反政府デモがイラン全土を覆い、死者数が最大2万人に達する可能性がある中、イスラム共和国は二正面のサイバー戦争を戦っている。自国インフラへの前例のない攻撃を防御しつつ、西側の標的に対する攻勢作戦も維持しているのだ。今月初めの米軍によるベネズエラでの作戦と絡み合うこのサイバー紛争の激化は、物理的(キネティック)作戦とデジタル作戦が単一の戦域へと融合する、現代戦の進化を浮き彫りにしている。
元日のサイバー攻撃
2026年1月1日、イランの通信インフラは、当局が近年で最大級の分散型サービス妨害(DDoS)攻撃の一つと呼ぶ事態に直面した。イランの情報通信技術相サッタル・ハシェミによれば、この攻撃はピーク時に毎秒7億2,000万パケットに達し、世界中の12万5,000超の分散ソースから発信された。
攻撃は、協調したグローバル・ボットネットを用いてイランの通信サービス事業者を特に狙った。イラン当局は、国内では毎秒5億200万パケットを防御で軽減し、残りは国際的な連携を通じて対処したと主張している。タイミングは、イラン通貨が1米ドル=100万リアルまで暴落するという経済崩壊をめぐる大規模デモの開始と不自然なほど一致していた。
「この攻撃は、その規模と深刻さの点で、近時で最も重大なサイバー攻撃の一つであり、国に大きな課題を生み得た」とハシェミは述べたが、予防措置により脅威は無力化されたとも強調した。
高度さと規模は国家レベルの資源を示唆するが、帰属は公式には未確認のままである。しかし文脈は無視できない。ほんの数時間前、米サイバー軍は「オペレーション・アブソリュート・リゾルブ」の一環として、ベネズエラのインフラに壊滅的なサイバー攻撃を実施していた。
ベネズエラの先例:サイバーで可能になった政権交代
1月1日に米特殊部隊がベネズエラのニコラス・マドゥロ大統領を拘束したことは、サイバー戦ドクトリンにおける画期的な瞬間となった。米サイバー軍はカラカスの送電網を無力化し、防空レーダーを攪乱し、軍通信を妨害した。ダン・ケイン将軍は、これをキネティック部隊のために「道筋を作るために異なる効果を重ね合わせる」協調作戦だと説明した。
この作戦は、ベネズエラが長年にわたり蓄積してきたロシア・中国・イラン供給の防衛システムにおける重大な脆弱性を露呈させた。エル・リベルタドール空軍基地に配備されていたイラン製モハジェル6戦闘ドローン――イランの技術と技術者を用いてベネズエラで組み立てられたもの――は、統合された米国のサイバー/キネティック攻撃に対して効果を発揮できなかった。(ベネズエラ作戦の包括的分析については、当社の「オペレーション・アブソリュート・リゾルブ」詳細解説を参照。)
トランプ大統領がサイバー作戦を公に認めたことは、歴史的に秘密裏に行われてきたアプローチからの大きな転換を意味する。「軍が検討しており、我々も非常に強力な選択肢を検討している」とトランプは記者団に語り、国家運営の手段としてサイバー兵器を公然と用いる意思を示した。
この透明性には複数の目的がある。イランのような敵対者に能力を誇示し、サイバー戦の新たな規範を確立し、将来の紛争を抑止する可能性がある。しかし同時に、緊張がさらに高まった場合にテヘランが直面し得るものを、正確に明らかにしてしまう。
🚨 Breaking: A cyber attack took over all TV stations in Iran, and they are broadcasting content showing how a free Iran could look like, encourage people to rise and reclaim their country 👇 pic.twitter.com/xT54yzCo4M
— Dr. Eli David (@DrEliDavid) June 18, 2025
イランの防御姿勢:インターネット遮断とStarlink対抗策
ソーシャルメディアによって増幅される国内の不安に直面し、イラン当局は包括的なインターネット遮断を実施した。現在9日を超えており、悪名高い2019年の遮断よりも長い。NetBlocksは「情報の空白によりニュースは限られるが、その後の弾圧で数千人が殺害されたことを示す報告がある」と伝えている。
しかし、このデジタル包囲戦略は新たな課題に直面している。イーロン・マスクのStarlinkだ。2022年以降、密輸された数千台の端末が、検閲のない衛星接続を抗議者に提供し、従来のインフラ統制を迂回している。イランはGPSスプーフィングや衛星ジャミング技術で対応しているが、分散した衛星コンステレーションに対しては部分的にしか効果がない。
