中東地政学における劇的で危険な一章が、イラン・イスラム共和国、イスラエル、米国を巻き込んだ公然たる紛争の勃発と共に展開している。先週、米軍とイスラエル軍は「ライオンズ・ロア作戦」を発動し、イランの軍事施設および核施設に対する協調軍事攻撃を実施した。 この攻撃はイランの報復を引き起こした。事態は急速に物理的戦域を超え、ペルシャ湾地域全域でのミサイル・ドローン攻撃、イラン支援民兵組織との交戦、中東全域の民間インフラへの深刻な影響へと拡大している。湾岸アラブ諸国からイスラエル、さらにその先まで、地域の主要都市が直接攻撃を受け、エネルギー網・航空交通・外交的安定が損なわれている。
この動的な紛争の中で、サイバー領域は重要な戦線として台頭している。高度な持続的脅威(APT)能力で長年知られるイラン国家関連のサイバー攻撃主体は、より広範な戦略目標の一環として、外国のネットワークや産業用制御システムを日常的に標的にしている。これらの作戦は、特に地政学的緊張が高まった時期に、敵対勢力のインフラや意思決定プロセスを妨害、弱体化、または影響を与えることを目的としている。
重要インフラ事業者は現在、破壊的マルウェア攻撃、諜報活動、インフラ攻撃で知られるイランの脅威主体によるリスク増大に直面している。過去の傾向から、イランは物理的敵対行為をさらに激化させることなく戦略的効果を追求するため、デジタル作戦を戦力増強手段として活用していることが示されている。この紛争の文脈において、防御側は広範なハイブリッド作戦の一環として、機会主義的サイバー活動と国家主導のサイバー活動の双方を予測しなければならない。
本ブログ記事では、激化する紛争がイランのサイバー活動をどのように促進するか、組織が備えるべき脅威の種類、そして物理的戦場とデジタル戦場の境界がますます曖昧になる地政学的戦争の時代に、レジリエンス(回復力)を構築するための実践的な対策について考察します。
イラン関連の脅威アクターの最近の活動
Networks 、この地域の状況を長らくNetworks 、イラン関連の脅威アクターの活動を注意深く追跡するとともに、お客様が常にそれらから保護されるようNetworks 。7月のブログ記事では、12日間戦争として知られる紛争の前段階で、彼らの活動が急増したことを確認しました。当時、参加顧客から送信された匿名化されたテレメトリデータに基づき:
- 攻撃者は運輸業と製造業を優先的に標的にした
- マディウォーターとAPT33は、その期間において最も活発なイラン関連のAPTであった
ここ2週間で私たちが観察したことは以下の通りです。
紛争はまだ初期段階にあり、状況は流動的であるため、決定的な結論を導くには十分なデータが収集されていません。しかし、イラン関連のAPTに関連する活動が体系的に増加していることは既に確認されています。現時点では、製造業と運輸業が最も標的とされています。 なお、中東地域の顧客の多くは依然としてテレメトリ送信プログラムに参加していません。こうしたケースでは、多数のエスカレーションに対処し必要な支援を提供するため、直接連絡を取っています。
以下が当社が検知している脅威アクターです。
マディーウォーター
マディウォーター(APT34、オイルリグ、シードワームとしても追跡)は、イラン情報保安省(MOIS)の代理として活動するとされるイラン国家系脅威アクターである。約10年にわたり活動するマディウォーターは、中東、欧州、アジア、北米の政府機関、通信事業者、エネルギー企業、重要インフラ組織を標的としたサイバー諜報活動で知られる。 同グループは初期アクセス手段として、標的型フィッシング攻撃、侵害された認証情報の悪用、公開アプリケーションの脆弱性攻撃を頻繁に利用し、その後「現地資源活用型(LOAL)手法」や正規管理ツールを用いて検知回避を図る。また、カスタムマルウェアファミリーやリモートアクセスツールを展開し、持続的侵入を維持、情報収集を実施するとともに、地政学的緊張が高まった時期に破壊的作戦を実行する態勢を整えている。
オイルリグ
オイルリグ(別名APT34、ヘリックスキッテン)は、イラン政府が支援する別の脅威グループである。長年にわたり活動するオイルリグは、主に中東地域を中心に、政府機関、金融サービス、通信、防衛関連企業、エネルギー組織を標的としたサイバー諜報活動を実施している。 同グループは初期アクセス手段として、標的型フィッシング攻撃、認証情報収集、インターネット公開アプリケーションの脆弱性悪用を多用し、その後カスタムバックドアやWebシェルを用いて持続的侵入を維持する。OilRigは独自開発マルウェアと「現地資源活用型(LOLT)」手法を融合させることで知られ、PowerShellや正規システムユーティリティを悪用して検知を回避しつつ、長期的な情報収集やネットワーク偵察を継続する。
