イラン開戦後のサイバー・インシデント：APT とハクティビストによる攻撃が 245% 増

Cyberattacks Spike 245% in the Two Weeks After the Start of War with Iran

2026/03/18 SecurityBoulevard — 米国とイスラエルによるイランへの爆撃が始まって 2週間が経ったが、北米／ヨーロッパ／アジア・パシフィックの一部地域において、重要インフラや企業を標的とする攻撃が 245% 増加したことを、Akamai Technologies のセキュリティ研究者たちが確認した。これは、親イラン系アクターによる、サイバー脅威拡大の一例である。

Akamai のレポートによると、地政学的な動機を持つハクティビスト・グループは、ロシア／中国などのプロキシ・サービスを利用し、悪用を目的とする数十億規模の接続を試行している。その標的の約 80% は、金融サービス／eコマース／ゲームなどの業界だと指摘されている。

研究者たちは「2026年02月28日に開始された中東の衝突は、旅行／ホスピタリティ／エネルギー分野へ波及している。国家主体やイデオロギーを動機とするハクティビストによる、サイバー犯罪の増加が深刻である」と述べている。

Akamai の調査は、テヘラン空爆直後から拡大しているサイバー攻撃が、米国とイスラエルのみならず、中東同盟国にも広がっていることを示す、複数の分析結果を裏付けるものである。

戦争終結の見通しが立たない中、各国の政府と企業は、脅威の継続的な増加に備える必要があると、Averlon の CEO Sunil Gottumukkala は指摘する。この攻撃が継続するという前提で、それぞれの企業は準備すべきである。具体的には、攻撃対象領域および露出管理を強化し、既知の脆弱性が初期侵入に利用されないようにする必要がある。また、認証情報の悪用を監視するなどの、ID セキュリティの強化も重要である。

民間企業への攻撃拡大

Flashpoint の研究者たちは、ハクティビストが民間企業への攻撃を強めていると報告している。具体例として、米国の医療機器企業 Stryker への Handala によるデータ・ワイプ攻撃に加え、レバノンの MTV チャンネルへの Fatimion Cyber Team による DDoS 攻撃とデータ侵害が実行されている。これらグループは、報道内容の変更を要求し、応じない場合は従業員および政府関係者の個人情報を公開すると脅迫している。

Flashpoint の Kathryn Raines は「攻撃は分散化し、破壊的になっている。正規の管理ツールの悪用が増加し、従来の検知が困難になっている」と指摘する。Handala はマルウェアを使用せず、Microsoft の Intune を悪用し、管理者アカウントを侵害した上でグローバル管理者を作成し、約 8万台のデバイスを 3 時間でワイプしたとされる。

サイバー戦争における非対称戦略

Palo Alto Networks の Unit 42 は、イランの Islamic Revolutionary Guard Corps (IRGC) および Ministry of Intelligence and Security (MOIS) が、戦力差を低コストで補う手段として、サイバー攻撃を活用していると分析している。

Unit 42 は、「カスタム・ワイパー・マルウェアから、正規の管理機能の悪用への移行は、従来の検知防御を無効化する」と指摘する。この戦術の変化は、マルウェア開発能力の不足ではなく、LotL (Living-off-the-Land) 技術の戦略的な優位性に基づくものであり、2023年以降の攻撃は、大規模かつ検知回避志向へと進化している。

米国のサイバー防御体制への懸念

Council on Foreign Relations の Matthew Ferren は、今月に発表された国家サイバーセキュリティ戦略が、わずか 4 ページに過ぎない、きわめて短いものだと指摘している。この戦略は、方針レベルの文書とされるが、制度的な弱体化や人材不足の兆候を示している可能性があると、彼は分析する。

中国のスパイ活動や重要インフラへの侵入、さらには、ランサムウェアなどの継続的脅威に直面する米国は、今回の対イラン戦争によりサイバー攻撃のリスクをさらに高めている。すでにイラン関連グループは、米国のネットワークへの攻撃を示唆しており、政府の防御体制は大きな危機に直面している。

Matthew Ferren は、「これらの課題に対して、政権は表面的にしか対応していない。サイバー脅威に対する政権の取り組みと、対処能力について疑問が生じる。サイバー・セキュリティに関する重要な指導的ポストは空席のままであり、実施責任を担う機関は予算削減と人員の入れ替わりによって混乱している」と指摘している。

地政学的な緊張に伴い急増している、サイバー攻撃の現状について解説する記事です。 最近の APT やハクティビストの戦術は、マルウェアを自作する手法から、 標的の環境の正規の管理ツールを悪用する Living-off-the-Land (LotL) へとシフトしています。具体的には、 Microsoft Intune のような端末管理機能を乗っ取り、 わずか数時間で膨大な数のデバイスを破壊するなどの、 従来の検知を回避する破壊的な攻撃が実行されています。

ここで注意すべきは、攻撃の対象が政府機関だけでなく、 金融／eコマース／医療機器メーカーといった、民間企業へと広範に拡大している点です。 攻撃者たちは、ロシアや中国のプロキシを経由して身元を隠し、 認証情報の窃取や ID セキュリティの隙を突いて侵入を試みています。 これからの防御においては、 既知の脆弱性対策はもちろんのこと、 管理者アカウントの監視強化や、 正規ツールの不自然な挙動をいち早く察知する体制づくりが重要になります。よろしければ、イランでの検索結果も、ご参照ください。