米国はまた、2月までイラン向けにStarlinkの無料サービスを認可した。これはマドゥロ拘束後にベネズエラへ提供された同様の支援にならうものだ。サイバーセキュリティ専門家は、イランの妨害行為がユーザー追跡を可能にし、抗議者をサイバー犯罪と国家による取り締まりの双方に晒し得ると警告している。
イラン人権(Iran Human Rights)代表のマフムード・アミリー=モガッダムは、Starlinkアクセスが「抗議に関する情報共有の要」だったと確認した一方で、遮断の地理的範囲と期間は、これまでのイランの検閲努力をすべて上回るとも述べた。
Massive Cyber Attack on Iran: What’s Really Happening?#CyberAttack #Iran #Israel #CyberWarfare #Geopolitics #DataSecurity #NationalSecurity #MiddleEastConflict #TechnologyInWar #DigitalEspionage pic.twitter.com/STlZHKRE0V
— CISO Marketplace (@CisoMarketplace) October 13, 2024
イランの攻勢サイバー・エコシステム:IRGCの指揮とハクティビスト代理勢力
国内圧力にもかかわらず、イランはイスラム革命防衛隊(IRGC)の部隊とハクティビスト代理勢力の協調ネットワークを通じて、高度な攻勢サイバー能力を維持している。このエコシステムは、もっともらしい否認可能性を保ちながら国家作戦を遂行するための意図的な戦略を体現している。(イランのハクティビスト代理ネットワークの分析については、「サイバー代理戦争:イスラエルとイランはいかにハクティビスト連合を通じて戦っているか」を参照。)
主要なイラン系APTグループ:
IRGC関連アクター:
- APT33:エネルギーおよび航空分野を標的にし、破壊的キャンペーンと関連
- APT34(OilRig):中東の政府機関および金融機関に注力
- APT35(Charming Kitten):高度なソーシャルエンジニアリングを通じて長期的な諜報活動を実施
- APT42:認証情報の収集とクラウド環境の侵害を専門とする。このグループは、機密情報を含むジョン・ボルトンのメールを侵害するなど注目度の高い作戦を実施しており、米国高官を狙う高度な標的化を示している。
- CyberAv3ngers:重要インフラを標的にし、特に米国の水道システムにあるイスラエル製PLCを狙う
これらのグループは戦術・技術・手順(TTP)を共有しており、国家支援APTと「独立」ハクティビストの境界を曖昧にする作戦上の連携を示す証拠がある。当社の世界的サイバー犯罪帝国のマッピングが明らかにしたように、イランはロシア、中国、北朝鮮と並び、国家支援サイバー作戦の77%を支配しており、孤立したアクターではなく協調した脅威エコシステムを形成している。
最近の攻撃パターン:
重要インフラ標的化:2023年11月から2024年1月にかけて、CyberAv3ngersは米国の複数の重要インフラ分野で少なくとも75台のUnitronics製PLCデバイスを侵害し、そのうち34台は上下水道システムにあった。攻撃はデフォルトパスワード、またはパスワード未設定のデバイスを悪用し、「あなたはハッキングされた。イスラエルを倒せ。『イスラエル製』の機器はすべてCyberAv3ngersの合法的標的だ」というメッセージを表示した。当社のイラン系アクターによる重要インフラ標的化の詳細分析は、これらのグループが総当たり攻撃やMFA悪用を用いて、医療、IT、政府分野にわたり永続的アクセスを維持する方法を記録している。
サイバーを用いたキネティック標的化:Amazon Web Servicesの研究者は、イランの戦術における懸念すべき進化を特定した。キネティック攻撃の前後に偵察のためサイバー攻撃を用いるというものだ。IRGC関連のImperial Kittenは、海上船舶の自動識別システム(AIS)やイスラエルのCCTVカメラを侵害し、標的の見定めとミサイル攻撃による被害評価を行った。当社のLemon Sandstormによる中東での長期キャンペーンの調査でも、永続的アクセスと将来攻撃に向けた事前配置という同様のパターンが明らかになった。
アルバニア・キャンペーン:2022年7月、IRGC支援のAPT42は、イラン反体制派MEKを受け入れたことへの報復として、ROADSWEEPランサムウェアを用いアルバニア政府に破壊的攻撃を実施した。攻撃は政府サイトとTIMS/MEMEXシステムを混乱させ、ハッカーは盗んだデータベース情報を定期的に公開した。イランの海上サイバー作戦も同様に高度化しており、当社のイラン海運帝国に対するデジタル包囲の報道は、攻撃者がイラン船団全体の衛星通信システムを侵害した手口を示している。
イランの攻勢能力低下を示す証拠
