.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
これは現在進行中の事態です。以下の分析は、2026 年 3 月 1 日時点の公開情報および過去の脅威インテリジェンスに基づいています。
2026 年 2 月 28 日、米国とイスラエルによる共同軍事攻撃が実行され、イラン国内の複数の拠点が標的になりました。国際メディアは、イランの最高指導者アヤトラ・アリー・ハメネイ師が同攻撃で死亡したことを確認しました。その後の報道によれば、イランは同地域内でのミサイル攻撃を含む報復措置を発動しました。
歴史的に、中東における直接的な軍事的緊張が高まる時期は、国家支援型の攻撃者やイデオロギー的動機を持つ攻撃者によるサイバー活動への懸念の高まりと相関関係にあります。緊張が高まる中、イラン関連の攻撃者は、破壊的かつ心理的効果を目的とした作戦を実行する意思を示してきました。各組織は、この状況に応じて検知、インシデント対応、およびレジリエンス対策を見直すべきです。
Sophos X-Ops Counter Threat Unit (CTU) の研究者は、短期的に機会便乗型かつ破壊的なサイバー活動が発生する可能性が高まっていると評価し、この期間における組織向けのガイダンスを提供します。
評価要約
- 脅威レベル:高
- 主なリスク期間:即時~短期 (数日~数週間)
- 最も可能性の高い活動:破壊的、機会便乗型、または影響力行使を目的とした作戦
- 影響を受ける可能性のある業種:政府機関、重要インフラ、金融サービス、防衛関連の民間企業
脅威環境の背景
複数の政府とセキュリティ研究者により、イラン国家に帰属すると公表された攻撃者は、これまで代理組織やオンライン上のペルソナを介して作戦を実施してきました。これらの組織は、攻撃への関与を主張し、盗んだデータを拡散させ、さらには組織の評判を失墜させたり業務に支障をきたしたりすることを目的としたナラティブ (筋書き) を増幅させてきました。具体例を以下に示します。
- 「HomeLand Justice」というペルソナは、2022 年以降、アルバニア政府機関に対する政治的動機によるワイパー攻撃および「ハック・アンド・リーク」作戦に関与したことが公に確認されています。
- 2026 年 2 月 28 日、イラン情報安全保障省 (MOIS) と関連があるとされるハクティビストのペルソナ「Handla Hack」は、ヨルダンでの攻撃の犯行声明を出し、同地域の他国への脅迫を行いました。このグループは攻撃能力や影響力を誇張する傾向がありますが、データ窃取やワイパー攻撃を実行する能力を有している場合もあります。
情勢が進行するにつれ、代理組織やイデオロギー的動機を持つ主体 (ハクティビスト) が、イスラエルおよび米国関連の軍事/商業/民間施設に対し、サイバー攻撃などの行動を起こす可能性が高まっています。こうした活動には主に以下が含まれます。
- Web サイトの改ざん
- 分散型サービス拒否 (DDoS) 攻撃
- ランサムウェアの展開
- ワイパー型マルウェアの展開
- データ窃取を装ったハック・アンド・リーク攻撃
- 過去のデータ侵害の再利用または拡散
- インターネットに公開されているシステムを標的とした機会便乗型攻撃
- フィッシングやパスワードスプレー攻撃などの認証情報ベースの攻撃
一部のイラン軍・情報機関関連グループは、これまで作戦の成功を誇張してきたものの、有能な攻撃主体であることに変わりはありません。イラン関連の主体に帰属するとされる記録された活動には、データ窃取、ランサムウェアの展開、ワイパー型マルウェア、盗まれた情報の公開が含まれます。これまで報告されている標的には、政府機関、重要インフラ事業者、金融業界の組織が含まれます。
推奨される防御策
Sophos X-Ops (CTU) は、組織全体での警戒強化を推奨します。 主な防御策は以下の通りです。
アイデンティティおよびアクセスの制御
- リモートアクセスおよび特権アカウント全体で多要素認証 (MFA) を強制的に適用する
- パスワードスプレー攻撃や異常な認証活動を監視する
- 特権アクセスを見直し、最小権限の原則を適用する
脅威エクスポージャーの削減
- インターネット接続システムに対し、既知の脆弱性のパッチを適用する
- 外部攻撃対象領域のレビューを実施し、公開サービスを最小限に抑える
- VPN およびリモートアクセスの設定を検証する
