脅威情報: イランに関連するサイバー リスクの拡大 (6月30日更新）

エグゼクティブ サマリー

イランが関与する最近の紛争、特にイスラエルや米国との軍事的関与で、サイバー脅威への波及リスクが著しく高まっています。従来の戦いの場がデジタルの領域にも拡大しているのです。

イランによるサイバー攻撃が劇的に増加することは、まだ確認されていません。しかし、緊張関係のさらなる拡大は、国家が支援するグループと独立したハクティビストによるサイバー活動の急増として現れる可能性があります。その目的は、敵を混乱させ、情報を収集し、敵に影響を与えることです。イランの脅威グループは、官民を問わず世界中の企業の重要インフラや機密産業を標的にしてきた歴史があり、こうした攻撃は広範囲に影響を及ぼす可能性があります。

過去2年間、Unit 42 では、イランの支援を受けたグループやハクティビストが、以下のような活動を行うなど、国際的にサイバー活動を拡大していることを確認しています。

• 生成 AI を機会的に活用した、ソーシャル エンジニアリングとインフルエンス オペレーション(影響力工作)
• 破壊的な攻撃と地政学的な出来事の明示的な繋がり

これら活動はグループが歴史的に行ってきた活動に追加されるかたちで登場したものです。イスラエルと米国に関わる最近の出来事を背景に、こうした活動がさらに活発化することが予測されています。グループが歴史的に行ってきた活動には以下があります。

• 破壊的攻撃
• ウェブサイト改ざん
• 分散型サービス拒否 (DDoS )攻撃
• データ窃取やワイパー攻撃は、以前にUnit 42が確認した攻撃を彷彿されるものであり、これはイスラエルの教育・技術セクターを標的にしたイランのグループによるもの

イランは、中国、ロシア、北朝鮮と並んで、私たちが監視している4大国家アクターのひとつです。イランの国家支援アクターの主な目的は、スパイ活動や混乱を引き起こすことを主な目的としており、これらのグループは、標的を絞ったスピアフィッシング キャンペーンや既知の脆弱性のエクスプロイトなど、さまざまな戦術、技術、手順(TTP)を採用していることが特徴です。観測の具体的な詳細を以下に記します。

• スパイ活動のための秘密インフラ: Unit 42 が特定した最近のケースでは、イランの秘密インフラがドイツのモデル会社になりすまし、サイバースパイ活動を行っている疑いがあることが明らかになりました。これらの作戦は、戦略的な情報収集の目的を示唆するもので、広範な訪問者データを収集するためのWebサイトを展開するものです。
• AI によって強化されたソーシャル エンジニアリング: Unit 42 が行った最近の観察では、イランの脅威グループ(Agent Serpens、別名CharmingKitten)が悪意のあるPDFに生成 AI を使用し、米国の非営利研究組織RANDの文書であるかのように偽装していることが発見されました。このグループは、標的型マルウェアと共にこのPDFを展開しています。
• 継続的な破壊工作: イランの支援を受けた Agonizing Serpens APT グループは、イスラエルの教育およびテクノロジー部門を標的としており、2023年1月から10月にかけて、個人を特定できる情報(PII)や知的財産のような機密データを窃取することを目的に各堂していることが確認されています。これらの攻撃では、システムを破壊し、フォレンジック分析の妨害を目的にワイパー攻撃も展開されました。

現在進行中のイランとの地政学的緊張を背景に、Unit 42 はサイバー脅威活動の可能性がある4つの主要分野を特定しました。

• イラン国家支援脅威アクター: 近い将来、イランの国家支援を受けたハッカーたちは、外交官を狙ったスピアフィッシング メールから、米国と利害関係のある組織を標的にした破壊的なワイパーマルウェアまで、標的型攻撃を活用する可能性が高いとされています。
• ハクティビスト: イランを支援するハクティビストたちは、今後も国内外を問わず、米国を拠点とする利益を標的とした破壊的攻撃や影響力活動を続けることが見込まれています。これには、インターネット アクセスを妨害し、ソーシャル メディア プラットフォームの運営に影響を与えるDDoS攻撃も含まれます。
• サイバー犯罪グループ: これらのグループは、世界的な不確実性を悪用してフィッシング攻撃キャンペーンを展開し、世界的な出来事を悪意のある電子メールや添付ファイルのテーマとして利用する可能性があります。
• その他の国家支援アクター: 他の国家の支援を受けた脅威アクターが、自分たちの利益を促進するために出来事を利用する可能性があります。こうした攻撃では、イランではないどこかの国のアクターが、あたかもイランから発信されたかのように偽装する偽旗作戦が行われることがあります。例えば、ロシアが 2019年にイランのサイバーインフラをハイジャックし、すでにイランの脅威アクターによって侵害されているネットワークに便乗した活動がこれに該当します。

