コラム

Column

導入事例

Case Study

サイバーニュース

Cyber News

海外のサイバーセキュリティ関連のニュースを日本語でご紹介しています。

お知らせ

News

イラン関連ハクティビストと国家支援型攻撃に注意、米政府が重要インフラへ警戒呼びかけ

米CISA、FBI、DC3、NSAは、イラン政府に関連する、または同国を支持するサイバー攻撃者による活動の高まりに注意を呼びかけています。特に、防衛産業、OT・ICS環境、重要インフラでは、古いソフトウェアや初期パスワードが悪用される可能性があります。

The Hacker News:U.S. Agencies Warn of Rising Iranian Cyber Attacks on Defense, OT Networks, and Critical Infrastructure

この記事のポイント

影響のあるシステム

  • 防衛産業基盤(DIB)に属する企業、とくにイスラエルの研究機関・防衛関連企業と関係を持つ組織
  • 米国およびイスラエル関連組織のインターネット公開システム
  • OTネットワーク、ICS環境、産業制御システムに接続された機器
  • 公開インターネットからアクセス可能なOT・ICS資産、リモートアクセス機器、管理画面、VPN、ファイアウォールなど
  • Tridium Niagara、Red Lion、Unitronics、Orpak SiteOmatなど、インターネット上で露出が確認された産業・設備関連システム
  • 古いソフトウェア、既知のCVEが未修正の機器、初期パスワードまたは推測されやすいパスワードを使用しているアカウントやデバイス
  • DDoS攻撃、ランサムウェア、認証情報窃取、標的型フィッシングの対象となり得る政府、防衛、通信、金融、テクノロジー関連組織

推奨される対策

  • OT・ICS資産が公開インターネットから直接アクセスできる状態になっていないか確認し、不要な公開を停止してください。
  • 弱いパスワード、初期パスワード、共通パスワードを廃止し、強力で一意のパスワードに変更してください。
  • 重要システム、リモートアクセス、OTネットワークへのアクセスには多要素認証を導入してください。
  • 可能な場合は、フィッシング耐性のある多要素認証をOTネットワークへのアクセスに適用してください。
  • 既知の脆弱性を悪用されないよう、OS、アプリケーション、VPN、ファイアウォール、制御機器関連ソフトウェアのパッチ適用状況を確認してください。
  • OTネットワークへのリモートアクセスログ、管理者操作ログ、認証失敗ログを継続的に監視してください。
  • OT環境で不正な設定変更、監視不能、制御不能が発生しないよう、変更管理と復旧手順を整備してください。
  • 復旧に備え、システムとデータのバックアップを取得し、復元手順を定期的に確認してください。
  • 外部公開資産、開放ポート、古いサービスを棚卸しし、攻撃者に見える範囲を継続的に把握してください。

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

  • OT:Operational Technologyの略です。工場、発電所、ビル設備、交通、製造ラインなど、物理的な設備を監視・制御する技術を指します。
  • ICS:Industrial Control Systemの略です。産業制御システムを意味し、制御装置、監視システム、センサーなどを含みます。
  • DIB:Defense Industrial Baseの略です。防衛産業基盤を意味し、防衛関連の製品・技術・サービスに関わる企業群を指します。
  • DDoS攻撃:大量の通信を送りつけ、Webサイトやネットワークを利用できない状態にする攻撃です。
  • ランサムウェア:データを暗号化したり、情報を盗んだりして、復旧や非公開を条件に金銭を要求するマルウェアです。
  • CVE:Common Vulnerabilities and Exposuresの略です。公開された脆弱性を識別するための共通番号です。今回の元記事では、特定のCVE番号は列挙されていません。
  • Shodan:インターネット上に公開されている機器やサービスを検索できるサービスです。防御目的の調査にも使われますが、攻撃者が標的探索に利用する場合もあります。
  • RAT:Remote Access Trojanの略です。攻撃者が遠隔から端末を操作するために使う不正プログラムです。
  • PsExec:Windows環境でリモート実行などに使われる正規の管理ツールです。攻撃者が侵入後の横展開に悪用する場合があります。
  • Mimikatz:Windowsの認証情報を抽出する目的で悪用されることがあるツールです。侵害後の権限拡大や横展開で使われる場合があります。
  • ハクティビスト:政治的・思想的な目的を掲げてサイバー攻撃や情報公開を行う個人・集団を指します。

