イランによるサイバー脅威の進化：MBRワイパーからアイデンティティの兵器化まで

最近のイランの脅威アクターによるものとされるサイバー攻撃は、単なるネットワークの破壊活動にとどまりません。この種の攻撃は、単発の破壊工作ではなく、イランが依存する非対称な報復手段や歴史的な代理戦争戦略によって決定づけられる、より広い文脈の中に位置づけられます。イランに連携する脅威アクターは、戦略的な均衡を保つ手段（イコライザー）としてサイバースペースをますます活用するようになっています。

イスラム革命防衛隊（IRGC）や情報省（MOIS）にとって、サイバー作戦は地理的な境界を越えることなく、低コストかつ大きな影響力をもつ報復メカニズムを提供します。このような環境において、従来のマルウェアの展開と新たなアイデンティティの悪用が交差することで、グローバル組織は増大するサイバーリスクに直面しています。独自開発のワイパーマルウェアから正規の管理機能の悪用への移行は、これまで企業ネットワークを保護してきた重要な検知のガードレールを無効化しています。

カスタムバイナリからアイデンティティの悪用へ

イランのサイバーアクターの現在の戦術的な変化は、マルウェア開発能力の欠如によるものではなく、むしろ環境寄生型（Living-off-the-Land：LotL）の手法が持つ戦略的優位性によるものです。破壊を目的とした作戦は2023年以降変化を遂げており、専用ツールに大きく依存する代わりに、現在採用されている手法は、より大規模で検知回避能力の向上を目指す大きなトレンドの一部となっています。

最近のワイパーによるインシデントでは、Void Manticore（Handala）というペルソナの下で活動する脅威アクターは、ゼロデイワイパーや従来のコンパイルされたマルウェアを展開しませんでした。その代わりに、攻撃者は高い特権を持つアイデンティティを侵害し、正規のリモートワイプコマンドを世界中の20万台以上のデバイスにプッシュしました。

カスタムバイナリから管理機能の悪用への移行は、現在の動向を説明するのに役立ちます。この文脈において、イランの持続的標的型攻撃（APT）グループは、企業の管理ツールを単なるITインフラとしてではなく、より広範な破壊的枠組みの中で兵器化可能な資産として見なす傾向を強めているようです。この違いは、イランの国家に連携するアクターが、モバイルデバイス管理（MDM）プラットフォームを管理ツールとしてではなく、従来のエンドポイントでの検知と対応（EDR）のテレメトリをバイパスする、影響力の高い攻撃ベクトルとして認識していることを理解する上で極めて重要です。

エスカレーションの梯子を上る

すでに2012年および2016年に、イランのアクターは地域全体で大規模な破壊工作を開始していました。彼らが認識する地政学的な軽視に対するサイバー報復の歴史をたどると、IRGCやMOISに関連するグループにおいて、過去10年間にわたり能力と意図の明確なエスカレーションのパターンが見て取れます。

鈍器としてのツール（2016年～2019年）

この期間、Curious Serpens（APT33、Elfin）やEvasive Serpens（APT34、OilRig）などの脅威アクターグループは、目立ちやすいディスク消去マルウェアを使用してITインフラを標的にしました。

• Shamoonの復活: 2012年の最初の出現に続き、中東の組織に対してShamoon 2およびShamoon 3が展開されました。これらの攻撃は、初期アクセスを得るためにスピアフィッシングを利用し、最終的にはEldos RawDiskドライバに依存してWindows APIをバイパスし、マスターブートレコード（MBR）を上書きしました。
• ZeroCleareとDustman: エネルギーや産業セクターに対して集中的に展開されたZeroCleareやその後継であるDustmanなどのワイパーは、破壊的な効果をもたらすために改ざんされた正規のドライバに依存するという点で、Shamoonと同様の手法を取っていました。

この時代、イランのアクターはステルス性よりも目に見える形での報復を優先していました。彼らのサイバー攻撃は力を誇示し、業務の停止を最大化するものでした。

ランサムウェアという煙幕：もっともらしい否認とサプライチェーンの侵害（2020年～2022年）

監視が厳しくなるにつれ、イランの脅威アクターは、もっともらしい否認（Plausible Deniability）を導入するために作戦のプレイブックを適応させました。戦略的な焦点は、公然たる国家支援による破壊工作から、金銭的動機に基づくサイバー犯罪を模倣することへとシフトしました。この戦術的転換は、主に脅威アクターグループであるAgonizing Serpens（Agrius）が主導しました。

