イラン革命防衛隊、Microsoft、Google、Amazonなど米国IT企業を合法的な標的と認定、物理的・サイバー的に破壊/攻撃を実施

インテリジェンス

投稿日時: 更新日時:

イラン革命防衛隊、Microsoft、Google、Amazonなど米国IT企業を合法的な標的と認定、物理的・サイバー的に破壊/攻撃を実施

2026年2月28日、米国およびイスラエル主導によるイランへの大規模な軍事作戦「Operation Epic Fury(イスラエル側の作戦名:Operation Roaring Lion)」が開始されて以来、中東全域における紛争は従来の物理的な軍事衝突の枠を超え、重要インフラおよび民間テクノロジー企業を巻き込む未曾有のハイブリッド戦へと発展しています。

この作戦の初期段階において、イランの最高指導者を含む同国指導部が排除されたことにより、イラン側は国家の存亡を賭けた報復措置に出ました。

特筆すべきは、イラン革命防衛隊(IRGC)および国家情報省(MOIS)の支援を受ける高度な国家支援型サイバーグループが、標的を米国の民間IT企業、医療インフラ、およびクラウド・データセンターへと劇的にシフトさせている点です。

このパラダイムシフトを決定づける事象として、2026年3月31日、IRGCは国営メディアを通じ、米国を拠点とする主要IT企業18社を「合法的な軍事標的」と見なし、同年4月1日午後8時(テヘラン時間)をもって、これら企業の関連施設を物理的およびサイバー空間の両面で破壊するとの前例のない警告を発しました。これは、データ駆動型兵器、AI、クラウドインフラを提供する民間テクノロジー企業が、事実上「米国の軍事インフラの延長線上」にあると敵対国から認識されていることを示唆しています。

本レポートでは、米国サイバー軍、CISA、FBI等の公式データや最前線の脅威インテリジェンスに基づき、イランが展開する最新のサイバー攻撃手口(TTPs)と、企業が直ちに講じるべきサイバー防衛の最適解を明らかにします。

【エグゼクティブ・サマリー:本稿のポイント】

  • 2026年2月末の「Operation Epic Fury」発動以降、イランのサイバー攻撃は従来の政府・軍事機関から、米国の民間IT企業(クラウド、データセンター、医療インフラ)へと標的を劇的にシフトさせています。

  • イラン革命防衛隊(IRGC)はMicrosoft、Google、Amazonなど米国IT企業18社を「合法的な軍事標的」と認定し、4月1日からの物理的・サイバー的破壊を警告しました。

  • 本記事では、Handala等の国家支援ハッカーによるデータ完全破壊(ワイパー攻撃)や、MFA疲労攻撃(プッシュボミング)など高度化する最新手口(TTPs)を徹底解剖します。

  • 米CISAやFBIの公式勧告に基づき、CISOや経営層が直ちに実行すべき防衛策(OT分離、FIDO2移行、エアギャップ・バックアップ)を包括的に解説します。

Operation Epic Fury」とサイバー第一撃のメカニズム

現在のサイバー脅威環境を正確に評価するためには、その起爆剤となった「Operation Epic Fury」の動態を理解することが不可欠です。

キネティック攻撃とサイバー電子戦の同期

2026年2月28日午前1時15分(米国東部時間)、米中央軍(CENTCOM)の指揮下で作戦が開始されました。米軍はB-52戦略爆撃機などを投入し、最初の100時間でイランの弾道ミサイル施設、防空システムなど数千の標的を破壊しました。

しかし、この圧倒的な物理的破壊に先行・同期して行われたのが、US Cyber Command等による「第一撃(First Mover)」としてのサイバーおよび電子戦でした。米軍は非キネティックな手段を用いてイランの通信能力を盲目にし、レーダー網を混乱させました。その結果、イラン国内のインターネット接続は平時の1%〜4%にまで急減し、実質的なブラックアウト(通信遮断)状態が継続しました。

外交的空白とサイバー報復への過度な依存

トランプ米大統領は、作戦の早期終結を示唆し、エネルギー施設への攻撃期限を延長するなどの発言を繰り返しています。一方でイラン側は、完全な戦争終結と賠償を求めて徹底抗戦の構えを崩していません。

物理的なインフラと指揮系統(C2)が破壊されたイランは、国外のプロキシ(代理人)ネットワークや商業用衛星インターネット(Starlink等)を活用した自律的な細胞(セル)として、サイバー空間での報復行動に極端に依存する結果となっています。

イラン革命防衛隊 IRGCによる「合法的な軍事標的」の再定義

IRGCが民間IT企業を軍事標的として認定した背後には、現代戦における情報通信技術(ICT)と人工知能(AI)の軍事転用に対する強い警戒感があります。

イランが標的と見なす主要企業と攻撃論理

以下の表は、IRGCの脅威リストに明記されたとされる主な企業と、イラン側が標的と見なす地政学的・技術的背景の分析です。

企業名 主要セクター イラン側の攻撃論理と脅威の文脈 地域での露出

Microsoft

 

