DHSは状況のエスカレーションを告示

　1月3日のソレイマニ氏暗殺の報を受け、複数のセキュリティ専門家が、サイバー報復攻撃について警戒するコメントをSNS等で発信している。DHS（国土安全保障省）は、4日付けでNational Terrorism Advisory System（NTAS）による告示を行った。NTAS告示（Bulletin）では、国民・政府機関・民間企業にテロへの警戒を呼び掛けている。

　告示の概要は以下のとおりだ。


　サイバー攻撃については、不審なメールやネットワークの遅延などに注意し、データのバックアップや二要素認証などセキュリティ対策の実施・見直しについて言及している。

CISAはサイバー空間での警報と注意喚起

　CISA（CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY）の幹部の1人であるChris Krebs氏は、3日のニュースを受け、すぐに自身のTwitter上で「イランに対するTTP（戦術、技法、手続き）を見直しと重要インフラの監視強化」と「サードパーティへのアクセス（サプライチェーン攻撃）監視強化」を指摘している。

　同6日には、CISAが正式にサイバー攻撃や対策に特化した警報を出している。サイバーセキュリティについては、こちらのほうが詳細で、NTASが指摘した対策に加え、過去のイランが関係した攻撃の事例と、そのとき使われた脆弱性や攻撃ベクトルごとの対策と検知方法がまとめられている。イランによるAPTでは、以下の攻撃手法が確認されている。

イランのサイバー攻撃能力は？

　イランのサイバー攻撃能力はどうだろうか。ロシア、中国、イラン、北朝鮮は「ビッグ4」とも呼ばれ、サイバー正規軍を持ち国家支援型サイバー攻撃の多くに関与しているとされる。

　技術レベルの判断は難しいが、イランはかつてStuxnetによって核関連施設を攻撃されている。Stuxnetのような高度な攻撃を経験した国は、防御技術とともに攻撃技術も学習、強化していると思ったほうが良い。前回の米国大統領選挙に関連したサイバー攻撃でも、イランが関与したものが報告されている。


　イランが関与するとされる国家支援型の攻撃キャンペーンでは、APT33、34、35が指摘されている。APT33を分析したFireEyeのレポートでは、米国、サウジアラビア、韓国の航空産業、エネルギー産業を狙った攻撃が目立つとされる。APT33は、産業スパイとして機密データが主な目的と見られているが、APT34は、より政治的な背景が見えるサイバーエスピオナージとして分類される攻撃キャンペーンだ（分析：同前）。

　APT35の最初の活動は2014年とされているが、ここ1、2年でも活動が活発化している。2020年の米国大統領選挙に関連したスピアフィッシングが確認され、2019年に、マイクロソフトが大量の攻撃ドメインを停止させている。観測期間が長いため、標的も米国の軍事、政府機関、大使館、防衛産業、IT、通信事業、エネルギー産業と多岐にわたる。

【次ページ】重要なのは「現実的なリスクは何か」を知ること