2022年6月27日午前3時約8分後、ペルシャ湾に面したイラン西海岸近くのホゼスタン製鉄所内で、赤々と燃える溶融金属の入った容器の上に巨大な蓋が下ろされた。工場内の監視カメラの映像によると、この巨大な容器は近くに立っていた灰色の制服とヘルメットを着用した2人の作業員の何倍もの高さがあり、おそらく華氏数千度に加熱された100トンを優に超える溶融鋼を運ぶのに十分な大きさだった。
動画では、2人の作業員が画面外に歩き出す。クリップは10分後にジャンプカットされ、突然、巨大な取鍋が動き出し、カメラに向かってゆっくりと揺れ始める。ほんの一瞬後、燃えさしが四方八方に飛び散り、工場内に炎と煙が充満し、白熱した溶鋼がタンクの底から工場の床に溢れ出る様子が映し出される。
動画の下部には、サイバー攻撃による大混乱の責任を主張し、メッセージングサービスTelegramのチャンネルに動画クリップを投稿したハッカー集団Predatory Sparrowによる一種の免責事項が書かれている。「この動画でご覧いただけるように、このサイバー攻撃は罪のない個人を保護するために慎重に実行されました」と書かれている。
実際、映像をよく見ると、正反対のことが分かります。製鉄所の大惨事が始まってから8秒後、2人の作業員が取鍋組立部の下から燃えさしの火の中を駆け出す様子が映っています。炎上する溶融金属の奔流からわずか数フィートの地点です。「もし取鍋の出口にもっと近かったら、焼け焦げていたでしょう」と、この攻撃を分析した産業向けサイバーセキュリティ企業SCADAfenceの最高技術責任者、ポール・スミスは言います。「1,300℃の溶けた鋼鉄に当たることを想像してみてください。即死です。」
ハッカー集団Predatory Sparrowが投稿した動画のクリップ。イランのKhouzestan製鉄所へのサイバー攻撃の影響を示している。動画本文では「無実の個人」を保護するよう配慮したと主張しているものの、ハッカーが引き起こした溶融金属の流出とそれに伴う火災から間一髪逃れた2人の製鉄労働者(赤枠で囲まれた部分)の姿が映っている。
Predatory Sparrow(テレグラム経由)フーゼスタン製鉄所への破壊工作は、物理的な破壊をもたらしたサイバー攻撃の歴史上、数少ない事例の一つに過ぎない。しかし、プレダトリー・スパロウにとっては、これは長年にわたるデジタル侵入活動の一部に過ぎず、その中には、記録に残る最も攻撃的なハッキング事件もいくつか含まれている。この攻撃(イラン国内の3つの製鉄所を標的としたものの、物理的な破壊に成功した侵入は1件のみ)の前後数年にわたり、プレダトリー・スパロウはイランの鉄道システムのコンピューターを機能不全に陥れ、イランのガソリンスタンドの大半の給油機の決済システムを一度ならず二度も混乱させた。先月も、4,000以上のガソリンスタンドのPOSシステムを再び機能停止させ、全国的な燃料不足を引き起こした攻撃があった。
実際、プレダトリー・スパロウは、公式声明では通常、ペルシャ語訳のゴンジェシュケ・ダランデと名乗り、イスラエルとハマスとの戦争が両国間の緊張をさらに高めるずっと以前から、長年にわたりイランに注力してきた。ハッカーたちは、イランがハッキングや代理軍事組織を通じた侵略行為を行った後に、イランの民間人を標的とした混乱を引き起こす攻撃を頻繁に仕掛ける。例えば、最近のガソリンスタンド攻撃は、イランとつながりのあるハッカーが世界中の水道施設のイスラエル製機器に侵入し、イランが支援するフーシ派反政府勢力がイスラエルに向けてミサイルを発射し、紅海の船舶を攻撃した後に発生した。「ハメネイ!」プレダトリー・スパロウはツイッターのペルシャ語で、イランの最高指導者に呼びかけた。「この地域におけるあなたの邪悪な挑発には対抗します。」
