WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
イランのハッカーたちは、過去10年間で最も破壊的なデジタル破壊行為のいくつかを実行してきました。中東全域、そして時には米国にもサイバー攻撃を仕掛け、コンピューターネットワーク全体を破壊しました。しかし今、イランで最も活発なハッカーグループの一つが、標的を転換したようです。彼らは、標準的なITネットワークだけでなく、電力会社、製造業、石油精製所などで使用されている物理的な制御システムを標的にしています。
マイクロソフトのセキュリティ研究者ネッド・モラン氏は、木曜日にバージニア州アーリントンで開催されるサイバーウォーコンで、同社の脅威インテリジェンスグループによる新たな調査結果を発表する予定だ。この調査結果は、ホルミウム、リファインド・キトゥン、エルフィンといった別名でも知られるイランのハッカー集団APT33の活動の変化を示している。マイクロソフトは過去1年間、この集団が数万の組織のユーザーアカウントに共通のパスワードを数個試す、いわゆるパスワードスプレー攻撃を実行しているのを観察してきた。これは一般的に、粗雑で無差別なハッキング行為とみなされている。しかしマイクロソフトによると、過去2カ月間で、APT33はパスワードスプレー攻撃の対象を月間約2,000組織に大幅に絞り込んだ一方で、各組織を標的とするアカウント数は平均でほぼ10倍に増加しているという。
マイクロソフトは、ハッカーが侵入を試みたアカウント数に基づいてこれらの標的をランク付けしました。モラン氏によると、上位25社のうち約半数は、産業用制御システム機器の製造業者、サプライヤー、または保守業者でした。マイクロソフトによると、10月中旬以降、APT33がこれらの産業用機器およびソフトウェア企業数十社を標的にしていることを確認しています。
ハッカーたちの動機、そして実際に侵入した産業用制御システムは依然として不明です。モラン氏は、このグループは物理的な破壊力を持つサイバー攻撃を実行するための足掛かりを得ようとしているのではないかと推測しています。「彼らは制御システムの生産者やメーカーを狙っていますが、最終的な標的ではないと思います」とモラン氏は言います。「彼らは下流の顧客を見つけ出し、その仕組みや利用者を突き止めようとしています。これらの制御システムを利用する企業の重要インフラに何らかの打撃を与えようとしているのです。」
この変化は、特にAPT33のこれまでの経緯を考えると、憂慮すべき動きだ。モラン氏によると、マイクロソフトはAPT33が単なるスパイ活動や偵察活動ではなく、破壊的なサイバー攻撃を実行した直接的な証拠は確認していないものの、少なくとも同グループが攻撃の布石を敷いた事例を確認しているという。モラン氏によると、同グループの痕跡は複数の侵入事例に見られ、被害者は後に「Shamoon」と呼ばれるデータ消去マルウェアに感染したという。マカフィーは昨年、APT33(あるいはAPT33を装うグループと推測)が一連のデータ破壊攻撃でShamoonの新バージョンを展開していると警告した。脅威インテリジェンス企業のファイアアイは2017年以来、APT33が「Shapeshifter」と呼ばれる別の破壊的コードと関連していると警告している。
モラン氏は、APT33ハッカーが標的とした産業用制御システム(ICS)を扱う具体的な企業や製品名を明かさなかった。しかし、同グループがこれらの制御システムを標的としていることは、イランがサイバー攻撃において単にコンピューターを消去する以上のことをしようとしている可能性を示唆していると警告している。物理的なインフラへの影響も狙っているのかもしれない。こうした攻撃は、国家が支援するハッキングの歴史上まれだが、その影響は憂慮すべきものだ。例えば、2009年と2010年には、米国とイスラエルが共同で「スタックスネット」と呼ばれるコードを投入し、イランの核濃縮遠心分離機を破壊した。2016年12月には、ロシアが「インダストロイヤー」または「クラッシュオーバーライド」と呼ばれるマルウェアを使用して、ウクライナの首都キエフで一時的な停電を引き起こした。また、2017年には国籍不明のハッカーがサウジアラビアの石油精製所に「トリトン」または「トリシス」と呼ばれるマルウェアを仕掛け、安全システムを無効にすることを狙った。こうした攻撃の一部、特にトリトン攻撃は、標的の施設内の人員の安全を脅かす物理的な大混乱を引き起こす可能性があった。
イランがICS攻撃に関与したと公にされたことは一度もありません。しかし、マイクロソフトが確認した新たな標的攻撃は、イランがICS攻撃能力の開発に取り組んでいる可能性を示唆しています。「イランのこれまでの破壊的な攻撃手法を考えると、ICSを標的にしているのは当然のことです」とモラン氏は述べています。
しかし、セキュリティ企業クラウドストライクのインテリジェンス担当副社長アダム・マイヤーズ氏は、APT33の新たな標的を過度に解釈すべきではないと警告する。彼らはスパイ活動にも力を入れている可能性もある。「ICSを標的とすることは、破壊的あるいは混乱を招く攻撃を実行する手段となる可能性がある。あるいは、エネルギー企業はICS技術に依存しているため、多くのエネルギー企業に侵入する容易な手段となる可能性もある」とマイヤーズ氏は指摘する。「エネルギー企業はICSからのメールを開封したり、ソフトウェアをインストールしたりする可能性が高くなる」
サイバー戦争の脅威が将来に迫っている。それは、国境を飛び越え、戦線の何千マイルも離れた民間人に戦争の混乱をテレポートさせる可能性のある、紛争の新たな側面である。
こうした事態のエスカレーションは、イランと米国の関係が緊迫する中で起きている。6月、米国はイランがホルムズ海峡で2隻の石油タンカーに機雷を使用して穴を開け、さらに米国の無人機を撃墜したと非難した。その後9月には、イランが支援するフーシ派反政府勢力がサウジアラビアの石油施設を無人機で攻撃し、同国の石油生産量が一時的に半減した。
モラン氏は、イランによる6月の攻撃に対する報復として、米サイバー軍がイランの情報機関インフラを攻撃したという報道もあると指摘する。実際、マイクロソフトはAPT33によるパスワードスプレー攻撃が、1日あたり数千万回に達していたハッキング試行から6月20日の午後にはゼロにまで減少したことを確認しており、APT33のインフラが攻撃を受けた可能性を示唆している。しかし、モラン氏によれば、パスワードスプレー攻撃は約1週間後に通常のレベルに戻ったという。
モラン氏は、イランの破壊的なサイバー攻撃を、米国がイランが行ったと非難している物理的な破壊行為と比較している。どちらも地域の敵対国を不安定化させ、威嚇するものであり、ハッカーが単なるデジタル攻撃から物理的な攻撃へと発展すれば、前者はその威嚇効果をさらに高めるだろう。
「彼らは敵対者にメッセージを送り、行動を強制・変革させようとしている」とモラン氏は言う。「サウジアラビアの採掘施設へのドローン攻撃やタンカーの破壊を目にすると…サイバー空間でも同じことをしようとしていると直感する」
WIREDのその他の素晴らしい記事
- スター・ウォーズ:スカイウォーカーの夜明け
- 第二次世界大戦の飛行機の愚かなデザインがいかにしてMacintoshにつながったか
- ハッカーはレーザーを使ってAmazon Echoに「話しかける」ことができる
- 電気自動車と非合理性がマニュアル車を救うかもしれない
- 中国の広大な映画撮影セットはハリウッドを凌駕する
- 👁 より安全にデータを保護する方法と、AIに関する最新ニュース
- ✨ ロボット掃除機からお手頃価格のマットレス、スマートスピーカーまで、Gear チームのおすすめ商品で家庭生活を最適化しましょう。
