• 攻撃者らは最初に行われたハッキングを利用して、データの抜き取りやランサムウェアの使用、恐喝といった追加的な活動を行っていた
• 当局によると、ハッカーグループは、オーストラリアで確認されたものと同じMicrosoft Exchangeの脆弱性を利用していた

ワシントン：17日に米国、英国、豪州の当局により発表された警告書によると、イラン政府と関連のあるハッカーらはランサムウェアを展開しつつ、米国内の広範な標的に対しハッキング活動を行ってきたという。

警告書によると、過去数ヶ月間、イランはハッカーらが修正される前に暴いた脆弱性を活用し、輸送や医療、公衆衛生部門に対して攻撃を行ってきた。攻撃者らは最初に行われたハッキングを利用して、データの抜き取りやランサムウェアの使用、恐喝といった追加的な活動を行っていたと、警告書は記している。当局によると、ハッカーグループは、オーストラリアで確認されたものと同じMicrosoft Exchangeの脆弱性を利用していた。

依然として米国においてランサムウェア攻撃が蔓延しているとはいえ、昨年1年間の重大なハッキング攻撃のほとんどが、イランというよりむしろロシアに拠点を置く犯罪ハッカー組織に起因していたことを考慮すると、今回の警告は注目に値する。

イランによるハッキング活動を注視しているのは政府関係者だけではない。テック企業大手のマイクロソフトは16日、昨年からランサムウェア攻撃を行ってきたイランの6グループを確認していたと発表した。

マイクロソフトによると、6グループの内の1つは、標的と定めた相手にスピア型攻撃を仕掛ける前に、標的と親密な関係を築くために多くの時間と労力を費やしているという。そのハッカーグループは偽の会議への案内状を送ったりインタビュー依頼を行ったりし、また隠れみのとしてワシントンD.C.に拠点を置くシンクタンクの職員になりすますことも多いと、マイクロソフトは伝えた。

ひとたび親密な関係が築かれ、有害なリンクが送られると、イランの攻撃者らは標的にそのリンクをクリックさせようと執拗に迫ってくる。そう語ったのは、マイクロソフト・脅威インテリジェンスセンターのジェームズ・エリオット氏だ。

「そのようなハッカーは非常に厄介な頭痛の種となります。2時間おきに電子メールを送ってくるのですから」。16日に開催された「CYBERWARCON」というサイバーセキュリティーに関する会議の中で、エリオット氏がそのように述べた。

フェイスブックは今年、ハッキングの標的との間に信頼を築き、有害なリンクをクリックさせるために「精巧に作られたインターネット上の架空の人物」を用い、またしばしば軍事会社や航空宇宙企業の採用担当者のふりをしていたイラン人ハッカーらを発見したと発表した。

サイバーセキュリティー企業・Crowdstrikeの研究員らは、彼らと競合企業が昨年から、イランによるそうしたタイプのハッキング活動を確認し始めたと伝えた。

イランによるランサムウェア攻撃は北朝鮮当局が後援する攻撃と違い、諜報活動ほどの収益を生み出すことを目的としていない。偽情報を広め、イスラエルを筆頭とする敵に嫌がらせをし、恥をかかせ、本質的には標的を疲弊させるために行っているのだと、Crowdstrikeの研究員らがCYBERWARCON会議で述べた。

「確かにこうしたハッキング行為では、金銭の要求や国際通貨を要求する専門のリークサイトが使用されますが、実際に収益を生み出すようなしっかりとした努力というものは、全く確認できないのです」と、Crowdstrike・グローバル脅威分析部門のケイト・ブランケンシップ部長が語った。

Crowdstrikeはイランを、そうした新奇で「下等な」サイバー攻撃の仕掛け国であるとみなしている。このタイプの攻撃は、たいていランサムウェアを用いてネットワークを無力化し、情報を盗んでそれをインターネットに公開することを含むが、研究員らはこの手法を「ロック・アンド・リーク」と呼ぶ。より検知しづらく、費用がかからず、そして「ハッキングの事実を否認する余地をよりもたらす」のだと、ブランケンシップ氏は話した。

AP