Predatory Sparrowは、しばしばイランのハクティビスト集団を装いながらも、その高度な技術は政府や軍の関与を示唆している。 2021年にニューヨーク・タイムズ紙の取材に応じた米国防当局筋は、このハッカー集団をイスラエルと結びつけている。しかし、この集団を追跡しているサイバーセキュリティアナリストの中には、サイバー戦争のほとんどの定義に当てはまる攻撃を実行する一方で、その特徴の一つは自制心にあると指摘する者もいる。つまり、被害を最小限に抑えつつ、より多くの成果を挙げられた可能性を示唆しているのだ。少なくとも、自制しているように見せかけようとする方が正確かもしれない。製鉄所への攻撃で少なくとも2人のフーゼスタン従業員が身体的に危険にさらされたことは、同集団の安全性に関する主張に対する明白な例外となっている。
Predatory Sparrowの最大の特徴は、攻撃を通して特定の地政学的メッセージを送ることに明らかに関心を持っていることだと、サイバーセキュリティ企業SentinelOneのアナリストで、長年このグループを追跡してきたフアン・アンドレス・ゲレロ=サーデ氏は述べている。これらのメッセージはすべて、ある共通のテーマを軸に展開されている。「イスラエルまたはその同盟国を攻撃すれば、我々はその文明を深刻に混乱させる力を持つ」というものだ。「彼らはイランに手を差し伸べ、意味のある形で影響を与えることができることを示している」とゲレロ=サーデ氏は語る。「彼らはこう言っている。『フーシ派、ハマス、ヒズボラを代理戦争で支援することはできる。だが、我々Predatory Sparrowは、今いる場所から移動することなく、イランを少しずつ解体することができる』と」
ここでは、Predatory の、極めて破壊的なサイバー攻撃における短いながらも目覚ましい実績の簡単な歴史を紹介します。
2021年:列車の混乱
2021年7月初旬、イラン国鉄の時刻表を表示するコンピューターに、ペルシャ語で「サイバー攻撃のため大幅遅延」、あるいは単に「運休」というメッセージと、イランの最高指導者アリー・ハメネイの事務所の電話番号が表示され始めた。まるで、最新情報や苦情を訴えるためにその番号に電話するようイラン国民に示唆しているかのようだった。センチネルワンのゲレロ=サーデ氏が、この攻撃に使用されたマルウェア(メテオ・エクスプレスと名付けた)を分析し、ハッカーらが3段階のワイピングプログラムを展開していたことを発見した。このプログラムは、コンピューターのファイルシステムを破壊し、ユーザーをロックアウトした後、起動時にオペレーティングシステムの位置を特定するためにマシンが使用するマスターブートレコードを消去する。イランのファールスラジオ局は、サイバー攻撃の結果は「前例のない混乱」だったと報じたが、後にこの発言を削除した。
ほぼ同時期に、イラン道路都市開発省のネットワーク全体にわたるコンピュータもワイパーツールの攻撃を受けました。イスラエルのセキュリティ企業CheckPointによるワイパーマルウェアの分析により、ハッカーたちは数年前、シリアにあるイラン関連の標的に侵入した際に、同じツールの異なるバージョンを使用していた可能性が高いことが明らかになりました。その際には、ヒンドゥー教の嵐の神インドラにちなんで名付けられたハッカーグループを装っていました。
「国民の安全を守りながら、今回のサイバー攻撃を行う目的は、政府省庁や政府機関が国家に対して容認している虐待や残虐行為に対する嫌悪感を表明することだ」と、プレダトリー・スパロウはテレグラムのチャンネルにペルシャ語で投稿し、攻撃の犯行声明を出した際にイランのハクティビスト集団を装っていることを示唆した。
2021年:ガソリンスタンドの麻痺
それからわずか数か月後の2021年10月26日、Predatory Sparrowが再び攻撃を仕掛けた。今回は、イラン全土のガソリンスタンド4,000店以上(国内の給油機の大半)のPOSシステムを標的とし、イラン国民に配布されているガソリン補助金カードによる支払いを受け付けるシステムをダウンさせた。イラン移民でサイバーセキュリティ企業DarkCellの創業者ハミド・カシュフィ氏はこの攻撃を分析したが、詳細な調査結果を公表したのは先月になってからだった。同氏によると、攻撃のタイミングはイラン政府が燃料補助金の削減を試み、全国で暴動を引き起こしてからちょうど2年後だったという。鉄道攻撃に倣い、ハッカーたちは給油機の画面に最高指導者の電話番号を表示するメッセージを表示し、今回のガス供給途絶についてもイラン政府の責任を問うかのようにした。 「全体的な視点で見れば、これは国内で再び暴動を起こそうとする試みのように見える」とカシュフィ氏は言う。「政府と国民の間の溝を広げ、さらなる緊張を生み出そうとしているのだ。」
