イランは実際にハッキング能力を持っているが、それが具体的に何ができるのか、何をするつもりなのかはまだ分からない。
ゲッティイメージズ / アッタ・ケナレ / 寄稿者
米国とイランは、カセム・ソレイマニ将軍の暗殺後、必ずしも全面的なオンライン戦争の瀬戸際にいるわけではないが、だからといってイランのハッカーを過小評価すべきではない。
先週、米軍ドローンによる将軍の殺害を受け、世界中で多くの人々が、イランが地上およびオンラインでどのように報復するのかを懸念している。イランは近年サイバー攻撃を繰り返してきたため、この事態はイランと米国の間でいわゆるサイバー戦争の危機を招いている。米国土安全保障省は、イランは「重要インフラに対して一時的な混乱をもたらす攻撃を実行する」能力があると警告し、企業に対し、不審なメールに注意し、二要素認証を使用するよう勧告している。もっとも、この勧告は常に真実である。
イランがサイバー攻撃で報復するかどうかは、問題ではなく、いつ報復するかの問題のようだ。「サイバー攻撃は典型的な非対称攻撃であり、一方の国がより強い相手に損害を与えるために用いられる」と、オックスフォード・インフォメーション・ラボのCEOであり、チャタム・ハウスのアソシエイト・フェローであるエミリー・テイラー氏は述べている。
これはイランが以前にも用いた戦術だ。もちろん、米国も同様だ。セキュリティ企業ベクトラのアナリティクス責任者、クリス・モラレス氏によると、イランがサイバー能力の向上に躍起になったのは、米国とイスラエルが仕掛けたとされるスタックスネットがイランの核濃縮施設を破壊した事件がきっかけだった。「イランの特徴は、スタックスネットの攻撃を受けるまで、サイバー戦争のことなど考えもしなかったことです」とモラレス氏は語る。テイラー氏によると、その翌年、イランはサウジアラビアのアラムコに対し、数万台のコンピューターを破壊したシャムーン攻撃を仕掛けた疑いがあるという。
2016年、米国司法省は米国の銀行やインフラを標的にしたとしてイラン革命防衛隊員を起訴した。ニューヨーク州のダムへの攻撃の一つは、偶然にも当時ダム施設がオフラインだったために失敗に終わったとテイラー氏は付け加えた。翌年、英国の情報機関は、国会議員のメールに対する攻撃はイランによるものである可能性が高いと指摘した。
「イランは既に西側諸国へのサイバー攻撃を実行する意欲を示している」と、ファイア・アイのインテリジェンス分析ディレクター、ジョン・ハルトキスト氏は述べている。「イランは核合意の約1年前から、米国と欧州の複数の金融機関を標的とした一連のDDoS攻撃を仕掛けてきた。」
最近の攻撃は、イランのハッカーが西側諸国を標的にする方法を示唆しているかもしれない。ハルトキスト氏が勤務するファイア・アイは、こうした活動を追跡している。2012年のアラマコへの攻撃は、「Cutting Sword of Justice」と呼ばれるグループによって実行され、ShamoonまたはDisstrackと呼ばれるマルウェアが使用された。これは、ファイルを削除し、マスターブートレコードを消去する「ワイパー」ワームである。同様の亜種が、2012年と2016年に他のサウジアラビアの組織に対して使用された。
2017年、ファイア・アイは、イランと関連のある新たなグループ「APT33」が2013年から米国、サウジアラビア、韓国の軍事、エネルギー、その他の組織に対して攻撃を行っていると報告しました。APT33は、スピアフィッシングメールや偽のドメインなど、様々な攻撃手法を用いて、「Shapeshift」と呼ばれる別の種類のワイパーマルウェア、リモートアクセス型トロイの木馬「Nanocore」、スクリーンショットを撮影するマルウェア「TurnedUp」、そして認証情報を窃取するツール「NetWire」をインストールしていました。使用されたマルウェアのうち2種類は、オンラインで容易に購入可能でした。
FireEyeが発見したもう一つのイラン系グループはAPT34として知られ、少なくとも2014年から活動しており、Microsoft Officeなどのソフトウェアの既知の脆弱性やフィッシングメールを利用してマルウェアを拡散し、アカウントを乗っ取っている模様です。主に中東の幅広い業界を標的としています。今年、APT34はケンブリッジ大学の研究者を装ってLinkedInアカウントを作成し、侵害されたファイルを送信して被害者のコンピュータに感染させ、情報を窃取しました。
マイクロソフトは10月、Phosphorusと呼ばれる脅威グループについて警告を発しました。このグループはイラン政府と関連している可能性があり、米国の政治家、ジャーナリスト、そして国外在住のイラン人のメールアカウントを標的にしているとのことです。マイクロソフトは、パスワードリセットシステムを通じて4つのアカウントが侵害されたことを認めました。攻撃は技術的には高度なものではありませんでしたが、攻撃者は「非常に意欲的」で、被害者を狙うために必要な個人情報の収集にかなりの時間を費やしていたと同社は述べています。
