イランによるサイバー攻撃による反撃はあるのか

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「軍事攻撃後のサイバー空間への影響:シグナルとノイズ、そして今後の展望」を再編集したものです。

米国とイスラエルによるイランへの軍事攻撃、さらに攻撃の支援者と見なされた国へのイランによる報復攻撃を受け、サイバー報復への差し迫った懸念が生じています。お客様からは、「イランによる組織的なサイバー反撃はすでに始まっているのか、あるいはその可能性はあるのか」という単刀直入な質問が寄せられています。

本ブログ稿執筆時点では、軍事攻撃に直接結び付く大規模な組織的なイランのサイバー作戦を示す証拠は限られています。しかし、サイバー領域が静穏である、あるいは今後も静穏が続くという意味ではありません。

現在、軍事紛争の影で、緩く関連するハクティビズム、再利用された主張、改ざん、放送妨害、便乗型の侵入の試みといった地域的なサイバー活動が急増し、展開されていることが、FortiGuard Labsの観測で確認されています。

過去の紛争でも、攻撃が従来の物理的な戦場の外へと急速に拡大する傾向が確認されています。攻撃者は敵対勢力とのつながりが希薄な組織さえも標的にし、軍事システムだけでなく民間人 / 企業 / 国境を越えたネットワークも狙うため、世界的にリスクが増幅されます。

現時点で判明している状況

過去24~48時間に、以下の状況が確認されています。

・イランのアプリケーションやメディア資産(広く利用されているBadeSabaカレンダーアプリなど)の改ざんや侵害
・心理戦を目的とするメッセージを拡散する放送 / メディアへの侵入
・イラン国内のインターネット接続障害
・イスラエル、ヨルダン、アフガニスタンなどの周辺諸国の組織を標的としたサイバー攻撃を主張する投稿の増加(Telegram上)
・金融サービスや重要インフラを標的とする可能性を示唆する情報活動の増加

こうした事象の大半は、心理戦ハクティビストの意思表示地政学的な混乱を利用した便乗型の悪用という3つのカテゴリに分類されます。

現時点で、攻撃に直接関連する破壊的なイランのワイパーによる攻撃活動やインフラへの大規模な報復的サイバー攻撃の証拠は確認されていません。しかし、状況は変化する可能性があります。歴史的に見て、地政学的事象に対するイランのサイバー反撃は必ずしも即時的ではありませんが、いざ発生した場合には破壊的な被害をもたらす可能性があります。

これまでも、緊張が激化した局面において、イランに関連する攻撃実行者には忍耐強さが見られました。攻撃のためのアクセス権の確保は事前に行われていることが多く、引き金となった事象から数日~数週間後、世間の関心が他へ移り、防御態勢が緩んだタイミングで攻撃が発動される可能性があります。即時報復がないことをリスク低下と解釈した組織は、後から活動が顕在化した際に準備不足に陥る可能性があります。

より差し迫った動向:混乱に乗じた悪用

より差し迫って注視すべきパターンが一つあります。地政学的緊張の高まりは混乱した環境を生み出し、紛争に直接関与しない脅威アクターを含む主体が、自らの利益のために状況を悪用することが頻繁にあります。最新ニュースを題材にしたフィッシング攻撃活動の展開、マルウェアを仕込んだ偽の勧告の配布、偽装されたセキュリティ更新プログラムの配布など、進行中の混乱に紛れて実行されます。

過去24時間にTelegramで飛び交っている複数の主張は、歴史的にイラン政府の明確な統制外で活動してきた親ロシア派や地域のハクティビスト集団と緩く関連していると思われます。ダークネット上では、ヨルダン、イスラエル、アフガニスタンの政府機関に対するサイバー攻撃の主張が見られますが、多くは技術的な検証が不十分です。

紛争環境は悪意のある活動の隠れ蓑となります。攻撃者の特定がより難しくなり、信頼できる指標と再利用された主張の区別により多くの労力を要し、偽旗作戦を容易に実行しやすくなります。その結果、組織化された戦略的報復がまだ実行されていない場合でも、防御側の運用リスクが高まります

注視すべき手法

過去に報告されたイランの攻撃活動や広範な地域の脅威行動を踏まえると、これまでに効果が実証されている以下のような手法に対して備える必要があります。

・政府機関やエネルギー部門を標的としたワイパーマルウェア
・金融機関に対する分散型サービス拒否攻撃
・紛争関連の更新を装った認証情報収集
・偽装されたモバイルアプリ更新や偽のソフトウェアインストーラー
・メディア拡散を目的としたWebサイトの改ざん