興味深いことに、防衛アナリストは、現在の危機のさなかに一部のイランのサイバー作戦が顕著に減少したと観測している。レオナルドUKのCEO、クライヴ・ヒギンズは、「今月、イラン当局が市民の抗議を暴力的に抑圧する中で、英国からのスコットランド独立を促進するオンライン・ボット活動が減少した」と報告した。
これは、イランのサイバー資源が対外的な影響工作ではなく、国内の監視と検閲に振り向けられていることを示唆する。2025年7月の英議会情報委員会報告書は、英国をイランのサイバー攻撃における優先標的と位置づけ、米国とサウジアラビアに次ぐ順位としていた。
「イランは攻勢活動を行う際のリスク許容度が高く、情報機関は非常に潤沢な資源を持つ」と委員長のケヴァン・ジョーンズは述べ、イランが「犯罪ネットワーク、武装勢力・テロ組織、民間サイバーアクターを含む代理グループを用い、敵対者を攻撃するための否認可能な手段を得ている」点を指摘した。
エスカレーションの計算:トランプの「地獄を見せる」とイランのレッドライン
リンジー・グラム上院議員が最近、トランプ大統領に対し、イランに「地獄を見せる」――「大規模な軍事・サイバー・心理攻撃の波」を含む――よう求めたことは、米国介入への勢いが増していることを反映している。グラムは特に、「イラン国民の虐殺と殺戮を可能にするインフラを破壊し、殺害の責任者である指導者を打倒する」攻撃を促した。
トランプは、イランと取引する国に25%の関税を課すと発表し、「抗議者の無意味な殺害が止まるまで」イラン当局者との会談をすべて取りやめた。1月2日に、抗議者が殺害されれば米国が「救出に来る」と警告した発言は、サイバーおよびキネティック作戦の具体的検討へと発展している。
政権は、次のような選択肢を評価していると報じられている:
- 攻勢サイバー攻撃:イランの軍事・民生インフラを標的
- 心理作戦:反体制メッセージを増幅
- 秘密工作:抗議運動を支援
- 限定的軍事攻撃:核施設またはIRGC資産を標的
イラン国会議長モハンマド・バゲル・ガリバフは、米国が攻撃すれば「地域内のすべての米軍の軍事拠点、基地、艦船は我々の正当な標的になる」と脅しで応じた。
サイバー戦パラダイムの転換
ベネズエラ作戦とイランの国内危機の収斂は、いくつかの重要な潮流を照らし出す:
1. サイバーとキネティックの統合が到来 ベネズエラ作戦は、サイバー効果と特殊作戦部隊のシームレスな統合を示した。これは理論上の能力ではなく、リアルタイムで実行される作戦ドクトリンである。
2. 抑止としての透明性 サイバー作戦を公に認めることで、米国は規範を作り替えている。この透明性は敵対者の抑止を狙うが、各国が自国の能力を示す圧力を感じることで、エスカレーションのリスクもある。
3. 衛星インターネットが検閲の計算を変える Starlinkは、権威主義体制が情報を統制する能力を根本から変える。衛星ベースの接続性を完全には抑え込めないイランの状況は、情報戦の地形における大きな変化を示す。
4. 二重用途のハクティビスト・エコシステム もっともらしい否認のためにハクティビスト代理勢力を維持するイランのモデルは、財務省制裁や情報開示によって露呈しつつある。CyberAv3ngersの件――当初は独立活動家として提示されたが、後にIRGC将校として制裁対象となった――は、この戦略の限界を示している。
5. 重要インフラは依然として脆弱 長年の警告にもかかわらず、イラン系アクターはデフォルトパスワードのような基本的攻撃で、米国の水道システム、送電網、産業制御システムの悪用に成功し続けている。防御側と攻撃側の洗練度のギャップは残ったままだ。当社が「イランのサイバー戦とトランプ陣営ハック、そしてイランのインフラへの反作用」の分析で記録したように、APT42による著名標的への認証情報収集作戦は、イランの攻勢能力と、防御姿勢の脆弱性――双方において――を示している。
CISOおよびセキュリティリーダーへの示唆
この進展する状況は、複数のリスク要因に対する即時の注意を要求する:
イラン系APTへの露出を評価:イスラエル系ベンダー、防衛請負業者、中東での事業に関係する組織はリスクが高まっている。ネットワーク分割、OT/IT分離、インターネットに面した産業システムのアクセス制御を見直すこと。
DDoSキャンペーンに備える:イラン関連のハクティビスト集団は、地政学的緊張時に協調したDDoS攻撃を行う。クラウドベースのDDoS防御、トラフィックフィルタリング、レート制限、ロードバランシング機能を実装すること。
The Israeli Air Force successfully struck Iran’s “Cyber Police” headquarters in Tehran, destroying the building.
