緊張が高まる中、イランのハッカーが米国を標的とした新たな攻撃を開始

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

2019年に二国間が戦争の脅威に晒され始めた時、両国が既に互いのネットワークをハッキングしていたことはほぼ間違いないでしょう。まさにその通り、3つの異なるサイバーセキュリティ企業が、過去数週間にわたり、イランのハッカーが米国の様々な組織へのアクセスを試みているのを確認したと発表しました。まさに両国間の軍事的緊張が限界点に達していた時期です。ただし、これらのハッカーによる侵入が情報収集を目的としているのか、より破壊的なサイバー攻撃の布石を敷くためなのか、あるいはその両方なのかはまだ明らかではありません。

セキュリティ企業2社、CrowdstrikeとDragosのアナリストはWIREDに対し、先週、APT33、Magnallium、Refined Kittenといった名称で知られるハッカー集団が、米国の様々な標的にフィッシングメールを送付する新たな攻撃キャンペーンを確認したと語った。このハッカー集団はイラン政府のために活動していると広く信じられている。Dragosは、標的となった6つの組織のうち、エネルギー省と米国の国立研究所を挙げた。3社目のセキュリティ企業FireEyeは、米国と欧州の政府機関と民間企業を標的としたイランによる広範なフィッシング攻撃キャンペーンを確認したことを独自に確認したが、APT33の名前は具体的には挙げなかった。両社は、侵入が成功したという情報は一切持っていなかった。

「緊張が高まって以来、多くの人が標的になっています」と、ファイア・アイの脅威情報担当ディレクター、ジョン・ハルトキスト氏は語る。「それが情報収集、つまり紛争に関する情報収集なのか、それとも私たちが常に抱いてきた最も深刻な懸念、つまり攻撃の準備なのかは分かりません。」

新たな標的攻撃作戦がサイバースパイ活動であることを示唆する兆候がいくつか見られる。これは、イランが自国領空を侵犯した米軍ドローンを撃墜したと主張し、トランプ政権が報復の可能性を警告する中、イラン政府と米国政府の間で軍事的威嚇が激化していることを考えると、イランによる予想通りの行動と言える。しかし、研究者らはAPT33がデータ破壊型マルウェアとの関連性も指摘しており、今回の侵入試みは、より攻撃的なサイバー戦争作戦の第一歩となる可能性があると警告している。

FireEyeは以前、APT33はこれまでの活動では主に従来型のスパイ活動に重点を置いていたものの、時折破壊的なツールも備えていると警告していた。2017年には、APT33が一部の被害者を「ドロッパー」マルウェアに感染させたと報告している。このマルウェアは、他の攻撃ではShapeShiftと呼ばれるデータ破壊コードを埋め込むために使用されていた。Crowdstrikeも、Shamoonと呼ばれる別の破壊的マルウェアが使用された侵入事例の一部にAPT33の痕跡が確認されたと述べている。Shamoonは、中東全域で時折壊滅的な被害をもたらすイランによる一連の破壊活動に関連するワイパーツールである。

先週の侵入試行の少なくとも一部において、ハッカーはホワイトハウスの大統領府傘下の組織である経済諮問委員会の求人情報を装ったメールを潜在的な被害者に送りつけました。メールには、クリックするとHTMLアプリケーション（HTA）と呼ばれるアプリケーションが開くリンクが含まれていました。すると、被害者のマシン上でVisual Basicスクリプトが起動し、汎用リモートアクセス型トロイの木馬の一種であるPowertonと呼ばれるマルウェアペイロードがインストールされました。このPowertonマルウェア、HTAのトリック、そして求人情報のルアーはすべて、APT33の手口と一致しており、APT33は過去の攻撃でペルシャ湾周辺の石油・ガス産業を標的にこれらの手法を用いてきました。Dragos氏はまた、フィッシング攻撃のインフラで使用されているドメインの命名規則が、以前の攻撃と一致していることを指摘しています。

クラウドストライクのインテリジェンス担当副社長アダム・マイヤーズ氏は、今回の求人広告の焦点が経済的なものであることから、イランのハッカーたちは、より積極的なサイバー攻撃の準備ではなく、トランプ政権の対イラン貿易制裁に関する意図を詳しく知ろうとしている可能性があると指摘する。しかし、適切な機会があれば、後にさらに破壊的な妨害活動へと転換する可能性も否定していない。「おそらくこれは情報収集だと思います。しかし、彼らが情報収集を行う際には、常に他の作戦の準備である可能性も否定できません」とマイヤーズ氏は語る。「得られた情報に基づいて判断します。『これは良い標的だ。何かできるかもしれない』と言えるでしょう。」

ドラゴスのアナリスト、ジョー・スロウィック氏は、APT33がデータ破壊作戦のために地雷を仕掛けているとしても、イランと米国間の紛争がさらに悪化しない限り、実際に爆破することはないだろうと指摘する。「事態が悪化した時に、『今すぐサイバー攻撃が必要だ』と急に方向転換することはできない」とスロウィック氏は語る。「つまり、これは将来に向けて戦略的柔軟性を持ちつつも、当面は混乱や破壊を意図していないということと関係しているのかもしれない」とスロウィック氏は言う。「緊張が高まり始めると、アクセスを具体化する必要性も同時に高まるだろう」

現在の意図が何であれ、イランはアメリカとその同盟国に対し、長年にわたり混乱と破壊をもたらすサイバー攻撃を仕掛けてきた。2012年夏、スタックスネットというマルウェアがイランの核濃縮施設への破壊工作を目的としたアメリカとイスラエルの共同作戦であることが明らかになると、イランのハッカーはサウジアラムコに対し前例のない攻撃を仕掛け、ワイパー型マルウェア「シャムーン」を使って3万台のコンピューターを破壊し、画面に燃えるアメリカ国旗の画像を表示させた。翌月には、ほぼ全ての大手アメリカ銀行のウェブサイトを標的とした持続的な分散型サービス拒否攻撃を仕掛け、2014年にはラスベガス・サンズ・カジノのオーナー、シェルドン・アデルソンが米国によるイランへの核兵器発射を公に示唆したことを受け、同カジノに対し再びデータ破壊攻撃を仕掛けた。

しかし、オバマ政権がイランとの合意に署名し、イランが核開発停止を約束する代わりに多くの制裁を解除したことで、西側諸国への攻撃はほぼ停止した。ただし、一部の中東諸国への攻撃は継続した。しかし、トランプ大統領が昨年この合意を破棄した際、サイバーセキュリティの専門家は、イランが西側諸国に対する破壊的なハッキング作戦を再開する可能性が高いと警告した。2018年12月には、イタリアの石油会社サイペムのネットワークがシャムーンによる新たな攻撃を受けた。サイペムの最大の顧客はサウジアラムコだが、この攻撃がイランによるものとは明確にされていない。

イランと米国両国による軍事的レトリックの激化を背景に、最新のフィッシング攻撃キャンペーンは、イランによる西側諸国へのサイバー攻撃の小康状態は終わったのではないかという懸念を再び呼び起こしている。「すでに手加減はしていないかもしれない」と、ファイア・アイのジョン・ハルトクイスト氏は述べている。「おそらく、イランの攻撃的な活動が再び活発化する時期が、間もなくやってくるだろう。湾岸地域でイランと激しい攻防を繰り広げるなら、イランが手加減するとは思えない」

WIREDのその他の素晴らしい記事