Amazonの脅威インテリジェンスは、イランの脅威グループによる活動とその後のミサイル攻撃を関連付けており、IT脅威モデリングには物理的攻撃の可能性を含むシナリオを組み込むべきだと示唆しています。
Amazonの脅威インテリジェンスチームによると、イランと関係のある2つの脅威アクターによるサイバー関連活動が、その後の注目度の高いミサイル攻撃で重要な役割を果たしたとされており、これらの事例は運動攻撃を支援するためのサイバー作戦の利用が増加していることを示しています。
「サイバーを活用した運動目標の特定は、複数の敵対者間で今後ますます一般的になると考えています」とAmazon統合セキュリティのCISOであるCJ Mosesは2つの事例を記録したブログ記事で述べています。「国家レベルのアクターは、デジタル偵察と物理的攻撃を組み合わせることで得られる力の増幅効果に気づき始めています。この傾向は、サイバーと運動作戦の伝統的な境界が溶けつつある、戦争の根本的な進化を示しています。」
ハイブリッド戦争時代において新しい現象ではありませんが、Amazonが記録した事例は、紅海やイスラエルでのミサイル攻撃が、標的の偵察を目的としたサイバースパイ活動によって直接支援されていたことに新たな光を当てています。
Imperial Kittenが海上船舶追跡システムをハッキング
Amazonがサイバー作戦と関連付けることができた運動攻撃の1つは、2024年2月初旬にフーシ派が紅海の商業船舶にミサイルを発射し、この地域の海上輸送を妨害するキャンペーンの一環として行われました。
この攻撃は失敗に終わり、米中央軍は2月1日、フーシ派が発射した2発のミサイルが船舶に命中せず海に落下し、負傷者や損害は報告されなかったと発表しました。しかし、Amazonの脅威インテリジェンスデータによれば、Imperial Kittenとして知られるAPTグループが、攻撃の数日前にその船舶の自動識別システム(AIS)の位置データを検索していたことが判明しています。
少なくとも2017年から活動しているImperial Kitten(別名TortoiseshellまたはTA456)は、イランのイスラム革命防衛隊(IRGC)の一部と考えられている脅威アクターです。これまでに同グループは、造船や海運物流組織など海事業界のほか、防衛、技術、通信、エネルギーなどの業界も標的にしてきました。
Amazonによると、このグループは2021年12月にある船舶のAISプラットフォームを侵害し、2022年には追加の船舶システム、さらにはある船舶の船内CCTVカメラにも攻撃を行いました。
AISは、VHF無線を用いて船舶の識別、位置、速度、進路などの情報を陸上局や他の船舶と交換する自動追跡システムです。ハッカーがAISプラットフォームにアクセスできれば、他の船舶の情報も検索できるようになります。
フーシ派はイランの支援を受けており、イラン政府と関係のあるAPTが、フーシ派によるミサイル攻撃の数日前に特定の船舶のAISデータを検索していたことから、Amazonはこの関連性を「明白」だとしています。
「この事例は、サイバー作戦が敵対者に対して、海上インフラという世界の商業と軍事物流の重要な要素に対する標的型物理攻撃に必要な正確な情報を提供できることを示しています」とAmazonのMoses氏は述べています。
MuddyWaterがハッキングしたCCTVカメラを使いミサイル誘導を支援
Amazonはまた、サイバースパイ活動とミサイル攻撃に関与したイラン関連の別の事例についても、脅威インテリジェンスの裏付けとなる証拠を発見しました。
6月に米国がイランの核施設を攻撃した後、イランは報復としてイスラエルにミサイルの集中攻撃を行い、テルアビブやエルサレムなどの都市を標的にしました。イスラエルの元サイバーセキュリティ当局者は、イランの工作員が攻撃の効果を評価し精度を高めるため、民間の監視カメラへのアクセスを試みていると警告していました。
イスラエル国家サイバー局も同時期、CCTVシステムがイランのハッカーによる標的になっているケースが増えていることをBloombergに認めています。
Amazonのデータによると、MuddyWaterはイラン情報保安省(MOIS)のフロント企業とされるイラン企業と関係のある脅威グループで、エルサレムに対する大規模なイランのミサイル攻撃の数日前、同市のライブCCTV映像を含む侵害済みサーバーにアクセスしていました。
このCCTVサーバーへのアクセスは、MuddyWaterが5月にサイバー作戦用に構築したサーバーインフラを通じて行われており、グループとの直接的な関連が示されています。
軍事作戦支援のための情報収集目的でCCTVカメラを標的にするのは、イランに限ったことではありません。2024年5月、米国および複数のNATO加盟国の情報機関は共同勧告の中で、ロシア軍情報機関GRUが、ウクライナや隣接国の国境検問所、軍事施設、鉄道駅などの重要地点に設置されたカメラをハッキングし、支援物資のウクライナへの輸送状況を追跡していたと警告しました。
「サイバーセキュリティコミュニティにとって、この調査は警告であると同時に行動喚起でもあります」とAmazonのMoses氏は述べています。「防御側は、デジタルと物理の両領域にまたがる脅威に対応するため、戦略を適応させなければなりません。これまで脅威アクターに関心を持たれないと考えていた組織も、戦術的な情報収集の標的となる可能性があります。」
Amazonは、特に重要インフラ、海事システム、都市監視ネットワーク、その他運動作戦で標的選定に利用されうるデータソースの運用者は、自社のITシステムが侵害された場合に物理攻撃の支援に使われる可能性を考慮し、脅威モデリングを拡張すべきだと提案しています。同社は、運動的な軍事作戦を促進・強化することを目的としたサイバー作戦を「サイバー対応運動標的化(cyber-enabled kinetic targeting)」と呼んでいます。
