米国のサイバーセキュリティおよび情報機関は、イラン政府が支援または関与する脅威アクターによるサイバー攻撃の可能性について、共同勧告を発表しました。
「過去数か月間、ハクティビストやイラン政府関係者による活動が増加しており、最近の出来事を受けて今後さらに激化することが予想されます」と各機関は述べています。
「これらのサイバーアクターは、既知の共通脆弱性やエクスポージャー(CVE)が存在する未修正または古いソフトウェアの使用、あるいはインターネット接続されたアカウントやデバイスでのデフォルトまたは一般的なパスワードの使用に基づき、機会を狙って標的を攻撃することがよくあります。」
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国防総省サイバー犯罪センター(DC3)、国家安全保障局(NSA)は、現時点でイランに起因する悪意あるサイバー活動の組織的なキャンペーンが米国内で確認されていないと指摘しています。
「警戒の強化」の必要性を強調しつつ、各機関は特にイスラエルの研究機関や防衛企業と関係のある防衛産業基盤(DIB)企業が高いリスクにさらされていると指摘しました。また、米国およびイスラエルの組織も、分散型サービス拒否(DDoS)攻撃やランサムウェアキャンペーンの標的となる可能性があると付け加えています。
攻撃者はしばしばShodanのような偵察ツールを使い、特に産業用制御システム(ICS)環境において、インターネットに公開された脆弱なデバイスを探します。一度侵入すると、弱いセグメンテーションや誤設定されたファイアウォールを悪用してネットワーク内を横断します。イランのグループは、リモートアクセスツール(RAT)やキーロガー、さらにはPsExecやMimikatzのような正規の管理者用ユーティリティを使って権限を昇格させ、基本的なエンドポイント防御を回避してきた実績があります。
過去のキャンペーンに基づくと、イランの脅威アクターによる攻撃は、自動パスワード推測やパスワードハッシュのクラック、メーカーのデフォルトパスワードなどの手法を利用して、インターネットに公開されたデバイスへのアクセスを得ています。また、システムエンジニアリングや診断ツールを用いて運用技術(OT)ネットワークへの侵入も確認されています。
この動きは、国土安全保障省(DHS)が通達を発表し、米国内の組織に対して、イランとイスラエル間の地政学的緊張が続く中、親イラン派ハクティビストによる「低レベルのサイバー攻撃」の可能性に警戒するよう促した数日後に起こりました。
先週、Check Pointは、イランの国家支援型ハッキンググループAPT35が、イスラエルのジャーナリストや著名なサイバーセキュリティ専門家、コンピュータサイエンス教授を標的に、偽のGmailログインページやGoogle Meet招待状を使ってGoogleアカウントの認証情報を奪取するスピアフィッシングキャンペーンを行っていたことを明らかにしました。
対策として、組織は以下の手順を実施することが推奨されています。
- OTおよびICS資産をパブリックインターネットから切り離す
- デバイスやアカウントに強力でユニークなパスワードを設定し、弱いまたはデフォルトのパスワードを変更、多要素認証(MFA)を徹底する
- OTネットワークへ他のネットワークからアクセスする際には、フィッシング耐性のあるMFAを実装する
- 既知のセキュリティ脆弱性から保護するため、システムに最新のソフトウェアパッチを適用する
- OTネットワークへのリモートアクセスについてユーザーアクセスログを監視する
- 不正な変更、視認性の喪失、制御の喪失を防ぐOTプロセスを確立する
- 復旧を容易にするため、システムとデータの完全なバックアップを採用する
どこから始めればよいか迷う組織は、まず自社の外部攻撃面を見直すことが実践的なアプローチです。どのシステムが公開されているか、どのポートが開いているか、古いサービスが稼働していないかを確認しましょう。CISAのCyber HygieneプログラムやNmapなどのオープンソーススキャナーを活用すれば、攻撃者より先にリスクを特定できます。また、MITRE ATT&CKフレームワークに沿って防御策を整えることで、脅威アクターが実際に使う戦術に基づき優先順位を付けやすくなります。
「停戦が宣言され、恒久的な解決に向けた交渉が続いているにもかかわらず、イラン関係のサイバーアクターやハクティビストグループが悪意あるサイバー活動を行う可能性は依然としてあります」と各機関は述べています。
翻訳元: https://thehackernews.com/2025/06/us-agencies-warn-of-rising-iranian.html