• Agonizing Serpensのワイパースイート（ApostleとFantasy）: 従来のスピアフィッシングに依存するのではなく、Agonizing Serpensは頻繁に、外部公開されたWebアプリケーションの既知の1デイ脆弱性を悪用して、カスタムのWebシェルをドロップしました。初期アクセスが確立されると、同グループはスパイ活動と恐喝の境界を曖昧にするように設計されたペイロードを展開しました。
• Apostleの進化: 当初はランサムウェア攻撃を装った純粋なワイパーとして観測されていましたが、Apostleの初期バージョンには実際にファイルを復号する機能がなく、データ破壊が主な目的であることを示していました。しかし、その後の亜種は、実際のランサムウェアとして機能するように修正（パッチ）されました。これにより、防御側はイベントを標準的なサイバー犯罪インシデントとして扱うことを余儀なくされ、アトリビューション（攻撃者の特定）を複雑にし、インシデント対応の取り組みを遅らせました。
• サプライチェーンの悪用: Fantasyワイパーの展開は、Agriusの標的選定手法における重大なエスカレーションを意味していました。信頼されるサードパーティのイスラエルのソフトウェア開発者を侵害することで、脅威アクターはサプライチェーン攻撃を実行し、世界中のさまざまな業界における下流の被害者に影響を与えました。

ランサムウェアのシンジケートを装うことは、国家との連携を隠蔽しつつ、事業の混乱と経済的損害という望ましい結果を達成できるため、イランのサイバーアクターに重要な戦略的優位性をもたらしました。

隠れ蓑としてのハクティビズム：心理戦とクロスプラットフォームの破壊（2023年～2025年）

2023年から2025年にかけて、脅威の状況は再び変化しました。従来のAPTモデルから、国家主導のハクティビストのペルソナが急増する事態へと移行しました。Void ManticoreやHandala Hack Teamなどのグループは、Telegramのようなプラットフォーム上で公然と活動し、より広範な心理戦および情報戦の構成要素として破壊的な攻撃を活用しました。

• BiBi、Hatef、Hamsaワイパー: これらのマルウェアファミリーの出現は、重要な技術的進化、すなわちクロスプラットフォーム機能を浮き彫りにしました。初期のワイパーが厳密にWindowsに特化していたのに対し、脅威アクターはWindows環境向けには.NETベースのHatefワイパーを、Linuxサーバー向けにはBashベースのHamsaおよびBiBiワイパーを展開しました。
• ファイルレベルの破壊: 技術的には、これらの亜種はShamoon時代の複雑なMBRワイピングの手法から脱却しました。その代わりに、対象のファイルをランダムなデータの4096バイトのブロックで上書きするという、迅速かつ再帰的なファイルレベルの破壊を選択しました。
• MultiLayerとBFG Agonizer: 同時に、Agonizing SerpensとBoggy Serpens（別名MuddyWater）の共同展開により、MultiLayerやBFG Agonizerといったモジュール性の高いワイパーが導入されました。これらの作戦では、ペイロードを大規模に配信するために、正規のリモート監視・管理（RMM）ツールが頻繁に悪用されました。

この期間、ワイパーはハイブリッドな脅威モデルの一要素にすぎなくなりました。破壊的な展開は常に積極的なデータの持ち出し（エクスフィルトレーション）と組み合わされ、ハッキングとリークの同時作戦を生み出しました。

アイデンティティ兵器化の時代（2026年以降）

イランの攻撃的なサイバー作戦におけるごく最近の激化は、過去10年間のトレードクラフト（攻撃手法）からの根本的な脱却を示しています。戦略的な動機は一貫していますが、技術的な実行手段は、コンパイルされたカスタムマルウェアの展開から、極めて破壊的な形態の環境寄生型（LotL）へとシフトしました。洗練されたワイパーバイナリでEDRエージェントを回避しようとするのではなく、これらのグループは企業の管理プレーンそのものを標的にしています。