この攻撃はイラン全土のガソリンスタンドに数日間続く長蛇の列をもたらした。しかしカシュフィ氏は、このガソリンスタンド攻撃は甚大な被害をもたらしたにもかかわらず、Predatory Sparrowが実に抑制力を発揮した事例であると主張する。彼は、イランのインシデント対応者がマルウェアリポジトリVirusTotalにアップロードした詳細なデータに基づき、ハッカーたちがガソリンスタンドの決済インフラに十分なアクセス権を持ち、システム全体を破壊し、ガソリンスタンドでソフトウェアの手動再インストールや補助金カードの再発行を強いるほどだったと推測する。しかし、彼らは比較的迅速に復旧できる方法でPOSシステムを消去しただけだった。
Predatory Sparrowは、POSシステムのベンダーであるIngenicoにメールを送り、同社のソフトウェアに未修正の脆弱性があることを警告したとTelegramアカウントで主張したほどだ。この脆弱性は、決済システムに永続的な混乱を引き起こす可能性があった。(興味深いことに、Ingenicoの広報担当者はWIREDに対し、同社のセキュリティチームはそのようなメールを受け取ったことはないと語っている。)
Predatory SparrowはTelegramにも投稿し、イランの民間緊急サービス機関にテキストメッセージを送信し、攻撃前に車両に燃料を補給するよう警告するスクリーンショットを投稿したと伝えた。「こんなことは滅多にありませんよね?」とカシュフィ氏は言う。「彼らは非常にクリーンで、制御された被害を与えることを選んだのです。」
2022年:製鉄所のメルトダウン
2022年6月、Predatory Sparrowは歴史上最も大胆なサイバー妨害行為の一つを実行し、イランのKhouzestan製鉄所で溶融鋼の流出を引き起こし、施設内で火災を引き起こした。
ハッカーたちは、攻撃を実行したのが自分たちであり、無関係な産業事故の責任を主張しただけではないことを証明するため、製鉄所が設備制御に使用していたいわゆるヒューマン・マシン・インターフェース(HMI)ソフトウェアのスクリーンショットをTelegramに投稿した。この事件を調査したSCADAfenceのCTO、ポール・スミス氏は、イランIT企業Irisaのウェブサイトで、フーゼスタン製鉄所をプロジェクトの一つとして挙げているページをすぐに発見した。これは、HMIスクリーンショットに写っていたIrisaのロゴと一致していた。
スミス氏によると、Predatory Sparrowが攻撃動画の録画に使用したHMIソフトウェアと監視カメラの両方がインターネットに接続されており、脆弱なIoTデバイスをカタログ化する検索エンジンShodanで検出可能だったという。製鉄所での経験を持つスミス氏は、ハッカーがHMIへのアクセスを利用して、鋼精錬工程における「脱ガス」工程を回避したことが攻撃による被害の原因ではないかと推測している。この工程では、溶融鋼に閉じ込められたガスを除去する。このガスは爆発の原因となる可能性がある。スミス氏は、まさにこの溶融鋼に閉じ込められたガスの爆発が、取鍋を動かして中身を工場の床にこぼす原因になったのではないかと推測している。
Predatory Sparrow のビデオの静止画には、ハッカーによるサイバー攻撃前の Khouzestan 製鉄所が映っている…
Predatory Sparrow(テレグラム経由)
攻撃が始まると、工場内に燃えさしや火、煙が充満し…
Predatory Sparrow(テレグラム経由)
…ここに見える工場の床に燃えている液体鋼がこぼれたことが原因です。
Predatory Sparrow(テレグラム経由)Predatory SparrowはTelegramに投稿した動画の中で、「罪のない人々を守るために慎重に」攻撃を実行したと豪語し、監視カメラの映像をモニタリングして人間が危険にさらされていないことを確認していたと示唆した。しかし、スミス氏はこの主張を否定する。燃え盛る液体金属からわずか数フィートのところで、飛び散る燃えさしの中を走らざるを得なかったイラン人鉄鋼労働者2人以外にも、誰が危険にさらされていたのか視聴者には見えないとスミス氏は主張する。「誰かが怪我をしたかどうかは分からない」とスミス氏は言う。