警戒対象は防衛企業だけではなく、OT・ICS環境にも広がっています

米CISA、FBI、DC3、NSAは、イラン政府に関連する、または同国を支持するサイバー攻撃者による活動が高まっているとして、組織に警戒を呼びかけています。元記事によると、米政府機関は、現時点で米国内においてイランに帰属できる協調的な悪意あるサイバー活動の証拠はないとしつつも、最近の情勢を踏まえて「警戒の強化」が必要だとしています。特に、防衛産業基盤に属する企業、とりわけイスラエルの研究機関や防衛関連企業と関係を持つ組織は、相対的に高いリスクにさらされる可能性があるとされています。

今回の注意喚起で重要なのは、攻撃者が高度なゼロデイだけを狙っているわけではない点です。米政府機関は、これらの攻撃者が、既知のCVEが未修正の古いソフトウェア、初期パスワード、一般的なパスワードを使うインターネット接続アカウントや機器を悪用することが多いと説明しています。つまり、攻撃の入口は必ずしも特殊ではなく、公開された管理画面、古いVPN機器、弱い認証、直接インターネットに接続されたOT・ICS資産など、基本対策の不足から生まれる可能性があります。

日本企業にとっても、この論点は無関係ではありません。Censysの調査として、2025年6月時点でTridium Niagara、Red Lion、Unitronics、Orpak SiteOmatといった機器・システムのインターネット露出が確認されており、Tridium Niagaraに関する露出増加の多くはドイツ、スウェーデン、日本に見られると紹介されています。これは、日本国内でもビル管理、設備管理、製造、インフラ運用に関わるシステムが、意図せず外部から見える状態になっている可能性を示します。防衛関連企業だけでなく、OT・ICSを扱う組織は、自社の外部公開資産を早急に確認する必要があります。

攻撃手法は「弱い入口」から入り、内部で権限を広げる流れが想定されています

元記事では、イラン関連の攻撃者が過去のキャンペーンで使用してきた手法として、自動化されたパスワード推測、パスワードハッシュの解析、メーカー初期パスワードの悪用が挙げられています。これらは、公開インターネットに接続された機器やアカウントを狙う際に使われやすい手法です。攻撃者はShodanのような探索ツールを使い、外部から到達できる機器を見つけたうえで、既知の脆弱性や弱い認証を足がかりに侵入する可能性があります。

侵入後は、ネットワーク分離の弱さやファイアウォール設定の不備を利用して、内部ネットワークへ横展開することが想定されています。記事では、過去のイラン関連グループがRAT、キーロガー、PsExec、Mimikatzのような正規または既知の管理・攻撃ツールを使い、アクセス権限を拡大しながら基本的なエンドポイント防御を回避してきたと説明されています。OTネットワークに対しては、システムエンジニアリングや診断に使われるツールを悪用した侵入も確認されているとされています。

このような攻撃では、単に外部公開システムを塞ぐだけでは十分とは言えません。入口対策に加えて、侵入後の異常な認証、管理ツールの不審な利用、通常とは異なるリモートアクセス、OTネットワークへの接続経路の変化を検知する必要があります。とくにOT・ICS環境では、可用性や安全性への影響を避けるため、通常のIT環境と同じように即時停止や強制隔離を行いにくい場合があります。そのため、事前に許可された管理経路、監視対象ログ、緊急時の切り離し判断、バックアップからの復旧手順を明確にしておくことが重要です。

