停戦はサイバー攻撃を減速させるのか？歴史は否と示唆している

出典：Karen Hovsepyan via Alamy Stock Photo

米国とイランが今週、もろい停戦に達したことで、セキュリティ研究者や経営幹部は、戦争を巡って高まったサイバー戦争に相応する一時停止があるかどうか疑問に思っている。

一時的な休戦が発表された翌日、イランで最も高名な偽旗ハクティビスト作戦であるHandalaは、敵対行為の一時的な休止に参加すると申し出た。しかし、その集団の言葉を信じるとしても、歴史は停戦が運動戦争を巡るサイバー活動をめったに停止させたり減速させたりしないことを示唆している。実際のところ、より効果的な戦い方がない場合、サイバー攻撃は著しく急増する傾向がある。

「歴史的データと最近のインテリジェンス分析により、軍事停戦がめったに『デジタルな中断』と同等でないことが示されている」と、Flashpointの国家安全保障インテリジェンスチームディレクターのAustin Warnickは警告している。彼はダークリーディングに「サイバー作戦は定常状態を保つか、運動的敵対行為が一時停止されている間に非対称的な圧力弁として炎上するが」と述べている。

イランのHandalaサイバー活動停戦

4月8日、Handalaは通常の華やかな、ある意味では率直な通知をテレグラムチャネルに投稿した。「イランの最高指導部からの命令に従い」、米国に対するサイバー活動を延期したことを認めた。

これは重要である。というのは、Handalaは間違いなく戦争で最も広く報道された脅威アクターであったからである。ランサムウェアのようなStrykerへの攻撃（イランにとって戦争で最大のサイバー獲物）とFBI局長Kash Patelの個人メールアカウントの侵害（これまでで最も象徴的に重要なインシデント）の両方の責任を主張している。

しかし、Handalaはそのサイバー停戦を「サイバー戦争は軍事紛争で始まらず、軍事停戦で終わらない」と述べることで限定した。最終的には攻撃は再開され、その間、グループはイスラエルに対してすべての砲門を向け続けるだろう。

イスラエルを拠点とするCheck Point Researchの脅威インテリジェンスグループマネージャーのSergey Shykevichにとって、Handala、またはイランの高度な永続的脅威（APT）一般が攻撃を停止または減速させるかどうかを判断するのはまだ早い。約束はあるが、彼は「今後2週間の間のある時点で、彼らが米国に対する圧力を加える別の手段としてサイバー攻撃を再開することに驚かない」と述べている。

サイバー脅威アクターが地政学にどう対応するか

本物と偽物のハクティビスト作戦、および同様に大声を出している脅威アクターは、停戦取引にしがみつくことで何かを得るかもしれない。彼らは大物のテーブルに椅子を引くことによって正当性と地位を得ることを望むかもしれず、主要な地政学的イベントに参加することを望む。しかし、彼らの約束が実際に何か意味するかどうかは、紛争によって異なります。

イスラエルでの10月7日の虐殺の後、そしてその後のイスラエルのガザ侵攻の後、双方は2023年11月末に一時的な停戦に達した。その時、Handalaの最も近い相当物の1つであるCyber Toufan（同様に偽旗ハクティビスト作戦、同様にイランの「抵抗軸」の一部）は、戦争が再開されるまで作戦を一時停止していることを示唆した。Cyber Toufanが活動をまったく減速させたかどうかは不明である。というのは、2023年11月から12月の間に、それは100以上のイスラエル被害者を要求したからである。

多くの場合、停戦はサイバー攻撃を助長し、交戦当事者がこの代替手段に頼って敵を傷つけ、将来の交渉のための影響力を得る。1つのハマス系統の脅威アクターは、2021年のイスラエルとの停戦を、中東全域での新しいフィッシングキャンペーンを加速させるための口実として使用した。また、ウクライナとロシアが昨年黒海停戦に合意したとき、双方は単に主要なサイバー攻撃を実行するために休止を利用した。停戦が保護することになっていた同じ種類のエネルギーインフラに対するものを含む。

さらに遡ると、Nozomi NetworksのフィールドシーフォーであるMarkus Muellerは説明する。「ウクライナでの主要なサイバー攻撃は、少なくともロシア側では戦争がアクティブではなかった時期に行われた。ロシアがクリミアを併合した直後だった。彼らはまだ大きな推し進めを行っていなかった。何人かの人々が第2ウクライナ戦争と呼ぶもの。その合間の時期が、より大きな攻撃をたくさん見た時期である。」

停戦はサイバー戦を一時停止するのか、それとも炎上させるのか？

一般的に、FlashPointのWarnickは「脅威アクターは外交的な一時停止をテクニカリティとして扱い、その時間を使って二次的目標または同盟国に向かって転向して圧力を維持するために軍事合意に技術的に違反しない。現在の証拠はさらにこれをサポートしており、313 Teamおよび征服者電子軍のようなイラン系統のグループからの低レベルと迷惑レベルのサイバー活動は一時停止なしで続いている。」と述べている。

4月8日、313 Teamはオーストラリア政府の認証ポータルへの攻撃の責任を主張し、征服者電子軍はイスラエルの目標に対する分散型サービス拒否（DDoS）攻撃、およびフリーランスウェブサイトのUpworkの米国ベースの責任を主張した。

Muellerはイランの現在の状況に関してはWarnickの評価に同意している。「サイバー活動の変化が範囲と規模の両方で起こると思う」と彼は言う。「これまでこの紛争を巡って見たほとんどのアクティビティは地域化されている。私たちは、私たちが他の地域内の紛争と同様にウクライナで見てきたことに基づいて、それがもう少し広くなることを予見しており、北米でのより多くのアクティビティ、ヨーロッパでのより多くのアクティビティ、または紛争をサポートしていると見なされた国を見るだろう。」

ほとんどの停戦はサイバー攻撃を中止していませんが、反対の1つの皮肉な例があります。それは悪意のあるオンライン活動を実質的に減速させた一時的な平和取引です。2015年イランの核取引の交渉に向けて、アナリストはイスラエルがサイバー攻撃を容易にするかもしれない脆弱性について米国の重要なインフラストラクチャを探査していることを観察した。しかし、交渉期間中、悪意のあるサイバー活動は大量から0に行きました。当時ニューヨークタイムズによると、セキュリティ研究者は悪意のあるフィッシングメール、または重要なインフラストラクチャ探査の単一のインスタンスも見つけていないイラン。悪意のある活動は交渉の終了から数週間後に再開されましたが、よりゆっくりな速度で、交渉前のレベルに達しませんでしたドナルド・トランプが取引を破棄した。