米国のサイバー機関、FBI、NSAは本日、イラン系ハッカーによる米国の重要インフラを標的としたサイバー攻撃の可能性について緊急警告を発しました。
CISAは、現在進行中のキャンペーンの兆候はないとしつつも、中東情勢の不安定化や過去にイランと関連付けられたサイバー攻撃を踏まえ、重要インフラ組織や他の潜在的な標的に対して防御態勢の監視を呼びかけています。
共同ファクトシートでは、サイバー機関が、イスラエルの防衛や研究と関係のある防衛産業基盤(DIB)企業が標的となるリスクが高まっていると警告しています。エネルギー、水、医療などの重要インフラ分野の他の組織も潜在的な標的と見なされています。
この勧告では、イランの脅威アクターがパッチ未適用の脆弱性を悪用したり、デフォルトのパスワードを利用してシステムへの侵入を図ることが知られていると警告しています。これは2023年11月、IRGC(イラン革命防衛隊)系の脅威アクターが、インターネット上に公開されていたUnitronics製プログラマブルロジックコントローラー(PLC)をハッキングし、ペンシルベニア州の水施設に侵入した際にも見られました。
イラン系ハッカーは、ハクティビストとして活動したり、分散型サービス妨害(DDoS)攻撃やウェブサイトの改ざんを行うこともあります。これらの攻撃はしばしば政治的なメッセージとともに実施され、攻撃者はXやTelegramで活動を宣伝しています。
イランの脅威アクターは、ランサムウェアを利用したり、ロシアのランサムウェア集団と提携して活動することも観測されています。NoEscape、Ransomhouse、ALPHV(BlackCatとも呼ばれる)などが該当します。これらの攻撃の多くはイスラエル企業を標的とし、デバイスの暗号化や盗まれたデータの漏洩が行われました。
場合によっては、攻撃者がデータワイパーを使用し、ランサムウェアの代わりに組織に破壊的な攻撃を仕掛けることもありました。
攻撃の緩和策
CISA、国防総省(DoD)、FBI、NSAは、組織に対し以下のベストプラクティスを採用してこれらの脅威から身を守るよう呼びかけています:
- OTおよびICSシステムをインターネットから隔離し、リモートアクセスを制限する。
- すべてのオンラインアカウントやシステムで強力かつユニークなパスワードを使用し、デフォルトのアカウントパスワードはすべて変更する。
- 重要なシステムや認証プラットフォームには多要素認証(MFA)を有効にする。
- 既知の脆弱性を修正するため、特にインターネットに接続されたシステムにはすべてのソフトウェアアップデートを適用する。
- ネットワークやサーバーで異常な活動がないか監視する。
- インシデント対応計画を策定・テストし、すべてのバックアップや復旧計画が機能していることを確認する。
詳細については、CISAのイラン脅威概要やFBIのイラン脅威ウェブページをご覧ください。
ITチームが手動パッチ管理をやめる理由
かつてパッチ適用は複雑なスクリプト、長時間作業、そして終わりのない緊急対応を意味していました。今は違います。
この新しいガイドでは、Tinesが現代のIT組織が自動化によってどのようにレベルアップしているかを解説します。パッチ適用を迅速化し、オーバーヘッドを削減し、戦略的な業務に集中できます――複雑なスクリプトは不要です。