APT33
APT33(別名エルフィンまたはリファインド・キティン)は、イランの戦略的・軍事的目標を支援する活動で知られるイラン政府系脅威グループである。同グループはこれまで、中東・米国・欧州における航空宇宙、航空、エネルギー、製造業、政府部門を標的にしてきた。 APT33は、サイバー諜報活動と破壊的作戦の両方を行うことで知られており、初期アクセス獲得のためにスピアフィッシング、サプライチェーン侵害、パスワードスプレー攻撃を活用している。
これらの脅威グループに加え、UNC1549脅威アクター(CURIUM/Tortoise Shell/Crimson Sandstormと重複)を注視してきた。当社のテレメトリによれば、2025年下半期において活動量が4番目に高いアクターであった。同グループは防衛、航空宇宙、通信、地方自治体機関を標的とし、その活動はしばしばイランの地政学的優先事項と連動している。
中東における攻撃対象領域
攻撃者が標的組織の境界を突破する方法は数多く存在する。その一つが、被害者環境に存在する脆弱性を悪用することである。以下は、中東地域から受信した匿名化されたテレメトリに基づき、現在監視対象となっている中東組織の状況を示すものである。
概して、我々が観察できる中東地域の組織のサイバーセキュリティ態勢には改善の余地がある。2025年下半期において、2025年に発見された脆弱性でCVSSスコアが「高」または「重大」に分類されたものの割合は61%であり、世界平均の48%を大きく上回っている。
同様に、EPSSスコアを分析すると、比較的高いEPSSスコア(>1%)を持つ脆弱性の割合は約8%であり、2025年下半期末に観測された世界平均4%の2倍に達している。
この地域の企業は、エアギャップ対策(適切に実施されていても、必ずしもそうとは限らない)だけでは十分な保護にならないという事実に留意すべきである。攻撃対象領域を最小化するためには、効率的な脆弱性管理も必要である。
MITRE ATT&CK® TTPsは初期段階の侵入を示唆する
過去2週間に中東で検知した攻撃において確認された、MITRE ATT&CKの主要な攻撃手法は以下の通りです。
MITRE ATT&CK 主要5技術
現在の検知パターンは、攻撃者が依然として作戦の探索・位置付け段階にあることを強く示唆している。デフォルト認証情報の悪用と有効なアカウントの活用が主流であり、ブルートフォース攻撃やスキャンと組み合わさっていることから、攻撃者は信頼されたアクセス権限を悪用して静かに環境をマッピングし、高価値資産を特定し、持続性を確立していることがわかる。これは侵入活動の初期段階の特徴であり、破壊的または破壊的な戦術にエスカレートする前に、ネットワークアーキテクチャ、特権関係、運用上の依存関係を理解することを目的としている。
この段階は極めて重要な機会窓を提供する。攻撃者が内部偵察を完了しアクセス権を固めると、権限昇格、データ窃取、業務妨害といった高度な行動へ移行することが多い。デフォルト認証情報の削除、ID管理の強化、セグメンテーションの検証、認証済み活動の監視を今すぐ実施することで、敵対者の勢いを大幅に阻害できる。この偵察段階で断固たる対応を取る組織は、将来的な攻撃のエスカレーションを防止できる可能性が格段に高まる。
緩和策と提言
1. 脅威活動の激化を反映するため、継続的監視を有効化し、アラートの感度を上げる。
サイバーセキュリティアラートは、継続的に確認・対応される場合にのみ有用です。アクティブモニタリングを強化し(未導入の場合)、イラン関連のAPTグループおよび関連するTTP(戦術・技術・手順)threat intelligence 優先的に監視してください。
OT Arc Nozomi Arc を導入済みの場合、検知した攻撃に対してアラートを発するだけでなくブロックも可能なため、対応時間を短縮できる点にご留意ください。
2.脅威インテリジェンスのシグネチャとアドバイザリを更新する。
現在の状況下では、継続的に更新されるthreat intelligence 必須である。これらは被害者や研究者からなる広範なコミュニティによる実世界の観測結果を集約し、組織が敵対者の行動や新たな戦術を、自組織で遭遇する前に集団的な可視性から把握することを可能にする。標的とされている、または標的となる危険にさらされている全ての方へ:
- リアルタイム脅威フィードが有効になっていることを確認してください
- 新たに公開されたIOC(侵害指標)と脅威アドバイザリを直ちに確認する
- 地域的な脅威グループに関連するOTTTP(戦術・技術・手順)の検知カバレッジを検証する