パロアルトネットワークスのお客様は、以下の製品をご利用いただくことでこれらの脅威アクターの活動から組織を保護し、そのリスクを軽減することができます。

• Advanced Threat Prevention を搭載した次世代ファイアウォール
• Cortex XDR、XSIAM および Cortex Cloud

Unit 42 インシデント レスポンスチームは、お客様のリスクを低減するために、侵害を受けた際の支援だけでなくプロアクティブな評価を行うこともできます。

サイバー攻撃の現在の範囲

Unit 42は、Serpens(へび座)という星座名の下、イランの国家に支援されたさまざまなアクターを追跡しています。これらのグループは、今後数週間のうちに活動を活発化またはエスカレートさせる可能性があります。

国家が支援するイランのサイバー技術は、政治的メッセージ(しばしば破壊的、心理的な戦術を伴う)を投影し、増幅するために用いられることが多いです。このような企ては、地域的なターゲット(イスラエルなど)だけでなく、価値の高いターゲット(政治家、重要な意思決定者、その他の直接関与する団体など)にも焦点を当てる可能性が高いとされます。

国家が支援するキャンペーンでは、標的組織のサプライチェーン、重要インフラ、ベンダーやプロバイダーがターゲットになることも考えられます。

すでに報告されているサイバー攻撃の大半は、意図的なサービス妨害(DoS)攻撃です。ハクティビストやプロキシアクターなどのサードパーティー攻撃者は通常、どちらか一方を支持し、反対側に悪影響を与えたり影響を与えたりすることを目的としています。

2025年6月22日現在、120のハクティビスト グループが活動していると言われています。また、その他の公的な報告によれば、サイバー犯罪グループと国家が支援するプロキシ グループの両方が活動しているとされています。

DDoS攻撃が最も多く報告されている攻撃手法とされ、破壊的攻撃がそれに続いています。これらの事象に関連するデータ ワイパーのような破壊的なマルウェアのサンプルが研究者によって観測されています。破壊的な攻撃には、2025年6月に発生した暗号取引所の侵害による9,000万ドルの資金破壊も含まれます。

その他のデータ侵害および関連するデータ漏えいは、どちらか一方に損害を与えることを目的としているものです。また、オペレーショナル テクノロジー(OT)を標的にしているとの報告もあります。 エネルギー会社やその他の公益事業会社のデータ漏えいもこれらの出来事と直接関連して報告されているため、この2つは時に関連しているとされます。

Unit 42が追跡するイランの脅威グループ

• Agent Serpens (別名: APT42)
  • イスラエルと米国をその主な標的とするスパイ・監視グループであり、反体制派、活動家、ジャーナリスト、その他危険をもたらすとグループやイラン政府に抗議するグループが標的
  • 初期アクセス: 主にスピアフィッシング攻撃(偽のログインページによるクレデンシャル・ハーベスティングを含む)
• Agonizing Serpens (別名: Pink Sandstorm)
  • このグループは、中東の標的に対するスパイ活動、ランサムウェア、破壊的なマルウェア攻撃を行っており、特にイスラエルに対する攻撃にフォーカス
  • 初期アクセス: パスワード攻撃(ブルートフォース攻撃、パスワードスプレー攻撃など)および既知の脆弱性の悪用(Webシェルの展開が続く)
• Boggy Serpens (別名: MuddyWater)
  • イラン政府だけでなく、他の脅威勢力にも窃取したデータとアクセスを提供
  • 初期アクセス: スピア フィッシング攻撃と既知の脆弱性の悪用
• Curious Serpens (別名: Peach Sandstorm)
  • 米国、中東、欧州の航空宇宙、防衛、エネルギー部門をターゲットに2013年から活動しているスパイグループ。C2のためにAzureを含むクラウドインフラを活用している。
  • 初期アクセス： 広範な標的を設定したパスワードスプレー攻撃や、FalsefontやTicklerバックドアを含むカスタムマルウェアを配信するソーシャルエンジニアリングキャンペーンに基づく求人情報。侵入後は、AzureHoundやRoadtoolsなどのツールを使って、Microsoft Entra IDからデータを収集し、ダンプするディスカバリー活動を行うことで知られています。
• Devious Serpens (別名: Imperial Kitten)
  • サプライチェーン キャンペーンの一環として中東のITプロバイダーを標的にすることで知られるスパイグループ
  • 初期アクセス: ソーシャル メディアによるソーシャル エンジニアリング、クレデンシャル スピアフィッシング攻撃と水飲み場攻撃、Webシェルの展開
• Evasive Serpens (別名: APT34)
  • 国家と利害を一致させる広範なターゲットで知られる、活発なスパイグループ
  • 初期アクセス: スピア フィッシング攻撃に大きく依存しているものの、クレデンシャル ハーベスティング キャンペーンや DNS ハイジャックなど、より複雑な攻撃にも関連しています
• Industrial Serpens (別名: Chrono Kitten)
  • 国家の利益に沿う破壊的攻撃 (ランサムウェア、ワイパー型マルウェア、ハッキング＆リーク攻撃など)に関連するイランのプロキシ グループ
  • 初期アクセス: ソーシャル エンジニアリングによる Android スパイウェアの配信、パスワード攻撃(ブルートフォース攻撃、パスワード スプレー攻撃など)、既知の脆弱性の悪用

