イランからのサイバー攻撃に備える：この数年の攻撃活動と心理操作を分析

Report: Iranian hackers are trying to create a psychological war in cyberspace

2025/06/24 nextgov — 全集にイランとイスラエルの緊張が頂点に達したことを受け、テヘランと連携するハッカーによるサイバー攻撃に備えるよう、当局は国民に対して警告を発した。米国政府機関や専門家たちは、世界各地で長年にわたり重要インフラ基盤の破壊を試行してきた、イランによるサイバー侵入の事例を踏まえ、サイバー空間における脅威に焦点を当てた声明を述べている。

しかし、6月24日 (火) に発表された調査結果によると、これまでほとんど気づかれずに、イラン由来の組織が新たな侵害アプローチをとっているという。脅威情報会社 DomainTools によると、2023年末に米国の多数の水道システムの表示を改竄して話題を呼んだ CyberAv3ngers は、技術的な侵入から心理的操作へと、その活動をシフトしているという。

こうした動きが示すのは、イランの国家サイバー戦略が、インフラの混乱を狙うのと同等に、オンライン上での世論形成に重点を置いていることだ。CyberAv3ngers が最も注目を集めたキャンペーンは、2023年10月にイスラエルの Dorad 発電所に侵入したとされる攻撃だが、実際には被害は発生していないと、DomainTools は断定している。Web サイト・ドメインとインターネット・メタデータを分析し、サイバー・セキュリティの脅威情報を提供する同社によると、この計画は一部のメディアを欺き、脅威監視フォーラムで大きな話題を呼んだという。

しかし、この欺瞞こそが目的だった。侵入を仕掛けた上で、見せかけの攻撃を仕掛けることで、デジタル破壊工作員およびプロパガンダ活動の両面で、イラン政権が支援する工作員へと、同グループは変貌を遂げた。

サイバー空間を利用した影響力行使キャンペーンの多くは、既知のイラン脅威グループ間で連携して行われているが、DomainTools による最近の CyberAv3ngers の活動分析は、心理作戦と技術的な標的攻撃の緊密な統合を示唆している。

このハッキング集団は、2023年9月にオンライン投稿を開始している。話は 2020年に遡るが、これまで散発的に使用されていた、身元不明のサイバー攻撃の宣言で使用された名前を、このグループが復活させたことになる。

イスラエルでハマスが虐殺された翌日となる、2023年10月8日に、この集団は Dorad 発電所へのハッキングを Telegram で宣言し、侵入したシステムとコントロール・パネルのスクリーンショットと思われる画像を共有した。

しかし、DomainToolsの調査によると、これらの画像は Moses Staff と呼ばれるイランの別のサイバー部隊が、2022年にリークした情報から切り取られたものだという。その後に、リブランドされ、新たなフェイク侵入の証拠として提示されたことが判明した。

DomainTools によると、画像に関連付けられたメタデータには、最近のアクセスを示す証拠はなく、主張を裏付ける技術的なフォレンジック調査も公開されていない。唯一確認された活動は、Dorad 発電所の一般向け Web サイトに対する一時的なサービス拒否攻撃であった。このサービス拒否攻撃は、ボット・トラフィックにより、Web サイトを過負荷状態にして、一時的なシャットダウンに追い込むものだった。

Dorad への侵入という幻想を強めたい CyberAv3ngers は、”Advice for Victims” というタイトルで、イスラエルのインフラに関する文書を改竄して公開した。

DomainTools の報告書は、「これはパフォーマンスだった。しかし、恐怖心を煽り、国民の信頼を失墜させるために調整されたものだった。CyberAv3ngers は、単にシステムに侵入するだけではなく、心理を操っている」と付け加えている。

CyberAv3ngers は、心理的支配を狙ったブランド・アイデンティティを構築しているようだ。DomainTools は、このハッキング・グループに関連する、３つのドメイン名の登録を、6月9日まで遡って追跡した。DomainTools によると、それらのドメインはコンテンツをホストしておらず、Command and Control (C2) やマルウェア配信のためのインフラも有していなかったという。しかし、6月23日 (月) の夜に発表された、イスラエルとイランの間の不安定な停戦合意の行方次第では、状況が変わる可能性がある。

DomainTools は、完全なプロパガンダ装置へと向けて、このグループはサイバー活動を洗練させている。彼らのアプローチは、単にシステムに侵入するだけではなく、それらの侵入をめぐる言論をコントロールすることだ。つまり、海外の聴衆と国内の同調者の両方へ向けたパフォーマンスへと、それぞれの活動を変容させている」と述べている。

攻撃が本格化すると

Cyber​​Av3ngers は、実戦的なハッキング能力を発揮している。2023年11月から 2024年4月の間に、このグループは、少なくとも 29件の侵入に関与していたことが確認されている。その標的は、米国の産業用制御システムおよび、市営水道施設／エネルギー・ネットワーク／カメラシステムなどの OT 環境である。

最も注目を集めた事件の一つは、ペンシルベニア州アリキッパで発生した。同市の水道局が使用する Unitronics の PLC (programmable logic controller) が、反イスラエルのスローガンで改竄され、部分的に動作不能に陥った。同様の攻撃が、米国の公益事業や燃料管理プラットフォームにも続いた。DomainTools によると、これらの攻撃は、標的のシステムへの永続的なアクセスを可能にする、Linux ベースのカスタム・マルウェア・ツールにより実行されたという。

なお、上記の Unitronics は、イスラエルの産業オートメーション企業である。アリキッパ市水道局の占拠された水道システムのディスプレイには、「イスラエル製と謳われている、すべてのデバイスは、Cyber​​Av3ngers の合法的な標的だ」と表示されていた。

2024年2月に米財務省は、イラン革命防衛隊サイバー電子司令部の司令官と、これらの水道ハッキングに関与したとされる５人の職員に制裁を科した。そこから示唆されるのは、テヘランの中央サイバー・オフィスと Cyber​​Av3ngers の、強いつながりが維持されていることだ。

制裁対象者の中には、イランのサイバー作戦高官である Mahdi Lashgarian も含まれていた。彼は、”Mr. Soll” という偽名で活動していると疑われているが、公式には確認されていない。この人物は、Cyber​​Av3ngers のオンライン人格と強く結び付けられている。

DomainTools によると、2025年5月に、WeRedEvilsOG と名乗るイスラエルのハクティビスト集団が、Mahdi Lashgarian のパーソナル・アカウントに侵入し、身元情報の一部 (認証情報や IRGC 関連の通信データとされる) を漏洩させたと主張している。漏洩の真偽は未確認だが、産業制御システムへのハッキングに関与したイラン当局者への報復攻撃として、名前が挙がる最初の事例となった。

2025年6月の半ばに米国務省は、”Mr. Soll” の身元を特定する情報に対して、最大で $10 million の報奨金を提供すると発表した。国務省は、「Mr. Soll は Cyber​​Av3ngers と関連する。イラン革命防衛隊サイバー電子軍 (IRGC-CEC) のために、彼は米国の重要インフラに対して、一連の悪意のサイバー活動を開始した」と述べている。

6月22日のバンカーバスター以降において、米国が報復に警戒するのは当然のことです。しかし、フェイク情報を巧妙に使って社会不安を煽るというアプローチは、従来のセキュリティ対策では対応しきれない部分があるとも思えます。よろしければ、APT + Iran で検索も、ご参照ください。