BadeSabaカレンダーアプリの侵害事例は重要な点を示しています。プッシュ通知の大規模な悪用はバックエンドへのアクセスを意味します。この種のアクセスは通常、一日で達成されるものではありません。これは、フォーティネットが2026年のサイバー脅威予測で警告したように、事前の侵害や準備段階の足場固めが行われていたことを示唆しています。攻撃者を明確に特定できない場合でも、この手法は、早期にアクセス権を獲得し、実行の最適なタイミングを待つという現代の手法を反映しています。

早期警戒の兆候が見られない理由

この紛争は、従来の金銭目的のサイバー攻撃活動とは様相が異なります。軍事行動が関与する場合には、活動の調整があるとしても、それが公開チャネルで行われる可能性は低くなります。代わりに、計画活動が制限された通信や隠密な通信に移行しており、実行のはるか前から進行している可能性があります。防御側は、リスクレベルの確認として公開フォーラムでの目に見える準備活動の兆候に依存すべきではありません。

公開された計画の兆候がないことは準備の欠如を意味するものではない点を認識する必要があります。

組織が今すぐ取るべき対策

過去の経験は、将来のサイバー報復への備えを導く助けとなります。後になって広範な報復が発生した場合、過去に観測されたTTP(戦術、手法、手順)に基づくと、新規のゼロデイ攻撃ではなく既知の手法に依存する可能性が高いと考えられます。多くの地政学的なサイバー攻撃活動は、パッチ適用の遅れ、認証情報の再利用、多要素認証(MFA)の欠如、露出したサービスの存在、脆弱なアクセス制御といった原因で成功します。こうした要因は、多くの人々にとって遠く離れた紛争に見えるという事実と相まって、悪意あるサイバー活動として組織のサイバー境界に迅速に到達し得ることを意味します。しかし、組織を保護するためには、以下のような重要な対策を講じるべきです。

地政学的な状況認識:誰が誰を標的にし、どのような手段を用い、なぜ攻撃しているのかを理解します。ISAC(Information Sharing and Analysis Center)を通じて、あるいはFortiRecon ACI(アドバーサリーセントリックインテリジェンス)のダークウェブ情報サービスのサブスクリプションを利用することで、最新の動向を把握し続けることができます。

サイバーセキュリティトレーニングへの優先的な取り組み:適切なトレーニングによって、従業員は組織をより効果的に保護できるようになり、サイバー脅威に対する強固な第一防衛線としての役割を担います。フォーティネットのNSEトレーニング(無償で利用可能)など、低コストまたは無償のトレーニングでサイバー意識の高い人材を育成できます。実戦的なフィッシングシミュレーションを組み合わせ、組織の準備態勢を評価 / 強化することも可能です。

VPN、リモートアクセス、SaaSアプリケーションでのMFAの有効化:ユーザー名やパスワードが意図的 / 偶発的に侵害された場合でも、生体認証データやトークンなどの第二要素が必須であるため、攻撃者はアクセス権を取得できず、ユーザーの総合的なセキュリティは維持されます。

自動パッチ適用と更新の設定:タイムリーなパッチ適用が長年推奨されているにもかかわらず、ベストプラクティスに基づくサイバーセキュリティ対策プロセスの欠如は、ネットワークセキュリティと完全性に対する主要な脅威の一つであり続けています。脆弱性への定期的なパッチ適用は、サイバー犯罪者による悪用を防ぐための基本的な対策です。すべてのソフトウェア、オペレーティングシステム、アプリケーションを最新のセキュリティパッチで更新し続けることが不可欠です。更新を効率化し、タイムリーな実施を確保するために、パッチ管理プロセスの確立から始めます。AIやその他のシステムを活用して、煩雑なパッチ適用タスクを自動化する方法を検討します。

多くのレガシーシステムは、重要なプロセスを継続的に稼働させる必要があるため、パッチを適用できませんが、標的型IPSシグネチャなどの補完的な保護策を用いて脆弱性から保護し、悪用を防ぐことが可能です。たとえば、フォーティネットのOTセキュリティプラットフォームでは、統合管理システムを活用した仮想パッチ適用を実現できます。

