緊迫化するイラン情勢で関連ハクティビストの活動が激化 どう備える?:セキュリティニュースアラート
イラン情勢の緊迫化に伴い、国外ハクティビストが活発化し、サイバー攻撃が急増している。攻撃者たちは高度な攻撃よりはシンプルな攻撃によって被害企業の付け入る隙を刻一刻と狙っている。われわれはどう対策すればいいか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2026年2月28日(現地時間、以下同)に開始された米国とイスラエルによる軍事作戦を契機にイランと関係を持つサイバー勢力の活動が世界規模で活発化している。
この事態を受けて複数のセキュリティベンダーが現状のサイバーリスクや攻撃の実態、企業が取るべき対策を示している。本稿でその詳細を紹介しよう。
イラン情勢緊迫で高まるリスク 暗躍する国外ハクティビストの攻撃手法
Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」は2026年3月4日、イラン情勢の緊迫化に伴い関連サイバー攻撃が急増しているというブリーフを発表した。
軍事作戦以降、イランのインターネット接続率は一時1〜4%まで落ち込んだとされる。通信環境の低下や指揮系統の混乱により、国家関係組織による高度なサイバー作戦は短期的に実行力が低下する可能性があると分析されている。こうした状況の影響で、国内の国家系組織は従来と異なる行動パターンを取る可能性があるという。
対して、国外拠点のハクティビスト集団は活動を強めている。Unit 42は2026年3月初旬時点で約60の集団が作戦を展開していると推定する。親イラン勢力だけでなく、親ロシア系グループなど複数の勢力が攻撃に関与しているとみられる。
観測された攻撃対象には、イスラエルのエネルギー探査企業や、ヨルダンの燃料関連システム、トルコのメディア組織などが含まれる。イスラエルのミサイル防衛システム「アイアンドーム」への侵入を主張する投稿も確認された。インフラ関連組織や政府機関などが標的となる事例が相次いでいる。
この他、モバイル端末を狙うフィッシング作戦も確認された。イスラエルの緊急警報アプリ「RedAlert」を装った「Android」アプリを配布し、端末内の情報を窃取するマルウェアが組み込まれていたという。正規アプリを装ったパッケージを利用することで利用者を欺く手口を採用している。
心理的圧力を狙う活動も確認された。特定のインフルエンサーに脅迫メールを送付し、自宅住所を公開したと主張する行為などが報告されている。ランサムウェア集団が被害企業のロゴをナチスの記号に置き換えて公開するなど、威嚇的な演出を伴う行為も見つかった。中東地域の複数の政府機関や金融機関、空港、通信関連組織を狙ったDDoS攻撃が確認された。攻撃者の多くはSNSや「Telegram」を利用し、侵入成功を主張する投稿を発信している。ただし、こうした主張には誇張が含まれる可能性もあると指摘されている。
Unit 42は、今回のサイバー活動が地政学的対立と密接に結び付いていると分析する。国家組織や準軍事勢力、ハクティビスト、犯罪集団など複数の主体が同時に活動する構図となっており、防御側にとって脅威の範囲が広がっていると警告した。
対策として、組織は基本的なセキュリティ管理を徹底する必要があると同社は指摘する。重要データのオフライン保存や、VPNやクラウドなど外部公開システムの監視強化、フィッシング対策の教育などが有効とされる。通信経路の確認手順や侵害疑惑への対応計画を整備することも重要だ。
イランの脅威アクターは「機会主義的」な攻撃を仕掛ける
現状イランで発生している空爆やインターネット障害を考慮すると、同国からの何らかのサイバーレスポンス(報復)も予想されるという。これはイラン政府による直接的な行動を意味するものではない。イランには、独立かつ同時に活動できるハクティビストや代理グループの大規模なエコシステムが存在する。これらのグループは、しばしばこのような局面で、DDoSキャンペーンやWebサイトの改ざん、あるいは破壊的な侵入工作などで活動を強める傾向がある。
Illumioのゲイリー・バーレット氏(公共部門のCTO《最高技術責任者》)は、重要インフラの所有者や運用者に対し「イランに関連するサイバー活動は、最先端というよりもはるかに『機会主義的』(付け入る隙を狙うもの)だ。彼らは認証情報や、インターネットに露出している機器、侵入が容易な機器、インターネットに接続されたデバイスのデフォルトパスワード、修正パッチが当たっていない既知の脆弱(ぜいじゃく)性を狙う傾向がある」と警鐘を鳴らしている。
「国内の圧力を受けている状況であっても、イラン関連の脅威アクターは『たった一つの弱点』を見つければいいだけだ。組織に依然として露出したシステムや脆弱な認証情報、不十分なセグメンテーションがあるなら、サイバー空間は彼らにとって極めて実行可能な『反撃』の手段であり続けるだろう」(バーレット氏)
こうした攻撃に対してバーレット氏は、基本事項を徹底しつつ通常よりも少し警戒を強めるべきだと主張する。パッチの適用状況を確認し、デフォルトパスワードを排除、MFAを強化した上で、ログ記録とアラートによって細心の注意を払ってほしい。
情勢は流動的であり、サイバー活動の拡大が続く可能性がある。各組織は最新の脅威情報を継続的に確認し、防御体制を維持する必要がある。
関連記事
Claude Codeに重大な脆弱性 設定ファイル経由でRCEやAPIキー窃取の恐れ
Check PointはClaude Codeに重大な脆弱性があり、不正なリポジトリー設定を開くだけで遠隔コード実行やAPIキー窃取が可能だったと公表した。修正は完了しているが、AI開発基盤の供給網に新たなリスクが浮上している。
「VPNをやめれば安全」というほど簡単じゃない 真の「脱」を達成するには
国内のランサムウェア被害の半数以上で侵入口となっているVPNは本当に“悪者”なのでしょうか。多くの企業が「脱VPN」を掲げていますが、ただ「脱」するだけでは問題は解決しません。筆者が考える有効な対策をお伝えします。
悪いのは本当にVPN? 日本医科大武蔵小杉病院のランサムウェア事件をダークWebから解明
日本医科大学武蔵小杉病院で2026年2月9日、ランサムウェア被害が発生。患者約1万人の個人情報が流出した。そして攻撃の初期侵入口はVPNだった。なぜVPNをきっかけにした攻撃は減らないのか。原因とあるべき対策を掘り下げる。
PCパーツでひともうけ? バブル到来も筆者が嫌な予感がするワケ
メモリやストレージの急激な価格高騰と供給不足が発生しています。今後、PCパーツが思わぬ財産として取引される可能性がある今、直近に起きたインシデントから筆者が抱いた一抹の不安とは。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 知らない番号でも一瞬で正体判明? 警察庁推奨アプリの実力を検証
- 生成AIで消えるのは仕事、それとも新人枠? 800職種のデータから分かったこと
- Windows RDSにゼロデイ脆弱性 悪用コードが22万ドルで闇市場に流通
- もはやAIは内部脅威? 企業の73%が「最大リスク」と回答
- 政府職員向けAI基盤「源内」、18万人対象の実証開始 選定された国産LLMは?
- 「ExcelのためのChatGPT」ついに登場 GPT-5.4で実用レベルに?
- ZIPファイルの“ちょっとした細工”で検知停止 EDRも見逃す可能性
- その事例、本当に出して大丈夫? “対策を見せたい欲”が招く逆効果
- M365版「Cowork」登場 Anthropicとの連携が生んだ「新しい仕事の進め方」
- 本職プログラマーから見た素人のバイブコーディングのリアル AIビジネス活用の現在地
ITmediaはアイティメディア株式会社の登録商標です。