• モバイルデバイス管理（MDM）の悪用: 主な攻撃ベクトルは、MDM/RMMプラットフォームなどのクラウドベースの管理コンソールにアクセスできる、高い特権を持つアイデンティティの侵害に依存しています。
• 組み込みコマンドの悪用: 管理者アクセスを確保すると、脅威アクターは正規の組み込み機能、具体的には組み込みのリモートワイプや工場出荷時リセットのコマンドを悪用します。これらのコマンドを管理対象のテナント全体にブロードキャストすることで、攻撃者は世界中の環境にわたる何十万台もの企業のノートPC、サーバー、およびモバイルデバイス（私物端末の業務利用（BYOD）ハードウェアを含む）を同時にワイプすることができます。
• EDRの死角: 従来のワイパーマルウェアがドロップされず、未知の実行ファイルによる異常なディスク書き込みプロセスも開始されないため、EDRやアンチウイルスプラットフォームは、そのアクティビティをほとんど検知できません。破壊的なコマンドは認証および認可されており、信頼できるベンダーのインフラストラクチャから直接配信されます。

この手法は、これまでにない規模とスピードをもたらします。カスタムのマルウェアファミリーを開発、テスト、およびアップデートするというリソースを要する要件を排除する一方で、標的の業務遂行能力に壊滅的な影響を与えることを保証します。

今後の見通し：変化する戦略的計算

サイバーセキュリティの専門家やネットワーク防御担当者にとって、脅威モデルは大きく変化しました。この進化のタイムラインから得られる主な教訓は、組織のインフラストラクチャの堅牢性は、最も脆弱な管理者の認証情報の強度に左右されるということです。デバイス全体（フリート）の管理やセキュリティ保護に使用されるツールを、脅威アクターが確実に破壊のための手段に変えることができるようになった場合、防御のパラダイムは、純粋にマルウェアの検知に焦点を当てることから、厳格なアイデンティティのレジリエンス（耐性）を強化することへと進化しなければなりません。

国家に連携する脅威アクターにとって、正規のアイデンティティの悪用による業務の妨害は、力を誇示し経済的損害を与えるための極めて効率的かつスケーラブルな方法です。この戦術的進化を理解することで、組織は受動的なマルウェアのハンティングという姿勢から、検証済みのアイデンティティ中心のレジリエンスという姿勢へと移行することができます。

国家に連携するアクターによる管理機能悪用のリスクを軽減するために、セキュリティチームは以下の戦略的対策を実施する必要があります。

• 管理プレーンをTier-0として扱う: クラウドベースの管理プラットフォームは、重要インフラとして分類する必要があります。MDMポリシー、ロールの割り当て、および登録スコープの変更は、ドメインコントローラーの変更と同じく、厳格な変更管理プロセスの対象とするべきです。
• 厳格な条件付きアクセスとゼロトラストを強制する: 管理ポータルへのアクセスは、堅牢な条件付きアクセスポリシーの背後に制限する必要があります。有効な認証情報と多要素認証（MFA）だけではもはや十分ではありません。アクセスには、既知のコンプライアンスに準拠した、登録済みの企業デバイスからの検証も必須とする必要があります。未知のデバイスや異常なIPアドレスの範囲から認証を試みる盗まれた認証情報は、単にMFAのステップアッププロンプトを表示するのではなく、ハードブロック（完全な遮断）のトリガーとなる必要があります。
• 常時特権を排除する: 組織は監査を実施し、常時グローバル管理者のロールを持つアカウントの数を抜本的に削減する必要があります。特権ID管理（PIM）を導入し、管理アクセスがジャストインタイム（JIT）ベースでのみ付与されるように徹底し、承認ワークフローと厳格な時間制限を完備します。
• バックアップの分離と隔離: クラウドテナント自体が侵害される環境では、クラウドに接続されたバックアップも同様の破壊に対して非常に脆弱です。オフラインで隔離された変更不可のバックアップを維持することは、正規の管理機能を悪用したワイプ攻撃に対して組織の生存能力を確保するための不可欠な要件です。