Google (Alphabet)

クラウド / AI / 検索 AI技術およびクラウドが防衛機関のデータ処理や標的選定アルゴリズムに利用されているとの認識。 中東地域の大規模なインフラ展開とデータセンター。
Apple ハードウェア / デバイス モバイルデバイスの位置情報データ網が、要人暗殺のための追跡に利用されているとの疑念。 UAE等における大規模直営店舗と従業員の集積。
Palantir データ分析 / AI 米国防総省等に対し、戦場データ統合システムやAI脅威分析プラットフォームを直接提供している実績。 地域同盟国の軍事・情報機関との密接な関係。
Amazon (AWS) クラウドインフラ 軍事インフラの一部と見なされる。既にUAEやバーレーンのデータセンターが攻撃標的となった実績あり。 地域における中核的なデータホスティング。
Intel / Nvidia 半導体 / AIチップ 軍事用AI演算やドローンの自律制御システムに不可欠な最先端半導体技術の供給源。 中東全域にわたるサプライチェーン。

Tesla / Boeing

 

Lockheed Martin

航空宇宙 / 防衛 / 自律走行 衛星通信網(Starlink等)や無人機技術の提供。Lockheed MartinはDoxxing(個人情報暴露)による直接脅迫の標的となっている。 航空防衛インフラの直接的な提供。

データセンターは現代戦の「最前線の前哨基地」

民間テクノロジー企業のデータセンターは、もはや紛争の傍観者ではありません。CSISの分析によれば、イランはUAE等のAWSデータセンターに対し物理的攻撃を実行し、対する米国・イスラエルもテヘランの銀行関連データセンターを空爆し、イランのオンラインバンキングを機能不全に陥らせました。

高度化するイラン国家支援型サイバーアクターの戦術(TTPs)

イランのサイバー部隊は、従来の諜報活動(エスピオナージ)から、データ破壊(ワイパー攻撃)、心理戦(ドクシング)、金銭的動機を装ったインフラ機能不全化へと目的をシフトさせています。

Handala Hack(MOIS管轄):破壊と心理戦の先兵

米国務省が1000万ドルの懸賞金を提示している「Handala」は、現在最も活発で破壊的な活動を展開しています。2026年3月11日には、米国の巨大医療機器メーカー「Stryker」に対し、20万台以上の従業員デバイスのデータを完全に消去(ワイプ)する攻撃を実行しました。また、防衛企業の技術者の個人情報を特定し、SMSで「48時間以内に退去せよ」と直接脅迫するドクシング(Doxxing)作戦も展開しています。

ランサムウェア・プロキシと「疑似ランサムウェア」

イランのグループは、既存のサイバー犯罪ネットワークに浸透し、アフィリエイトとして活動しています。危険なのは、侵入してネットワークを暗号化するものの、身代金の要求を行わない「純粋な破壊(疑似ランサムウェア)」を目的とした攻撃です。これは、インフラの機能不全化のみを目的としていることを明確に示しています。

非中央集権的なハクティビスト細胞

「The Cyber Islamic Resistance」などの親イラン組織が、DDoS攻撃やWeb改ざんを同期的に展開しています。これらは、より高度な国家ハッカーがSCADA(監視制御システム)などの重要インフラ深部へ侵入するための「煙幕(ノイズ)」として機能していると分析されています。

観測された技術的メカニズムと侵害手法

イランのアクターは、既知の脆弱性の徹底的な悪用や、AIを活用したソーシャルエンジニアリングを駆使しています。

  • エッジデバイスとVPNの脆弱性エクスプロイト: CISAとFBIの勧告によれば、Palo Alto Networks(CVE-2024-3400)、Check Point(CVE-2024-24919)、Citrix、F5などのインターネットに露出したセキュリティデバイスの脆弱性を執拗に狙っています。

  • エンドポイント管理システムの兵器化: Stryker社への攻撃のように、正規のエンドポイント管理ソフトウェア(Microsoft Intune等)の管理者権限を奪取し、それを「兵器化」して全社にデータ破壊スクリプトを展開する手法が確認されています。

  • AIを悪用したフィッシングとヴィッシング: 紛争に関連するテーマを用いた7,000件以上のフィッシングURLが特定されています。また、電話で巧みに多要素認証(MFA)コードを聞き出すヴィッシング(Voice Phishing)も急増しています。

CISA・FBIによる緊急サイバー防衛指令と推奨緩和策

イランの脅威に直面する米国のIT企業および重要インフラ事業者に対し、CISA、FBI、DC3、NSA等は緊急の緩和策を講じるよう強く警告しています。

エンドポイント管理システム(Intune等)の厳格な堅牢化

  • 最小特権の原則(RBAC)の適用: 管理者が日常業務を遂行するために必要な最小限の権限のみを付与する。

  • フィッシング耐性のあるMFAの強制: SMSベースのMFAではなく、FIDO2セキュリティキー等のフィッシング耐性を持つMFAを導入する。

  • マルチ管理者承認(Multi Admin Approval)の必須化: デバイスのワイプなど、高リスク・アクションを実行する際には、2人目の特権管理者による承認プロセスを必須とする。

