SecurityScorecardの脅威分析チーム「STRIKE」は、2025年6月に発生したイランとイスラエルの軍事衝突「12日間戦争」におけるサイバー攻撃の実態を明らかにした調査レポートを公開した。
同レポートでは、イラン革命防衛隊(以下、IRGC)と関連するハッカー集団のサイバー攻撃活動の実態を明らかにしているという。
12日間戦争において、イランに関連するハッカーネットワークが多数のサイバー攻撃を展開していたことが判明しているとのことだ。STRIKEチームは、12日間の戦争で178以上のグループが発信した25万件のイランのプロキシからの通信を分析し、イランのハッカーやサポーター、同盟者がイランの目的を支援する形でサイバー攻撃を展開していた実態を解明したと述べている。
主な調査結果
同調査では、攻撃キャンペーンの仕組みおよび動機を考察しているとのこと。以下が主な活動内容だという。
- 偵察活動の実施
- Telegramを通じた人員募集
- サイバー組織との連携
- 敵対勢力に対する制裁・諜報活動に関する議論
- 改ざんやフィッシングを用いた威嚇攻撃
- イスラエルの同盟国を標的としたマルウェア作戦
- 独自スクリプトの利用と脆弱性スキャン
- データ窃取と情報漏洩の画策
- ゼロデイやその他脆弱性の喧伝や売買
また、IRGC関連グループ「Imperial Kitten(別名:Tortoiseshell, Cuboid Sandstorm, Yellow Liderc)」が軍事行動に合わせて戦術を変化させていたことも確認されているとのことだ。
12日間戦争で観測されたハッカーの活動は、一見すると散発的で統一性のないものに見えたようだが、分析の結果、数百に及ぶ脅威アクターの間に明確なパターンや連携の兆候が確認されているという。加えて、迅速かつ標的を絞った強いイデオロギーに基づく作戦が浮き彫りになり、多くのグループが高い機動力を発揮して緊密に連携していたことが明らかになっていると述べている。
特定された脅威アクターは、下記の3通りに分類されるとのことだ。
- IRGC(イラン革命防衛隊)に同調するが明確な任務を持たないハクティビスト
- IRGCと直接連携する集団
- 国家から支援を受ける攻撃者
これらの組織的なサポーターや地域のハクティビストは、重複する標的に協調的に攻撃を仕掛けていたという。しかし、規律や技術力の水準には差が見られたとのこことだ。
IRGCに触発された一部のグループは金融機関、政府機関、メディアを標的とし、国家と連携するグループはウェブ改ざんや業務妨害、データ窃取を展開していたという。また、ハクティビストや国家から支援を受けるグループの中には「協力者」への制裁を目的とした諜報や攻撃を実施し、敵対勢力を威嚇し、イスラエルの士気低下を狙うとともに、パレスチナ支援を掲げた「サイバー戦」を拡大していたという。
一部の脅威グループは、IRGCの任務と密接に連動してデータ窃取やSQLインジェクション、DDoS攻撃などを展開しており、さらにイデオロギー的情熱に駆られた集団も存在することで、攻撃の帰属特定を難しくし、防御側の対応を混乱させていたとのこと。この断片的なエコシステムの中でも、Fatimion Cyber Team、Cyber Fattah、Cyber Islamic Resistance、Tunisian Maskers Cyber Forceが特に注目され、防御の観点から重要な教訓を提供していたという。
戦闘の激化にともない、秘匿性の高い攻撃者も戦術を変更していたとのことだ。イランと関係の深いImperial Kittenは、戦闘開始直後に紛争をテーマにしたフィッシング攻撃を仕掛け、即座に作戦インフラを構築しているという。この攻撃キャンペーンにより、ソーシャルエンジニアリングとマルウェアを用い、脅威アクターが紛争発生後、迅速対応可能な計画立案と任務遂行サイクルを持つことが示されたとしている。
また、Telegramが脅威アクターの作戦手法として利用され、DDoSやウェブ改ざんといった基本的手法も依然として妨害効果を保持していることから、悪用されているという。加えて、攻撃者は紛争の混乱に乗じて攻撃のタイミングを調整し、感情操作を巧みに操り、攻撃キャンペーンを武器化していたとのことだ。
【関連記事】
・北朝鮮による「世界規模のデータ窃取攻撃」を調査──SecurityScorecard
・SecurityScorecardの社長が語る、最新のサプライチェーン攻撃に対抗するための備えとは?
・ショッピングシーズン迎える小売業界、重大な脆弱性の存在が明らかに──SecurityScorecard
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