フーゼスタン製鉄所は、プレデタリー・スパロウが侵入した3つの製鉄施設のうちの1つに過ぎなかったが、これらの活動は物理的な破壊工作だけを目的としたものではなかった。1週間後、同グループはさらに、西側諸国の制裁対象となっている3つの製鉄施設から盗み出した数万件の電子メールを投稿し始め、イラン軍とのつながりを示すことを狙っていた。
2023年:ガソリンスタンドの麻痺、再び
10月7日のハマスによるイスラエル南部への攻撃と、イスラエルによるガザ地区への圧倒的な軍事的対応を受けて中東全域で緊張が高まる中、プレダトリー・スパロウがこの激化する紛争に関与するのは避けられないことだったのかもしれない。イランの支援を受けるフーシ派反政府勢力が紅海の船舶封鎖を開始し、イランと関係のあるハッカー集団「サイバーアベンジャーズ」が米国全土の水道事業をハッキングして反イスラエルのメッセージを送りつける中、この集団は12月18日、2021年のガソリンスタンド攻撃を再現し、米国内の大半のガソリンスタンドのポンプのPOSシステムを麻痺させた。
この最新の攻撃の技術的な詳細はまだほとんど明らかにされていないが、DarkCellのハミド・カシュフィ氏は、2021年のハッキング事件と同じ手口を踏襲しているようだと述べている。ただし、機器のセキュリティ上の脆弱性は異なる可能性が高い。Predatory Sparrowは今回も、被害を最小限に抑えるため、混乱発生前にイランの緊急サービスに送信したとされるメッセージを投稿した。「これまでの活動と同様に、今回のサイバー攻撃は、緊急サービスへの潜在的な被害を最小限に抑えるための対策を講じながら、制御された方法で実行されました」と、Telegram上の同グループのメッセージには記されている。
プレデタリー・スパロウは、今回もハッキングの目的がメッセージであることを明確にした。「今回のサイバー攻撃は、イスラム共和国とその代理勢力による地域への侵略行為への報復です」と、同グループの別のメッセージには記されている。「ハメネイ師、火遊びには代償が伴います」
SentinelOneのゲレロ=サアデ氏は、ガソリンスタンドへのサイバー攻撃のような行動は、Predatory Sparrowがサイバー政策専門家が「シグナリング」と呼ぶ、サイバー攻撃能力を用いて敵対者の行動を抑止するためのメッセージを送信する手法の、最初の効果的な例となる可能性を示唆していると主張している。同氏によると、このグループは政治的動機に基づくハッキングに対して比較的抑制的で識別力のあるアプローチを取りつつ、その能力を広範な効果のために使用する意思を明確に示してきたためだ。同氏は、この意思こそが、国家安全保障局(NSA)やサイバーコマンドといった米国のハッキング機関がしばしば欠いてきたものだと指摘する。
「能力があるだけでなく、それを使う意思があることを相手に確実に示せなければ、効果的なシグナルなどあり得ません」とゲレロ・サーデ氏は言う。
一部のサイバーセキュリティ研究者は、Predatory Sparrowを、民間人への配慮がより行き届いた、より責任あるサイバー戦争のモデルだと指摘しています。しかしながら、10月7日のハマスによる虐殺への報復として、イスラエル軍が数万人のパレスチナ民間人を殺害し、さらに数百万人の住民を避難させたことを考えると、イスラエル政府と繋がりがある可能性が高いハッカー集団による抑制や差別の兆候には、疑念を抱くべきです。
ゲレロ・サーデ自身も、製鉄所襲撃のビデオ、特にそこに映っている2人のイラン人従業員が瀕死の状態だったことは、プレデタリー・スパローの「慎重な」攻撃スタイルがどれだけの代償をもたらしたかという疑問を提起することを認めている。
「完璧なのか?犠牲者も懸念もないのか?全くそんなことはない」とゲレロ=サーデ氏は言う。「支持しているわけではない。ただ、とても興味深い」