地政学的緊張に便乗したDDoS、フィッシング、ランサムウェアにも注意が必要です

元記事では、イランとイスラエルをめぐる地政学的緊張の中で、親イラン系ハクティビストや国家支援型と疑われるアクターの活動が増えている点も取り上げられています。米国土安全保障省は、親イラン系ハクティビストによる「低レベルのサイバー攻撃」の可能性に注意を促しており、米政府機関も、停戦や恒久的解決に向けた交渉が続いている状況でも、イラン関連のサイバー攻撃者やハクティビストが悪意ある活動を行う可能性があるとしています。

SOCRadarの報告として、2025年6月12日から27日までの間に、100以上のTelegramチャンネルで600件を超えるサイバー攻撃の主張が確認されたと紹介されています。標的として最も多かったのはイスラエルで441件、次いで米国が69件、インドが34件、ヨルダンが33件、サウジアラビアが13件とされています。特にイスラエルはDDoS攻撃の主な標的とされ、DDoS関連活動の大部分を占めたと報告されています。標的業界としては、政府、防衛、通信、金融サービス、テクノロジー分野が挙げられています。

また、Check Pointは、APT35として追跡されるイラン系国家支援型グループが、イスラエルのジャーナリスト、著名なサイバーセキュリティ専門家、コンピューターサイエンス教授を標的にしたスピアフィッシングを行ったと報告しています。この攻撃では、偽のGmailログインページやGoogle Meet招待を使い、Googleアカウントの認証情報を盗み取ろうとしたとされています。国内組織でも、海外情勢に関連する連絡、会議招待、報道対応、研究協力、取引先確認を装ったメールには注意が必要です。特に、DDoS、認証情報窃取、ランサムウェアは、直接的な標的でなくても巻き込まれる可能性があるため、外部公開資産の棚卸しと認証強化を優先すべきです。

国内組織が直ちに確認すべき点

日本の組織が最初に確認すべきなのは、自社の外部公開資産です。どのIPアドレス、ドメイン、ポート、管理画面、VPN、リモートアクセス機器、OT関連システムがインターネットから到達可能なのかを把握する必要があります。攻撃者は、必ずしも企業名で標的を選ぶとは限らず、Shodanのような探索手段で見つかった「入りやすい機器」を機会的に狙うことがあります。そのため、公開されていること自体に業務上の必要性があるのか、アクセス制限や多要素認証が設定されているのか、古いバージョンのまま放置されていないかを確認することが重要です。

次に、OT・ICS資産の接続状態を確認してください。元記事で示された対策では、OTおよびICS資産を公開インターネットから切り離すこと、OTネットワークへのアクセスにはフィッシング耐性のある多要素認証を実装すること、OTネットワークへのリモートアクセスログを監視することが推奨されています。これは、製造業、ビル管理、エネルギー、物流、医療、自治体施設、重要インフラに関わる組織にとって特に重要です。OT環境では、システム停止が業務や安全に直結するため、侵害後に慌てて対応するのではなく、事前に公開範囲、接続経路、復旧手順を整理しておく必要があります。

最後に、アカウントとバックアップの基本対策を見直してください。初期パスワードや共通パスワードの廃止、多要素認証の導入、パッチ適用、リモートアクセスログの監視、システムとデータのバックアップは、今回の注意喚起で繰り返し重要視されている要素です。特にランサムウェアやDDoSへの備えとして、バックアップが取得されているだけでなく、実際に復元できるか、復旧時に必要な権限や手順が整理されているかまで確認する必要があります。攻撃者の活動が地政学的な緊張に合わせて増減する以上、ニュースが出た時だけの一時的な対応ではなく、外部公開資産管理、認証強化、ログ監視、復旧訓練を継続的な運用として定着させることが求められます。

参考文献・記事一覧

投稿者プロフィール

CyberCrew(サイバークルー)
CyberCrew(サイバークルー)
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPNCisco Cybersecurity SpecialistCEH MasterCEH Practical
Cyber Security Professional CertificateOSCPOSCP+CPENTOSWP
eCPPTeMAPTCRTSSOC-100PEN-100
HTB Offshore Penetration Tester(Level 3)

新着コラム

コラム カテゴリー

新着サイバーニュース

サイバーニュース カテゴリー


Page Top