強固なパスワードセキュリティの適用:パスワード管理ツールとMFAを活用し、パスワードが基本的指針を満たすように確保します。こうしたセキュリティ強化策により、侵害されたパスワードがシステム侵害につながるのを防ぎます。窃取された認証情報を販売するダークウェブ上のオンラインフォーラムを監視するサービスも、パスワードが悪用される前に更新するための早期警告として役立ちます。さらに、カメラなどのIoTデバイスにパッチを適用し、デフォルトパスワードを変更します。

攻撃対象領域の把握と縮小:攻撃対象領域を縮小する第一歩は、組織の資産の把握です。内部環境にあるアプリケーション、ハードウェア、IoTデバイスを特定するシステム監査を実施し、組織外部の資産も忘れずに調査します。システム監査の支援、資産の特定、アクセス権限の把握には、外部からの視点を取り入れることが常に有益です。例えば、CTEM(継続的脅威エクスポージャ管理)サービスは、組織が直面するリスクをネットワーク外部の視点から提供します。

多層型防御の構築:いずれ侵害が発生すると想定し、あらゆるレベルでセキュリティのレジリエンスと迅速な検知能力を構築します。

・ビジネスのレジリエンスを維持しつつネットワークの迅速な復旧を支援するため、ネットワークをセグメント化し、侵害の影響範囲を限定します。
・脅威アクターは、何ヵ月もネットワーク内で検知されずに潜伏することが珍しくありません。FortiNDRのネットワーク検知とレスポンス、FortiDeceptorが提供するディセプション手法、FortiAnalyzerの充実したアナリティクスにより、脅威の検知と修復を迅速化 / 簡素化できます。こうした機能や類似のソリューションにより、検知までの平均時間を数日から数分に短縮可能です。
・すべての活動を一元化されたSIEMソリューションに記録し、自動検知能力を構築します。

データのバックアップ:データの完全性とセキュリティを確保するため、堅牢なデータバックアップ / 復旧戦略を導入します。重要なデータを定期的にバックアップし、バックアップが安全で隔離されたネットワーク外の環境に保管されていることを確認します。ランサムウェア攻撃やデータ損失が発生した場合に組織が迅速に重要な情報を復旧できるよう、データの復旧テストを実施することも同様に重要です。

インシデントレスポンス計画の策定とテスト:サイバーセキュリティインシデント発生時の手順を明記した包括的なインシデントレスポンス計画と関連プレイブックを策定します。しかし、作成しただけで放置されている計画にはほとんど価値がありません。計画の有効性を確保するため、定期的なテストと更新も必要です。これには、主要なステークホルダーがさまざまなサイバー脅威への対応を実践し、洗練させるための机上演習などのシミュレーション訓練も含まれます。

信頼とパートナーシップの構築:CISOとITチームは、サイバーセキュリティが共有責任であり、単独の組織ではすべてを解決できないことを認識すべきです。強固なセキュリティ態勢の最も重要な要素の一つは、グローバルなパートナーシップ構築と脅威インテリジェンスの積極的な共有です。信頼できるベンダーとの連携や、業界固有のISACへの参加も、こうした取り組みに含まれます。

インシデントの迅速な報告:タイムリーな報告は不可欠です。組織はサイバーインシデント発生時に、直ちに指定のCERT(Computer Emergency Response Team)と地域の法執行機関に通知すべきです。米国では、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)や連邦捜査局(FBI)などの連邦機関もこれに含まれます。

結論

フォーティネットの観測では、最近の攻撃に直接関連する大規模なイランのサイバー報復は、現時点で確認されていません。しかし、FortiGuard Labsは地域的なサイバー活動の増加と、便乗型攻撃の顕著な増加を確認しています。このような紛争では、第一波はしばしば撹乱に過ぎません。第二波が来れば、より静かで、より組織化され、より標的を絞ったものとなる可能性があるため、万が一に備えておくことが極めて重要です。

この初期の猶予期間を活用し、サイバーセキュリティ対策の強化、強力な認証とMFAの徹底、露出の低減に取り組む組織は、事態が今後どのように発展しても揺るがない、強固な防御態勢を構築できるはずです。FortiGuard Labsは今後も動向を監視し、情報が収集 / 検証され次第、更新情報を提供していきます。

注:中東情勢は流動的です。新たな情報の収集 / 検証に伴い、報告内容、攻撃者の特定、活動の詳細が急速に変化する可能性があります。FortiGuard Labsは引き続き動向を監視し、FortiGuard Labs Threat Actor Encyclopediaを通じて、イランを拠点とする脅威アクターの活動状況も含め、事態の推移に合わせて最新情報を提供していきます。
 

■関連サイト

Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります