エピック・フューリー作戦後に想定されるイランのサイバー反攻作戦
Following the joint military operation known as Operation Epic Fury, the Tenable Research Special Operations (RSO) team is providing an update regarding potential cyber counteroffensive operations conducted by Iran-linked threat actors.
キーポイント
- 「エピック・フューリー作戦」の後、イランに関連する攻撃者は、重要インフラや防御の弱い標的に対して反攻作戦を開始すると予想されます。
- 復活したアルトゥファン・チームやHANDALAなど、IRGCやMOISを含む組織と提携しているイラン系の脅威グループが深刻度を増しています。
- これらの攻撃者に悪用される可能性のある既知の脆弱性を見直し、パッチを適用することで、DDoSやボットネットの活動が短期的に活発化することに備えましょう。
背景
2026年2月28日、米国とイスラエルはイランに対する一連の軍事作戦「エピック・フューリー作戦」を開始しました。 その結果、イランとつながりのある攻撃者は、米国やイスラエルなどに対してサイバー反攻作戦を展開することが予想されます。 重要インフラ提供者だけでなく、その他の防御の弱い標的もリスクにさらされている可能性が高いです。
分析
ここ数年、イランと関係を持つ脅威グループは、地政学的緊張の高まりとともに、ステルス的なスパイ活動から破壊的・報復的攻撃へとシフトしています。 ワイパーマルウェアやランサムウェアによる攻撃は、攻撃者が欧米諸国を含む重大インフラを標的とするようになったことで、その頻度と破壊力を増しています。
イランの攻撃者との関係
イランの国家が支援するサイバー脅威活動は、APT(Advanced Persistent Threat:高度持続的攻撃)攻撃者から、軍と民間機関の両方につながるハクティビストの前線まで、複数のグループにまたがっています。 これらのグループは、以下の組織のもとで活動しているか、または以下の組織と関係を保っています。
- イスラム革命防衛隊(IRGC): イランの正規軍とは別の並列軍
- IRGC情報機関(IRGC-IO): IRGC内の諜報部門で、監視と防諜に重点を置く
- IRGCサイバー電子司令部(IRGC-CEC): IRGCのサイバー戦争専門部隊
- 情報セキュリティ省(MOIS): イランの民間情報省は、CIAやFBIに似た役割を兼ね備えている
| グループ | 別名 | 所属 | オペレーション・フォーカス |
|---|---|---|---|
| Banished Kitten | Void Manticore, Red Sandstorm, Storm-0842, Dune | MOIS | HomeLand Justice、Karma、HANDALA などのハクティビスト風ペルソナを用いて破壊的な活動を行う。 |
| CyberAv3ngers | - | IRGC-CEC | 上下水道システムにおけるオペレーショナルテクノロジー(OT)とPLC(プログラマブルロジックコントローラ)を対象とします。 |
| APT34 | OilRig, Helix Kitten, Hazel Sandstorm, Earth Simnavaz, COBALT GYPSY, Crambus, TA452, Evasive Serpens, ITG13 | MOIS | インターネット公開のインフラを悪用され、エネルギー、テレコミュニケーション、政府を標的にスパイ活動を行います。 |
| MuddyWater | Mango Sandstorm, Static Kitten, Seedworm, Earth Vetala, MERCURY, TEMP.Zagros, TA450 | MOIS | 正規のリモートモニタリング・管理(RMM)ツールを使用し、テレコミュニケーションや政府機関を標的にします。 |
| APT42 | Damselfly, UNC788, Yellow Garuda, CharmingCypress, Educated Manticore, Mint Sandstorm* | IRGC-IO | ソーシャル・エンジニアリングによって、ジャーナリスト、学者、活動家、政策リサーチエンジニアからクレデンシャルを集める。 |
| Cotton Sandstorm | Haywire Kitten, Marnanbridge, NEPTUNIUM | IRGC-CEC | アルトゥファン・チームを含むペルソナの下で、ハッキング&リーク・キャンペーンや影響力作戦を行う。 |
| APT35 | Charming Kitten, Mint Sandstorm*, TA453, ITG18, Newscaster, COBALT ILLUSION, Agent Serpens | IRGC | 政府、防衛、エネルギー関連組織を標的にスパイ活動を行う。 |
| Pioneer Kitten | Fox Kitten, Lemon Sandstorm, UNC757, Parisite, RUBIDIUM, Br0k3r, xplfinder | IRGC | インターネットに接続されたデバイスを悪用される可能性があり、ランサムウェアのアフィリエイトへのアクセスを仲介します。 |
| Agrius | Pink Sandstorm, Agonizing Serpens, AMERICIUM, BlackShadow, Spectral Kitten | MOIS | ランサムウェアに偽装したワイパーマルウェアをイスラエル組織にデプロイメント |
| Imperial Kitten | Tortoiseshell, Crimson Sandstorm, TA456, Yellow Liderc, CURIUM | IRGC | ソーシャル・エンジニアリングを用いてイスラエルの輸送・物流組織を標的にする |
| CyberToufan | - | 不明 | データ窃盗と流出作戦でイスラエル企業を標的に |
* 注: ミント・サンドストームは、APT35とAPT42の両方にまたがる複合レーベルです。
イランのサイバー工作活動に関する最近の報告
2 月 28 日の軍事作戦後、研究者らは、Cotton Sandstorm に関連する ALTOUFAN TEAM ペルソナの再活性化を含む、イラン系攻撃者に関連した探索および準備活動を報告しています。. イラン政府とつながりのあるハッカーが、SNS 上で「今後数時間のうちに大規模なサイバー攻撃を行う」と警告したとの報告もあります。実際に攻撃が成功したかどうかは不明です。サイバーアナリストは、ボットネット活動と分散型サービス妨害攻撃 (DDoS) の増加を想定すべきです。
モニタリング
TenableのRSOは、イランに関連する攻撃者による反攻攻撃に関する新たな脅威インテリジェンスのモニタリングを継続しています。 これらの進展が確認され次第、最新情報を発表します。
影響を受けているシステムの特定
イランの攻撃者はこれまで、インターネット公開のデバイスやアプリケーションの既知の脆弱性をエクスプロイトしてきました。 イランの攻撃者に関連することが判明している脆弱性に対するTenableプラグインのリストは、こちらをご覧ください。
詳細情報
最新のサイバー脅威に関する詳しい議論については、Tenable Connect 上の Tenable Research Special Operations(RSO)チームをご覧ください。
DX 時代のアタックサーフェスのためのサイバーエクスポージャー管理プラットフォーム、Tenable One についてはこちらをご覧ください。
リサーチの特別調査活動
リサーチの特別調査活動(RSO)チームは、Tenableの前方後方支援部門として、重要なビジネス資産に対するリスク管理に必要な分析およびコンテキスト化されたサイバーエクスポージャー・インテリジェンスを顧客に提供しています。 150年以上にわたる専門知識を結集し、世界トップクラスのセキュリティリサーチエンジニアで構成されるこの厳選されたグループは、1つの使命のもとに団結しています。それは、雑音を切り抜け、今まさに出現しつつある最も危険なサイバー脅威に関する重大なインテリジェンスを提供することです。 RSOは、Tenableセキュリティレスポンスチーム、ゼロデイ調査チーム、および意思決定科学オペレーションチームのミッションを統合し、最新の脅威やサイバーエクスポージャーに関するタイムリーで正確かつ実用的な情報を発信しています。
関連記事
Oracle April 2026 Critical Patch Update Addresses 241 CVEs
Oracle addresses 241 CVEs in its second quarterly update of 2026 with 481 patches, including 34 critical updates.
Claude Mythos: Prepare for your board’s cybersecurity questions about the latest AI model from Anthropic
With the Federal Reserve Chairman meeting with bank CEOs to discuss the security implications of Claude Mythos, you can bet that your board of directors will ask you about the impact of the AI model on your cybersecurity strategy. Here’s how to prepare.
Microsoft’s April 2026 Patch Tuesday Addresses 163 CVEs (CVE-2026-32201)
Microsoft addresses 163 CVEs in the April 2026 Patch Tuesday release, including two zero-day vulnerabilities, one of which was exploited in the wild.
- Exposure Management
- Vulnerability Management