「西側諸国で新たな攻撃が発生した場合、中東で見られたような攻撃モデルを踏襲し、重要インフラ企業を標的にワイパーを多用するようになるだろうと予想しています」とハルトキスト氏は述べている。「特にAPT33とAPT34は、ワイパーを用いてサイバー攻撃を実行しているため、特に懸念しています。」
このような攻撃には慣れていますが、真に恐ろしいのは、ダムや発電所などのインフラ制御システム(ICS)への攻撃です。人命が真に脅かされるのは、まさにそこです。イランがそのような攻撃を行う可能性はあるものの、ハルトキスト氏はその可能性は低いと考えています。「イランがICSのプロセスを操作して危険な状況を作り出すとは考えにくいですが、深刻な混乱を引き起こす可能性は十分にあります。」
しかし、ベクトラ社のモラレス氏は、こうしたシステムは通常、イランの国家支援を受けた攻撃者が標的とする銀行やその他の企業よりもセキュリティが強化されており、リスクの影響を受けにくいと指摘する。「しかし、これは絶対に注意すべきことだ」と同氏は警告した。
このような攻撃は、より多くのリソースを必要とする可能性が高いため、国家支援のハッキンググループによるものと特定されやすい。これは、イランのハッキンググループが、被害が少なく、特定が難しく、事態をエスカレートさせる可能性が低い攻撃、つまり混乱やスパイ活動を目的とした標的型攻撃や、注目を集めるためのウェブサイト改ざん行為を継続する可能性があることを示唆している。
ソレイマニ氏の死後、最初に発生した攻撃は、以前の例ほど危険性は低かった。米国連邦図書館プログラムのウェブサイトが、ドナルド・トランプ大統領の血まみれの画像と親イランのプロパガンダで改ざんされたのだ。基本的な攻撃であり、被害も軽微であったにもかかわらず、この事件は世界中で広く報道された。王立統合安全保障研究所のリサーチアナリスト、レベッカ・ルーカス氏は、このような小規模な事件は、個人またはハクティビスト集団が政府の代理人として行動する可能性が高いと指摘する。これにより、イラン政府は十分な注目を集めながらも、責任を否定できる余地が生まれる。
そして、プロパガンダと偽情報も存在します。ハルトキスト氏によると、イランの戦術には、プロパガンダを共有するためのフェイクニュースサイト、有力者(選挙候補者を含む)のなりすまし、偽情報を拡散するための偽ジャーナリストの作成、ソーシャルメディアボットのネットワークなどが含まれています。ルーカス氏は、このような戦術の使用が増加していると付け加えます。「ソレイマニ氏の殺害以降、イランからのフェイクニュースと偽情報が増加しているという情報源がいくつかあります。」
過去の攻撃と現在の能力から判断すると、イランは確かに混乱を引き起こし、場合によってはインフラ制御システムに影響を与える能力を持っていることが示唆される。しかし、実際にそれが可能かどうかはまだ分からない。「イラン政府は、混乱を引き起こすための攻撃の実行、スパイ活動、情報収集といった点で、かなり優れたサイバー能力を有しているという点については、多くの誇大宣伝がなされている。そして、その誇大宣伝は不当なものではない」とルーカス氏は語る。「しかし、真の問題は、イラン政府がその能力を使うことが自国の利益になると判断するかどうかだ。イラン政府は非常に洗練された対応をとっており、現時点では、自らの行動が広報に与える影響を非常に意識している。」
実際、イラン政権は民間人を標的にしないと慎重に述べており、その代わりに米軍と政府だけを標的にしているとルーカス氏は指摘するが、長期的に何が起こるかは予測不可能だ。
要するに、イランは真のハッキング能力を有しているが、その能力と意図がどこにあるかは未だ不明だ。「イラン政府もしくはその代理組織が(制御システムなどの)標的を攻撃できることを示す証拠は数多くあるが、成功の可否はイランの防衛能力にかかっている」とルーカス氏は語る。「攻撃していないからといって、できないわけではない。イラン政府は、自らが効果的かつ高度なサイバー攻撃能力を持っていることを証明した。しかし、問題はイラン政府が何を望んでいるか、そして何が自国の利益になると考えているかであり、残念ながら、それを予測するのは最も難しいのだ。」
アメリカとイランの緊張が高まる中、両国は長年にわたり互いにハッキングを続けてきました。私たちはこうした攻撃から身を守る必要がありますが、これは決して新しいことではありません。「今は恐ろしい瞬間であり、社会全体の重要なシステムを守る必要があります」とルーカス氏は言います。「いずれにせよ、私たちは皆、そうすべきです。なぜなら、世の中には恐ろしいアクターがたくさんいるからです。」
この記事はWIRED UKで最初に公開されました。
