TokyoBlackHatNews

darkreading.com 5分で読了

イラン、サイバー領域を活用して実体攻撃を支援

コードで作成されたイランの国旗

出典: Skorzewiak via Shutterstock

イランの高度持続的脅威(APT)グループは、現実世界での攻撃前に標的を調査して作戦を向上させ、実体攻撃後に被害を評価するためにサイバー攻撃を利用してきたと、サイバー紛争の専門家は述べており、イランはサイバー攻撃と軍事作戦を融合させる最新の国家となっている。

11月19日の分析で、アマゾンは自社の広大なクラウドネットワークのデータを活用し、サイバーイベントと軍事作戦の関連性を明らかにした。イランが現実世界の標的を偵察するためにサイバー攻撃を用いた2つの事例を強調している。ミサイル攻撃前に船舶システムをハッキングしたケースと、エルサレムへのミサイル攻撃の前後にイスラエルのCCTVカメラを侵害したケースだ。脅威アクターはVPNネットワーク、専用サーバーインフラ、侵害された企業システムを利用して攻撃インフラを構築した。

この戦略を「国家アクターが戦争に取り組む方法の根本的な転換」と呼び、アマゾンの研究者はこの手法を「サイバー支援型実体標的化」と名付けた。

「従来のサイバーセキュリティフレームワークは、デジタルと物理的脅威を別個の領域として扱うことが多いが、アマゾンの研究によればこの分離はますます人工的なものとなっている」と研究者は分析で述べている。「複数の国家脅威グループが、サイバー偵察が直接的に実体標的化を可能にする新たな運用モデルを開拓している。」

アマゾンだけがこれらの攻撃を警告しているわけではなく、イランはこれらを使用していることが知られている唯一の国ではない

ほとんどのイラン系グループは、イラン軍に「現地」の情報を提供するためにデバイスの侵害を試みている可能性が高いと、サイバーセキュリティ企業Check Point Softwareの脅威インテリジェンスグループマネージャー、Sergey Shykevich氏は述べている。過去6月の12日間の戦争中、イスラエルのIPカメラの脆弱性悪用は15倍に急増したという。

「そのほとんどが特定のイラン系グループに関連していたことは分かっている」とShykevich氏は述べている。「イスラエルのカメラを標的とする攻撃が急増したのを確かに目撃した。」

パズルのピースを組み合わせる

他国も同様の戦術を用いている可能性があるが、アマゾンは自社ネットワークおよび顧客ネットワークに対する深い可視性により、イランの活動を把握できた。アマゾンの脅威インテリジェンス研究者は、ハニーポットシステムからのテレメトリを利用して、疑わしいパターンや脅威アクターのインフラ、指揮統制ネットワークのトポロジーを把握した。オプトインした顧客データや業界パートナーからのインテリジェンス共有も、パズルの残りを組み立てるための追加情報となった。

あるケースでは、研究者はイランのイスラム革命防衛隊(IRGC)と関連するグループ「Imperial Kitten」が、2021年12月からさまざまな船舶の自動識別システム(AIS)プラットフォームを侵害したことを検知した。場合によっては、攻撃者は船舶内のCCTVカメラへのアクセスも得ていた。活動は継続し、2024年1月には攻撃者は特定の船舶に焦点を当てた。5日後、フーシ派がその船舶をミサイル攻撃で標的にしたが、「最終的には効果がなかった」とアマゾンの研究者は分析で述べている

「このケースは、サイバー作戦が敵対者に海上インフラというグローバルな商業・軍事物流の重要な構成要素に対する標的型物理攻撃を実施するために必要な精密な情報をどのように提供できるかを示している」と脅威研究者は述べている。

2つ目の事例では、研究者はイラン情報保安省(MOIS)と関連するグループ「MuddyWater」が、エルサレムの侵害されたCCTVサーバーからのライブ映像を利用し、都市への大規模ミサイル攻撃の標的化や被害評価に役立てようとした試みを追跡した。

アマゾンは、これらのサイバー支援型実体標的化を、ハイブリッド戦争のような他の複合型軍事作戦と区別している。ハイブリッド戦争はあまりにも広範な用語であり、サイバー実体作戦は通常、現実世界の被害をもたらすサイバー攻撃を指すと、同社の研究者は述べている。

複合戦争

他国もサイバー支援型標的化を利用しているが、イランほど、あるいは今後イランほど活用することはないだろう。ロシアのウクライナ侵攻では、「侵攻前後で標的化に統計的に有意な差はなかった」と、2023年7月に国際戦略研究センター(CSIS)が発表したロシア・ウクライナ戦争に関する論文は述べている。

「サイバー作戦の有用性は、大規模な戦闘作戦中の直接的な適用よりも、状況設定や情報収集にある」と同論文は述べている。「サイバー支援型標的化は戦闘を支援するが、データは大規模なサイバーキャンペーンが戦時中に劇的に変化しないことを示している。」

しかし、イランは国境外で行動する意欲のある代理勢力が減少し、ますます孤立を深めていると、サイバーセキュリティ企業ESETのサイバー脅威アナリスト、Alexis Rapin氏は述べている。イスラエルによるレバノンのヒズボラへの攻撃はイランの同盟勢力を弱体化させ、同国はシリアからも部隊を撤退させざるを得なかった。イランが代理勢力のネットワークを強化し続ける中、サイバー偵察やスパイ活動は遠隔からの行動を可能にすると彼は述べている。

「サイバーは、現地での可視性の喪失や、例えば人的[インテリジェンス]ソースの喪失を補うための代替手段となり得る」と彼は述べている。「サイバースパイ活動の付加価値の一つは、状況をほぼリアルタイムで監視できることだ。」

これらやその他の利点を求めて、イランはサイバーで何が達成できるかを引き続き模索し続けるだろうとRapin氏は述べている。

翻訳元: https://www.darkreading.com/threat-intelligence/iran-exploits-cyber-domain-kinetic-strikes

ソース: darkreading.com
#2025年サイバー攻撃 #Amazon Bedrock #APTグループ #イラン #キネティック攻撃 #サイバー戦争 #ハイブリッド戦争 #中東情勢 #監視カメラハッキング #軍事作戦

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開