結論

脅威アクターが使用する戦術が多様であることを考えると、単一のツールではこれらの適応力のある脅威に対して完全な防御を構築することは難しく、多層防御が最も効果的であると考えられます。Unit 42 では、さまざまな手口に対して弾力的な防御を提供することが可能な実績のあるアプローチである、基盤となるセキュリティ ハイジーンに重点を置くことをお勧めしています。

予期される攻撃による被害の軽減にむけて、以下の予防策をお勧めします。

戦術的推奨事項

• 特にWebサイト、仮想プライベート ネットワーク(VPN)ゲートウェイ、クラウド資産など、インターネットに面した資産に関連する脅威シグナルへの対応を可能な限り強化する
• インターネットに面したインフラが、セキュリティ パッチやその他の堅牢化のベストプラクティスで最新であることを確認する
• フィッシング攻撃やソーシャル エンジニアリングの手口について従業員を訓練し、不審な行動を継続的に監視する
• CISA、FBI、国防総省サイバー犯罪センター、NSAは6月30日、共同ファクトシート「イラン人サイバー犯罪者は脆弱な米国ネットワークや関心のある団体を標的にする可能性がある」を発表し、イラン国家に支援された、あるいは関連する脅威行為者による標的型サイバー作戦の可能性に警戒を怠らないよう組織に呼びかけている。

戦略的推奨事項

• デジタルまたは物理的な攻撃により混乱する可能性のあるスタッフや資産に対する事業継続計画を開始または更新する
• 侵害やデータ漏えいのクレームを検証し、対応するため準備する
  • 脅威アクターは、標的を困惑や嫌がらせし、政治的なメッセージを広めることを目的に主張を利用する可能性がある(たとえ真実でなくても)。

地域的な緊張が高まっている期間中、活動は激化し続ける可能性が高いため、潜在的な攻撃に対する警戒を怠らないことが重要とされます。ハクティビストや国家が支援する脅威アクターは日和見主義的であり、潜在的に予期せぬ情報源が標的になる可能性があります。

新たな関連情報が明らかになり次第、本脅威情報は更新されます。

パロアルトネットワークスとUnit 42が提供する支援

パロアルトネットワークスのお客様は、多種の製品の保護とアップデートで、これらの事案に関連する脅威を特定し、防御を構築することができます。

情報漏えいの可能性がある場合、または緊急の案件がある場合は Unit 42インシデント レスポンス チームまでご連絡ください。

• 北米: フリーダイヤル: +1 (866) 486-4842 (866.4.UNIT42)
• 英国: +44.20.3743.3660
• ヨーロッパおよび中東: +31.20.299.3130
• アジア: +65.6983.8730
• 日本: +81.50.1790.0200
• オーストラリア: +61.2.4062.7950
• インド: 00080005045107

次世代ファイアウォールとAdvanced Threat Prevention を備えた Prisma Access

Advanced Threat Prevention には、エクスプロイトをリアルタイムで検出できる機械学習ベースの検出機能が組み込まれています。

Cortex

Cortex XDR、XSIAMおよび Cortex Cloudは、既知の悪意のあるマルウェアの実行を防ぐように設計されています。また、Behavioral Threat Protection と Local Analysis モジュールに基づく機械学習により、未知のマルウェアやその他の悪意のある活動の実行を防止するよう設計されています。