2025/06/30 TheHackerNews — 米国のサイバー・セキュリティ機関と情報機関が発したのは、イラン政府が支援/関与する脅威アクターによる、潜在的なサイバー攻撃についての共同で警告である。これまでの数ヶ月間において、ハクティビストおよびイラン政府に関連するアクターたちによる活動が増加している。そして、最近の紛争により、さらにエスカレートする可能性があると、それらの機関は述べている。
それらの機関は、「これらのサイバー・アクターは、旧バージョンのソフトウェアや、パッチ未適用の脆弱性 CVE-2020-0199 、あるいは、インターネットに接続されたアカウントやデバイスで使用される、デフォルトもしくは一般的なパスワードを、標的として悪用している」と指摘している。
ただし、CISA/NSA/FBI/Department of Defense Cyber Crime Center (DC3) は、イランに起因する悪意かつ組織的なサイバー活動やキャンペーンの証拠は、現時点において米国内では確認されていないと述べている。
その一方で、それぞれの機関は “警戒の強化” が必要であると強調し、特にイスラエルの研究機関や防衛関連企業と関係のある、Defense Industrial Base (DIB) 企業が高リスクであると述べている。さらに、米国およびイスラエルの組織は、分散型サービス拒否 (DDoS) 攻撃やランサムウェア攻撃の標的となる可能性があると付け加えている。
それらの攻撃者は、産業用制御システム (ICS) 環境において、インターネットに接続された脆弱なデバイスを特定するために、Shodan などの偵察ツールを使用し、攻撃を開始する傾向がある。そして、侵入後には、セグメンテーションの不備やミス・コンフィグのあるファイアウォールを悪用し、ネットワーク内を横断的に移動する。
これまでに、イランのグループは、Remote Access Tool (RAT)/キーロガーに加えて、PsExec /Mimikatz のような正規の管理ユーティリティを悪用し、基本的なエンドポイント防御を回避しながら、権限の昇格を行っている。
過去の攻撃履歴から明らかになっているのは、自動パスワード推測/パスワード・ハッシュ・クラッキング/デフォルト・パスワード悪用といった手法を用いて、インターネットに公開されたデバイスへのアクセスを、イランの脅威アクターたちが得ていたことである。また、システム・エンジニアリングや診断ツールを用いた、Operational Technology (OT) ネットワークへの侵入も確認されている。
イランとイスラエルの間の地政学的緊張の高まりを受け、親イランのハクティビストによる “低レベルのサイバー攻撃” の可能性について、Department of Homeland Security (DHS) が警戒を呼びかける速報を発出したが、その数日後に、いくつかのインシデントが発生しているという。
先週に Check Point は、Advanced Persistent Threat (APT) 35 として追跡されているイランの国家支援型ハッカー・グループが、イスラエルのジャーナリスト/サイバー・セキュリティ専門家/コンピュータ・サイエンスの教授たちを標的として、スピアフィッシング攻撃を行っていたと発表した。この攻撃では、偽の Gmail ログイン・ページや Google Meet の招待状を介して、Google アカウントの認証情報が詐取されたようだ。
ユーザー組織に対して推奨されるのは、以下の対応である:
- OT/ICS 資産の特定と、それらのパブリック・インターネットからの切断。
- デバイス/アカウントの保護のための、強力かつ一意のパスワードの使用/脆弱なパスワードとデフォルトのパスワードの変更/多要素認証 (MFA) の導入を実施する。
- 外部ネットワークから OT ネットワークへの安全なアクセスのために、フィッシング対策を組み込んだ MFA を実装する。
- 既知のセキュリティ脆弱性からシステムを保護するため、最新のソフトウェア・パッチを適用する。
- OT ネットワークに対するリモート・アクセスについては、ユーザーのアクセスログを継続的に監視する。
- 不正変更/情報漏洩/制御不能を防止するための、OT プロセスを確立する。
- 復旧を迅速に行うため、システムとデータの完全なバックアップを実施する。
上記の実用的なアプローチのうちの、何から始めるべきかと迷う組織であれば、外部からの攻撃対象領域となる、露出するシステム/開いているポート/稼働中の旧サービスの確認することが有効である。
また、CISA のサイバー衛生プログラムや、Nmap などの OSS スキャナーは、攻撃者に先んじてリスクを特定する上で有効なツールである。さらに、MITRE ATT&CK フレームワークをベースとする防御策の導入により、脅威アクターたちの現実的な戦術に応じた対策に、優先順位を付けていけるようになる。
イランが関与する可能性のあるサイバー攻撃について、CISA/NSA/FBI などの機関が注意喚起を行っています。OT 環境に偏在すると思われる、古いソフトウェアや脆弱なパスワードなどが狙われる可能性について、この記事は指摘しています。よろしければ Iran + APT で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.