開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/01/19

米イランの対立で「サイバー空間」の戦争はどうなる?

2020年1月3日、イラン革命防衛隊司令官カセム・ソレイマニ氏が米軍のドローン空爆によって殺害された。報復としてイランがイラクの米軍基地拠点に弾道ミサイル攻撃を行うなど一時は緊迫した状況になった。ここで気になるのがサイバー戦争の存在だ。これまで報告されていたステートスポンサード攻撃やサイバー諜報活動以外に、インフラへの破壊的攻撃を危惧する声もある。実際のところはどうなのだろうか。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
混沌の中東情勢、有事のサイバーセキュリティで重要なのは
(Photo/Getty Images)

DHSは状況のエスカレーションを告示

 1月3日のソレイマニ氏暗殺の報を受け、複数のセキュリティ専門家が、サイバー報復攻撃について警戒するコメントをSNS等で発信している。DHS(国土安全保障省)は、4日付けでNational Terrorism Advisory System(NTAS)による告示を行った。NTAS告示(Bulletin)では、国民・政府機関・民間企業にテロへの警戒を呼び掛けている。

 告示の概要は以下のとおりだ。

  • 現時点で具体的な反撃計画や特定施設等への攻撃の兆候は不明
  • 過去の事例では重要インフラへのサイバー偵察、サイバー攻撃などが確認されている
  • イランは重要インフラへのサイバー攻撃能力を持っている
  • 国内過激派(Homegrown Violent Extremist)の活動に注意
  • 本土への攻撃は予告や警告なしに行われる可能性がある

 サイバー攻撃については、不審なメールやネットワークの遅延などに注意し、データのバックアップや二要素認証などセキュリティ対策の実施・見直しについて言及している。



CISAはサイバー空間での警報と注意喚起

 CISA(CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY)の幹部の1人であるChris Krebs氏は、3日のニュースを受け、すぐに自身のTwitter上で「イランに対するTTP(戦術、技法、手続き)を見直しと重要インフラの監視強化」と「サードパーティへのアクセス(サプライチェーン攻撃)監視強化」を指摘している。

 同6日には、CISAが正式にサイバー攻撃や対策に特化した警報を出している。サイバーセキュリティについては、こちらのほうが詳細で、NTASが指摘した対策に加え、過去のイランが関係した攻撃の事例と、そのとき使われた脆弱性や攻撃ベクトルごとの対策と検知方法がまとめられている。イランによるAPTでは、以下の攻撃手法が確認されている。

  • ID情報窃取
  • マルウェア・コードの難読化
  • ファイル圧縮
  • PowerShell
  • 権限奪取
  • スクリプト
  • レジストリのRun Keys・スタートアップフォルダ
  • リモートファイルコピー
  • スピアフィッシング(ドメイン名・添付ファイルに注意)

イランのサイバー攻撃能力は?

 イランのサイバー攻撃能力はどうだろうか。ロシア、中国、イラン、北朝鮮は「ビッグ4」とも呼ばれ、サイバー正規軍を持ち国家支援型サイバー攻撃の多くに関与しているとされる。

 技術レベルの判断は難しいが、イランはかつてStuxnetによって核関連施設を攻撃されている。Stuxnetのような高度な攻撃を経験した国は、防御技術とともに攻撃技術も学習、強化していると思ったほうが良い。前回の米国大統領選挙に関連したサイバー攻撃でも、イランが関与したものが報告されている。

画像
イランはこれまでも国家支援型のサイバー攻撃を行ってきたとされている
(Photo/Getty Images)

 イランが関与するとされる国家支援型の攻撃キャンペーンでは、APT33、34、35が指摘されている。APT33を分析したFireEyeのレポートでは、米国、サウジアラビア、韓国の航空産業、エネルギー産業を狙った攻撃が目立つとされる。APT33は、産業スパイとして機密データが主な目的と見られているが、APT34は、より政治的な背景が見えるサイバーエスピオナージとして分類される攻撃キャンペーンだ(分析:同前)。

 APT35の最初の活動は2014年とされているが、ここ1、2年でも活動が活発化している。2020年の米国大統領選挙に関連したスピアフィッシングが確認され、2019年に、マイクロソフトが大量の攻撃ドメインを停止させている。観測期間が長いため、標的も米国の軍事、政府機関、大使館、防衛産業、IT、通信事業、エネルギー産業と多岐にわたる。

【次ページ】重要なのは「現実的なリスクは何か」を知ること

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!