イランとイスラエルの戦争がサイバースペースに大混乱を引き起こす

出典: Eyal Warshavsky via Alamy Stock Photo

ミサイル攻撃を交わす中、イランとイスラエルはこの1週間で激しいサイバー攻撃の波にも直面しています。

6月13日、イスラエルは「オペレーション・ライジング・ライオン」と呼ばれる軍事攻撃を開始し、イランの核兵器プログラムを無力化することを目指しました。この2国間の秘密戦争はその後公然となり、地域の勢力図を変え、イスラエルで数十人、イランで数百人の民間人の死を引き起こしました。

予想通り、ハクティビストたちはハゲタカのように現場に群がっています。現在、アナリストたちは100以上の異なる脅威アクターを追跡しており、これらのアクターはイランまたは、より頻繁にはイスラエルに対するサイバー攻撃を実行しているか、少なくとも実行していると主張しています。

しかし、特に厳しい措置を講じているのはイランです。国内からの報告によれば、政府は政府システムと職員に対してサイバーDEFCON 1のようなものを発動し、市民に対するインターネットと電話の接続制限を課しています。

イランがインターネットを遮断

イランの政府および政府寄りのメディアは、最近の日々で、同国がイスラエルからの重大なサイバー脅威に直面していることを示しています。

今週初め、国営のMehr News Agencyは、同国のサイバーセキュリティ司令部からの発表を公開しました。政府関係者は「シオニスト政権が同国のデジタルインフラに対して大規模なサイバー戦争を開始した」と主張し、「これまでのところ、多くの攻撃が成功裏に撃退され、他のケースでは技術チームがサービスを復旧している」と述べました。

イラン政府は、イスラエルの妨害を阻止するために全面的な焦土作戦を展開しているようです。火曜日、イスラム革命防衛隊（IRGC）系のファルス通信社は、同国のサイバー司令部が政府高官とそのサイバーセキュリティチームに対して接続されたデバイスを放棄するよう命じたと報じました。地域内の複数のニュースメディアも、政府が政府機関全体に高警戒状態を課していることを示唆しています。Dark Readingはまだこれを確認できていません。

最も深刻なのは、政府が市民に対するすべてのインターネットと国際電話の接続を制限したことです。これは、マフサ・アミニの死後の全国的な抗議活動の際に有名になった手法です。制限は6月13日に始まりましたが、4日後には帯域幅が約80%削減され、状況は著しく悪化しました。

インターネットサービスの代わりに、政府は市民に国のイントラネットを使用するよう指示しています。一方、イーロン・マスクは、イラン市民向けにStarlinkを提供していることを示唆しています。Starlinkはイランでは違法ですが、専門家は数万の端末が存在すると推定しています。

ハクティビスト対イスラエル

証拠によれば、イスラエルはイランよりもはるかに多くのサイバー攻撃を受けていますが、その洗練度は低いです。

6月4日から6月12日まで、Radwareの研究者たちはイスラエルを標的とした1日あたり3～4件の分散型サービス拒否（DDoS）攻撃を追跡しました。彼らがDark Readingと共有したデータによれば、その数は6月13日に21件、翌日には34件に急増しました。この記事執筆時点で、毎日25件以上の攻撃が報告されています。現在、イスラエルは世界中のハクティビストによるDDoS攻撃の約40%の対象となっており、他のどの国よりもはるかに多くの攻撃を受けています。

DDoS攻撃に加えて、ハクティビストたちは情報漏洩を主張し、マルウェアや偽情報を拡散しています。例えば、6月18日、親パレスチナの「ハンダラ」脅威アクターは、イスラエルの物流会社Mor Logistics Ltd.に属する425GBのデータを漏洩したと主張しました。また、同社はイスラエルの主要な研究大学であるワイツマン科学研究所に属する「内部文書、機密研究、機密データ」4TBにアクセスしたと主張しました。この大学は月曜日にイランのミサイル攻撃を受けたばかりです。

ハンダラは、最近イスラエルを攻撃している少なくとも60、場合によっては100以上の異なるハクティビスト団体の一つに過ぎません。これにはイランのグループだけでなく、ロシア、南アジア、その他の地域のグループも含まれています。今週、Cybleがクライアントに送ったセキュリティアドバイザリで指摘したように、「これらのグループはデジタル戦闘員としてだけでなく、より広範な抵抗メディアエコシステムの一部としても位置づけられているようで、共通の目的意識が感じられます。」

親イスラエルの脅威アクターは見つけるのがはるかに難しいです。しかし、これまでのところ、最も破壊的な攻撃を成功させたのはイスラエル寄りのアクターです。火曜日の現地時間正午頃、イランのBank Sepahに属するウェブサイトとATMがダウンしました。米国は以前、Bank Sepahをイランの核兵器プログラムに関連付けていました。 Predatory Sparrow（別名Gonjeshke Darande）が火曜日の攻撃の責任を主張しました。

攻撃が他国に波及

関連する傾向を反映して、今週世界で最も頻繁にDDoS攻撃を受けている国にはエジプト、ヨルダン、サウジアラビアが含まれています。「ハクティビストたちはこれらの国を紛争において中立すぎると見なしています」とCybleの研究・インテリジェンス部門のシニアマネージャーであるDaksh Nakra氏は述べています。「ヨルダンはイスラエル以外で最も頻繁に標的にされています。攻撃の主張には一般的にハッシュタグやプロパガンダが伴い、それらが紛争に関連していることを示しています。」

Radwareの脅威インテリジェンスディレクターであるPascal Geenens氏も、イスラエルとその近隣国を単一のイデオロギーキャンペーンの一環として攻撃するグループを観察しています。「そして、米国がこの戦争に参加するかもしれないという噂がTelegram上でハクティビストの間で広まっている今、米国に対する影響についてもみんなが話しています」と彼は言います。「イスラエルを支援するために米国がこの紛争に関与するという話が増えるにつれて、米国に対する攻撃が増えるかもしれません。」

6月13日、IT-ISACとFood and Ag-ISACは、米国企業に対する攻撃の増加の可能性を警告する共同声明を発表しました。彼らは「今こそ、イラン系の脅威アクターとそのTTP（戦術、技術、手順）に精通する時です」と書いています。