検知と対応
- EDR/XDR ソリューションが完全に稼働し、監視されていることを確認する
- フィッシングおよび認証情報悪用キャンペーンに対するアラートのトリアージ (優先度設定) の感度を高める
- クラウド環境およびオンプレミス環境におけるログ記録とテレメトリのカバー範囲を確認する
- 従業員がメール、電話、ソーシャルメディア、メッセージングアプリ経由で受信した不審な要求を報告する仕組みを提供する
レジリエンスと復旧
- オフラインまたはイミュータブル (変更不可) のコピーを含め、バックアップの完全性を検証する
- インシデント対応プレイブックと経営陣への通知ワークフローの見直しを行う
- ランサムウェアや破壊的マルウェアのシナリオに対する事業継続手順を訓練する
組織は、多層防御、検知能力の強化、インシデント対応準備、ユーザー意識の向上を優先すべきです。地政学的動向に関連するサイバー活動は、報道が沈静化した後も長期化する可能性があるため、継続的な監視体制が重要です。
MITRE ATT&CK の観測事項および予測されるテクニック
イラン関連の攻撃者によるものと報じられている過去の活動に基づき、地政学的緊張が高まる局面において、以下の MITRE ATT&CK テクニックが最も関連性が高いと評価されます。
本記事公開時点では、現在のイベントに関連した特定のキャンペーンは確認されていませんが、各組織は以下の動作を監視すべきです。
初期アクセス
- T1566 – フィッシング (スピアフィッシング攻撃による添付ファイルやリンクを含む)
- T1190 – 公開アプリケーションの悪用
- T1133 – 外部リモートサービス (VPN およびリモートアクセス悪用)
認証情報へのアクセス
- T1110 – ブルートフォース攻撃 (パスワードスプレー攻撃を含む)
- T1555 – パスワードストアからの認証情報取得
- T1003 – OS 認証情報のダンプ
常駐化と権限昇格
- T1098 – アカウント操作
- T1055 – プロセスインジェクション
防御回避
- T1562 – 防御機能の無効化
- T1070 – ホストに残された攻撃の痕跡の除去
- T1027 – 難読化された、または圧縮されたファイルおよび情報
コマンドアンドコントロール
- T1071 – アプリケーション層プロトコル
- T1105 – 標的へのツールの持ち込み
- T1573 – 暗号化チャネル
影響
- T1486 - 影響を与えるためのデータ暗号化 (ランサムウェア)
- T1485 – データ破壊 (ワイパー活動)
- T1490 – システム回復の阻害
- T1491 – 改ざん
これまで観察されたキャンペーンでは、認証情報に基づくアクセス、ラテラルムーブメント、破壊的なペイロードの展開が、盗まれたデータの流出や改ざんメッセージなどの情報操作と組み合わされることがよく見られます。
各組織は、これらの手法に関連する動作を特定できるよう、特にアイデンティティインフラ、外部に公開されたサービス、バックアップシステムにおいて、検知および対応の能力を万全に整えておく必要があります。
Sophos X-Ops CTU は、技術的なテレメトリ、オープンソースの報告、パートナーインテリジェンスチャネルにおける動向を引き続き監視しています。サイバー活動に重大な変化が確認された場合は更新情報を公開します。セキュリティ侵害の痕跡 (IOC) については、ソフォスの GitHub をご確認ください。
その他のリソースについては、以下をご参照ください。
- CISA Shields Up:https://www.cisa.gov/shields-up
- イラン脅威概要とアドバイザリ (CISA):https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran
- 脅威レベル上昇時における NCSC が推奨する対策:https://www.ncsc.gov.uk/guidance/actions-to-take-when-the-cyber-threat-is-heightened
- ENISA サイバーレジリエンスガイダンス:https://www.enisa.europa.eu/publications/boosting-your-organisations-cyber-resilience