OT(オペレーショナル・テクノロジー)とICSネットワークの隔離

  • セグメンテーションの徹底: ITネットワークとOT(空調、水処理、ビル管理等)ネットワークの間に厳格な境界防御を設け、不要な通信を遮断する。

  • 露出の最小化とパッチ管理: インターネットに面しているデバイスのリモートアクセスを制限し、既知の脆弱性に対するパッチを遅滞なく適用する。

バックアップの保護とインシデント対応の検証

  • エアギャップ化されたバックアップ: ワイパー攻撃を前提とし、本番ネットワークから論理的・物理的に完全に切り離されたオフライン環境にバックアップを保存する。

  • リカバリ手順のテスト: 実際のデータ破壊を想定し、復旧手順を定期的にテストする。

地政学的リスクの波及と広範な経済的影響

OFAC制裁違反リスクとコンプライアンスのジレンマ

イランの国家支援ハッカーが金銭目的のサイバー犯罪者として偽装している現状は、被害企業に深刻なジレンマをもたらしています。事業継続のために身代金を支払った相手が、背後でIRGCやMOISと繋がりがある場合、米国財務省(OFAC)の経済制裁に違反する重大な危険性があります。

サプライチェーンの混乱と保険カバーの限界

IRGCによる攻撃予告は、企業のサプライチェーンとリスクマネジメントの再考を迫っています。さらに、国家ぐるみのサイバー・物理的攻撃は、保険契約における「戦争行為(Acts of War)免責条項」に該当する可能性が高く、企業が甚大な被害を受けても保険金が支払われないリスクが露呈しています。

関連:フーシ派 参戦でイラン紛争が拡大-紅海・ホルムズ海峡封鎖と日本の原油への影響

データが最前線となる時代のサイバー・レジリエンス

「Operation Epic Fury」とIRGCによる米国IT企業への攻撃宣言は、民間テクノロジー企業が最前線の軍事標的と見なされる「データの最前線(Data as the front line)」時代の本格的な幕開けを象徴しています。

AI、クラウド、高度な半導体を提供するIT企業は、もはや紛争の中立的なベンダーではなく、防衛エコシステムの中核です。セキュリティリーダーや経営陣は、「国家によるシステムの完全破壊」や「管理ツールの内部からの兵器化」を前提とした、ゼロトラスト・アーキテクチャの徹底とインシデント対応計画の抜本的見直しが不可欠です。プロアクティブな脅威インテリジェンスの活用と官民の強固な連携こそが、この未曾有のハイブリッド戦を生き抜く要となります。

FAQ:イランのサイバー脅威に関するよくある質問

Q1. イランはなぜ米国の民間IT企業をサイバー攻撃の標的にしているのですか?

A. イラン革命防衛隊(IRGC)は、米国のクラウド、AI、データセンターが、米軍やイスラエル軍の標的選定・通信に不可欠な「軍事インフラの延長(スパイ組織の一部)」として機能していると見なしているためです。これにより、中立的な商用ベンダーも最前線の標的となっています。

Q2. 「Operation Epic Fury」とは何ですか?

A. 2026年2月28日に米国とイスラエルが主導して開始した、対イランの大規模な先制軍事作戦です。イランの核施設や防空網を物理的に破壊すると同時に、サイバー空間での「第一撃」によりイランの通信網を遮断しました。この圧倒的な物理的破壊により、イランはサイバー空間での非対称な報復に過度に依存する結果となっています。

Q3. 現在のイラン系ハッカーの主な攻撃手口(TTPs)は何ですか?

A. 従来の情報窃取から「純粋なデータ破壊(ワイパー攻撃)」やインフラの機能不全化へ移行しています。具体的には、VPNやエッジデバイスの脆弱性(CVE-2024-3400等)の悪用、Microsoft Intune等の正規管理ツールを乗っ取った全社的なデータ消去、そして深夜に認証リクエストを大量送信してユーザーのミスを誘う「MFA疲労攻撃(プッシュボミング)」が多発しています。

Q4. 企業が今すぐ取るべきサイバーセキュリティ対策は何ですか?

A. CISAやFBIの緊急勧告に基づき、以下の3点が急務です。

  1. スマートフォンの「承認」タップのみに依存するMFAを廃止し、FIDO2準拠の物理セキュリティキー(YubiKeyなど)へ移行すること。

  2. ITネットワークとOT(運用技術・産業用システム)の厳格な分離。

  3. ランサムウェアやワイパー攻撃を前提とした、完全にオフライン化された(エアギャップ)バックアップの確保と復旧テストの実施。


出典・参考資料