Amazonの脅威インテリジェンス専門家は、イランが物理的な攻撃の準備としてハッキングを活用した2つの事例を記録しており、同社はこれを「サイバーを活用した運動標的化」と呼んでいます。
インターネット大手のAmazonは、近年観測された2つのケーススタディに関する情報を共有しました。これらはイランに関連する脅威アクターが関与していました。
最初のケーススタディは、Imperial KittenおよびTortoiseshellとして知られる脅威グループが関与しています。この脅威アクターは、少なくとも2017年からイランのイスラム革命防衛隊(IRGC)の代理として活動していると考えられており、長期的な作戦や、軍事・防衛関連組織を標的にしてきたことで知られています。
Amazonは、顧客やパートナー、独自の脅威インテリジェンスシステムから得たデータを活用し、2年以上にわたる作戦のタイムラインを構築しました。この作戦はデジタルスパイ活動から物理攻撃へと進展していきました。
Amazonによると、Imperial Kittenは2021年12月に船舶の自動識別システム(AIS)プラットフォームを侵害し、重要な海運インフラへのアクセスを獲得しました。
2022年8月には、Imperial Kittenが追加の海上船舶プラットフォームをハッキングしているのが確認され、あるケースでは船舶のCCTVカメラにアクセスしてリアルタイムの映像情報を収集していました。
2024年1月、この脅威アクターは特定の船舶のAIS位置データを検索しました。その数日後、2024年2月1日にその船舶がイランの同盟勢力であるフーシ派によるミサイル攻撃の標的となりました。
「ミサイル攻撃は最終的には効果を発揮しませんでしたが、サイバー偵察と物理攻撃の相関関係は明白です」とAmazonは指摘しています。
Amazonが紹介した2つ目のケーススタディはより最近のもので、MuddyWaterという脅威グループが関与しています。このグループは米サイバー軍によってイラン情報保安省(MOIS)と関連付けられています。
ハッカーたちは2025年5月中旬、「サイバーネットワーク作戦」とAmazonが説明する目的でサーバーを準備しているのが観測されました。その1か月も経たない6月17日、脅威アクターは同じサーバーインフラを利用して、エルサレムからのライブCCTVストリームを提供する侵害済みサーバーにアクセスしました。
研究者たちは、これが6月23日にイランが実施したミサイル攻撃の準備として、都市内の潜在的標的のリアルタイム映像情報を収集するために使われたと考えています。
イスラエル当局は同日、イランがハッキングした防犯カメラを利用してミサイル攻撃を調整したと警告し、市民にインターネットに接続されたカメラの切断を呼びかけました。
Amazonは、現在の用語ではこれらの攻撃タイプを十分に特定できないと考え、「サイバーを活用した運動標的化」という用語を作り出しました。同社は、「サイバー・キネティック作戦」は物理的損害をもたらすサイバー攻撃を指し、「ハイブリッド戦争」は範囲が広すぎると指摘しています。
「Amazonの研究者は、サイバー作戦が運動的軍事作戦を可能にし、強化するために特別に設計されたキャンペーンには、より正確な用語として『サイバーを活用した運動標的化』を提案します」とAmazonは説明しています。
同社はさらに、「サイバーを活用した運動標的化は、今後ますます多くの敵対者によって一般的になると考えています。国家レベルのアクターは、デジタル偵察と物理攻撃を組み合わせることで得られる力の増幅効果を認識し始めています。この傾向は、サイバーと物理作戦の伝統的な境界が溶けつつある、戦争の根本的な進化を示しています」と述べています。
これらの調査結果は火曜日にブログ記事およびCYBERWARCONカンファレンスでの発表で説明されました。
Amazonは防御側に対し、「デジタルと物理の両領域にまたがる脅威に対応するために戦略を適応させる」よう促しました。
「これまで脅威アクターの関心外だと考えていた組織も、戦術的インテリジェンスのために標的となる可能性があります」と同社は述べています。「私たちは脅威モデルを拡張し、インテリジェンス共有を強化し、多様な敵対者によるサイバーを活用した運動標的化の現実を考慮した新たな防御戦略を開発しなければなりません。」
Amazonは最近、脅威インテリジェンス分野で非常に活発に活動しています。同社は15万件の悪意あるNPMパッケージが関与する金銭目的のキャンペーンについて警告を発しました。また、CiscoおよびCitrix製品の2つの脆弱性がゼロデイとして悪用されたことも明らかにしています。