- 深刻度の高い異常に対するアラート選別の頻度を増加させる
- 最近のネットワークトラフィックと資産テレメトリを対象に、集中的な調査を実施し、サービス障害や安全リスクに発展する前に、低レベルで緩慢な活動を捕捉する
For Nozomi Networks customers specifically, make sure that your Nozomi Networks platform is updated to the current version and that all Threat Intelligence signatures are up to date. The Nozomi Networks Labs team is actively monitoring the current situation and regularly updating detection rules in response to activity in the region.
Nozomi Networks customers and partners can access the most up-to-date information on detections and threat actor activity here. Nozomi Networks Support Portal access is required.
3. 外部からの攻撃対象領域を縮小する。
パッチ未適用の脆弱性や弱点(変更されていないデフォルト認証情報など)は、攻撃者が環境を侵害することを可能にするため、検出された環境に現実的なリスクをもたらします。関連するリスクを最小限に抑えるため、可能な限り変更してください。OT IoT 、基本的なサイバーセキュリティ対策が欠如していることが多く、デフォルトまたは推測しやすい認証情報でインストールされたり、新たな脆弱性を解決するための更新が頻繁に行われない場合があります。 こうした脆弱性を確実に塞ぐ最適な時期は、標的型攻撃が増加する時期の前が一般的ですが、最も緊急性の高い欠陥に対処することが今まさに重要です。 すぐにパッチを適用できないシステムや、認証情報を変更できない状況では、異常な動作や侵害の可能性を示す兆候を検知するための強化された監視を実施してください。
4.OT 産業環境に対するリスクを再評価する。
すべては包括的な可視性から始まります。接続された資産、特にインターネットに面した資産について包括的な露出評価を実施し、ITOT とOT 間の適切なセグメンテーション、IoT 適切な分離を検証します。
5. サイバーセキュリティソリューションを微調整する。
OT 、通常の産業プロトコル動作を適切にベースライン設定し、設定された閾値を超える逸脱がアラートをトリガーするようにすべきである。地政学的緊張が高まった際には、ミュートされたアラートを再確認し、すべての対応可能な情報が表示されることを保証する。最後に、すべてのthreat intelligence 常に更新されていることを確認する。
結論
地政学的緊張が公然たる紛争へとエスカレートする中、サイバー領域はもはや並列の戦場ではなく、現代戦争の統合された構成要素となっている。イランの脅威主体は、戦略的目標を推進するため、諜報活動、妨害活動、心理的衝撃作戦を融合させる意思を歴史的に示してきた。不安定な時期には、こうした作戦がしばしば激化し、直接的な紛争地域をはるかに超えた重要インフラ、エネルギーネットワーク、政府機関、民間産業を標的とする。
防御側にとっての課題は明確である:リスクの高まりを前提とし、露出を減らし、運用上の回復力を強化すること。深いネットワーク可視性、OT強力なセグメンテーション、規律あるアイデンティティ管理、そして十分に検証されたインシデント対応計画を組み合わせた組織こそが、機会主義的な攻撃と組織的な攻撃の両方に耐えうる最善の態勢を整えられる。サイバー空間における備えは任意の選択ではなく、業務継続と国家のレジリエンスの基盤である。
最近観測されたイランの脅威アクター活動に関連するIOCs
- 37.1.213.152
- 184.75.210.206
- 162.0.230.185
Nozomi Networks customers and partners can access the most up-to-date information on detections and threat actor activity here. Nozomi Networks Support Portal access is required.
.webp)
