタバ・モスタファヴィとファルジン・カリミによって設立された。皮肉なことに、彼らは独立機関を装いながら、イラン情報通信技術省(ICT)からわずか2ブロックの住所に登録した。ICTはイランの抑圧的なインターネット検閲を主に担う機関であり、国家のサイバーセキュリティにも重要な役割を果たし、MOISのサイバー攻撃作戦を支援している。
ラヴィンアカデミーは通常のサイバーセキュリティ訓練学校であると主張している。だが、さまざまな西側政府や研究機関によれば、実際にはMOISのプロジェクトであり、サイバーセキュリティやハッキングの人材を政府に育成・供給するためのものだという。
複数の国が、少なくとも表向き独立した学術機関と協力している。こうした手法により、政府機関は有能な若者を効果的にリクルートでき、今回のような話が出た際にももっともらしい否認ができる。国家と学校のつながりが暴露される前は、こうした機関の代表者は国際会議や研究プロジェクトへの参加機会を得ることができる。
学校という環境は、政府機関であれば疑わしく思われる、あるいは問題視されるような活動も実施しやすくする。例えば、学校であれば学生にコンピュータのハッキング方法を教えることに一定の倫理的正当性を持たせることができる。
PwCのアナリストは、ラヴィンアカデミーの場合について2022年に発表したレポートでその仕組みを説明している。2020年3月、ラヴィンアカデミーはMicrosoft Exchangeの重大なリモートコード実行(RCE)バグであるCVE-2020-0688の概念実証(PoC)エクスプロイトをGitHubに公開した。2020年9月23日には、ラヴィンアカデミーのウェビナーで重大なNetlogon脆弱性(CVE-2020-1472)のPoCエクスプロイトが実演された。2020年9月から10月にかけて、MuddyWaterはこれら2つの脆弱性を、学校が解説したのと同じ手法で悪用していた。
米財務省はこの学校を制裁対象とした際、「ラヴィンアカデミーは情報セキュリティ訓練、脅威ハンティング、サイバーセキュリティ、レッドチーム、デジタルフォレンジクス、マルウェア解析、セキュリティ監査、ペネトレーションテスト、ネットワーク防御、インシデント対応、脆弱性分析、モバイルペネトレーションテスト、リバースエンジニアリング、セキュリティ研究など、さまざまなサイバーサービスでMOISを支援している」と記している。ラヴィンアカデミーは英国および欧州連合(EU)からも制裁を受けている。
イランのハッカーたち(そして一般市民も)
公開されたラヴィンアカデミーのデータには、より多くの氏名、電話番号、Telegramユーザー名、国民ID番号が含まれている。ガリブはさらに学生ID番号や各学生が受講した授業の情報も入手したが、これらは漏洩サイトには含めなかった。
The Registerの記者がデータを精査したところ、いくつか注目すべき傾向が見つかった。まず、特定できた人物の大半はサイバーセキュリティ分野の出身ではなかった。代わりに、機械工学、電気工学、流体力学、機械学習(ML)など他のSTEM分野に関連していた。ラヴィンアカデミーが業界を超えて人材を集めているとすれば、イランが国家のサイバー作戦をいかに重要視しているかを示しているかもしれない。
さらに懸念されるのは、記者が特定した人物の中に学者が複数含まれており、その「かなりの割合」が西側の大学と関係していたことだ。
また、ラヴィンアカデミーが学生に国家との関係を公表していないため、ガリブの漏洩サイトに名前が掲載された多くの人々は、自分が国家と関係のある機関に在籍していたことを知らなかった可能性があり、今後もイラン政府に雇用されるとは限らないことも指摘しておく価値がある。
ガリブは「このオペレーショナルセキュリティの失敗は、企業の公的な信用を損なうと同時に、正当な職業能力開発プログラムだと信じて入学したかもしれない個人をも危険にさらしている」と述べている。
翻訳元: https://www.darkreading.com/threat-intelligence/data-leak-students-iran-mois-training-academy