The organization, known as FATA, is responsible for surveilling Iranian’s online activity and hunting down dissenters. pic.twitter.com/t3RdOxOaZ5
— OSINTtechnical (@Osinttechnical) June 21, 2025
スピアフィッシングの激化を監視:APT35とAPT42は高度なソーシャルエンジニアリングに長け、記者、学者、イベント主催者になりすますことが多い。タイポスクワッティングされたドメインや不審な招待を見抜くためのユーザートレーニングを強化すること。
産業制御システムを保護:CyberAv3ngersの攻撃は、デフォルト認証情報のUnitronics製PLCを悪用した。インターネット接続されたOTデバイスをすべて監査し、デフォルトパスワードを変更し、ネットワーク分割を実装し、PLCのインターネット接続自体を完全に撤去することも検討すること。
偽旗作戦を想定:ロシアは以前、イランのサイバー基盤を乗っ取り、既に侵害されたネットワークへ便乗侵入した。緊張が高まる局面では帰属判断が不確かになり得るため、脅威アクターの正体よりも侵害指標(IoC)に注目すること。
The regime in #Iran continues to suffer from #cybersecurity breaches, particularly following the exposure of troves of leaked documents belonging to its Presidential Organization’s servers. pic.twitter.com/B2sng6tYgE
— NCRI-FAC (@iran_policy) June 7, 2023
地政学イベント向けのインシデント対応計画を策定:抗議からサイバー戦、そして軍事介入の可能性へと急速にエスカレートしたことは、脅威環境がいかに速く変化するかを示している。机上演習には、複数の国家アクターが同時並行でキャンペーンを実施するシナリオを含めるべきだ。
今後の道筋
本分析が公表される2026年1月20日――トランプの2期目就任式当日――時点で、イランは前例のないサイバー包囲に直面している。米国の攻勢作戦の可能性に備えて防御しながら、自国のサイバー・キャンペーンも維持し、さらに数千人が死亡した国内危機のさなかにあるという状況は、高度なサイバー強国であっても限界があることを示している。
この紛争の次の段階は、サイバー戦が国家運営の手段として常態化するのか、それともこれらの能力を制約する新たな国際規範が生まれるのかを左右する可能性が高い。セキュリティ専門家にとって教訓は明白だ。サイバー領域はもはやキネティック戦争と切り離されたものではない――それは序章であり、本編であり、そして終結後の余波でもある。
組織はイランの攻撃だけでなく、国家によるサイバー作戦が加速し、より破壊的になり、従来の軍事作戦とますます統合されているという、より広い現実に備えなければならない。もはや問題は「サイバー戦が来るかどうか」ではない――防御側が、ベネズエラ、イラン、そしてその先でリアルタイムに書き換えられている新ドクトリンに追随できるかどうかだ。
Obama administration reportedly kept an Iranian cyberattack secret while they were trying to close the Iran nuclear deal pic.twitter.com/AqcB9sbRIV
— FOX & Friends (@foxandfriends) June 12, 2017
CISO Marketplaceの関連読み物:
イランのサイバー作戦&APTグループ:
- イラン系サイバーアクターが重要インフラ・ネットワークを標的化:拡大する脅威
- サイバー代理戦争:イスラエルとイランはいかにハクティビスト連合を通じて戦っているか
- イランのサイバー諜報:Lemon Sandstormによる中東重要インフラへの長期攻撃
- イランのサイバー戦:トランプ陣営ハックとイランのインフラへの反作用
イランの海事&地政学サイバー作戦:
米国のサイバー作戦&より広い文脈:
- オペレーション・アブソリュート・リゾルブ:マドゥロ拘束の背後にあるサイバー、OSINT、情報作戦の詳細分析
- 世界的サイバー犯罪帝国:地下経済、パートナーシップ、地政学的パワー構造のマッピング
- 世界的緊張がサイバー戦の脅威を高める中、各国はデジタル防衛を強化
セキュリティチーム向けの要点:
- 国内危機にもかかわらずイラン系APTは活動を継続し、米国の重要インフラに注力している
- 衛星インターネットは情報戦の力学を根本的に変える
- サイバー作戦はキネティックな軍事行動とシームレスに統合されるようになった
- 基本的なセキュリティ衛生(パスワード管理、ネットワーク分割)は多くの高度APT攻撃を無力化する
- 地政学的緊張下では帰属判断が不確かになり得るため、多層防御に注力する
- 協調DDoSキャンペーンとスピアフィッシングの激化に備える
- 産業制御システムのリスクが高まっているため、不要なインターネット接続を排除する
情報源および追加資料:
- CISA イラン脅威概要:https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran
- CSIS分析 – ハクティビズムを超えて:https://www.csis.org/blogs/strategic-technologies-blog/beyond-hacktivism-irans-coordinated-cyber-threat-landscape
- IRGC-CECアクターに対する財務省制裁:https://home.treasury.gov/news/press-releases/jy2292
- Unit 42 イラン脅威ランドスケープ:https://unit42.paloaltonetworks.com/iranian-cyberattacks-2025/
