025年後半から2026年にかけて、米国・イスラエル・イランの対立が過去に例のない激しさに達するなか、イランのサイバー作戦は従来の諜報活動や嫌がらせの枠を大きく超えた段階に入っています。2026年2月28日に開始された「オペレーション・エピック・フューリー」では、イランのインターネット接続が通常時の約4%にまで制限されるという前例のない物理的制約下に置かれながらも、
イランは海外に構築した代理(プロキシ)ハッカーネットワークと分散型インフラを活用し、重要インフラへのサイバー攻撃能力を維持し続けました。
一部の報道では、スターリンク等の代替衛星通信の活用も指摘されています。今回、複数のレポートをもとに、イランのプロキシサイバー作戦の構造・戦術・各国への影響・そして情報システム部門が取るべき対策を体系的に整理します。
目次
サマリー
- イランのサイバー戦略の核心は「もっともらしい否認可能性(Plausible Deniability)」にある。国家主導のAPTグループが技術を担保しつつ、ハクティビストや犯罪者を偽装したペルソナを前面に出して攻撃の帰属を曖昧にする二重構造を制度化している
- 指揮系統はIRGC(イスラム革命防衛隊)とMOIS(情報治安省)の二系統に分かれており、IRGC系は重要インフラ破壊・軍事支援色が強く、MOIS系は長期スパイ活動と情報操作色が強いとされる
- 2023年以降、産業制御システム(OT/ICS)への直接攻撃が顕著になっており、Rockwell Automation製PLCの認証バイパス脆弱性(CVE-2021-22681、CVSS 9.8)やUnitronics製PLCの脆弱性(CVE-2023-6448)を積極的に悪用。Censysらの観測ではインターネットに公開されたRockwell/Allen-Bradley製PLCの約75%が米国に集中するとされる
- 使用するマルウェアはデータ消去型(Shamoon・Dustman)からランサムウェアに偽装した擬似ランサムウェア(Darkbit)まで進化しており、いずれもバックアップの先行消去によりフォレンジック解析と復旧を妨害する設計になっている
- 米国では医療機器大手Strykerへの攻撃について、親イランのプロキシグループが20万台のシステムワイプと50TBのデータ窃取を主張しているが、Stryker側やセキュリティ調査機関による独立した確認はなされていない。イスラエルでは認知戦と物理的インフラ攻撃が同時展開されており、水道施設・医療機関が標的になっている
- 2026年6月、FBIがモンテネグロで逮捕したイラン・トルコ二重国籍の被疑者は、150以上の米大学等へのハッキングを含む34億ドル(約5,000億円)規模のサイバー攻撃への関与が疑われるとして起訴されるなど、国際法執行による摘発も本格化している
| 項目 | 内容 |
|---|---|
| 主管国家機関 | IRGC(イスラム革命防衛隊)・MOIS(情報治安省) |
| 戦略的核心概念 | もっともらしい否認可能性(Plausible Deniability) |
| 主要APTグループ | APT33(Refined Kitten)・APT35(Charming Kitten)・APT34(OilRig)・MuddyWater・APT42 |
| 主要プロキシペルソナ | CyberAv3ngers(IRGC-CEC関連)・Handala Hack(MOIS関連と指摘)・Darkbit(MuddyWaterとの関連が疑われる) |
| OT/ICS悪用CVE | CVE-2021-22681(CVSS 9.8・Rockwell Automation)・CVE-2023-6448(Unitronics) |
| 代表的破壊マルウェア | Shamoon(W32.DistTrack)・Dustman(ZeroCleareバリアント)・Darkbit(擬似ランサムウェア) |
| 主要標的国 | 米国・イスラエル・サウジアラビア・バーレーン・カタール・UAE |
| 主要インシデント | Stryker攻撃(プロキシの主張、独立確認なし)・テクニオン大学Darkbit攻撃・多数の水道・発電施設 |
| 米国の法執行対応 | 2026年6月:$34億規模の事案でイラン・トルコ二重国籍被告をモンテネグロで逮捕 |
| 国際共同警告 | CISA共同アドバイザリAA26-097A(CISA・FBI・NSA・EPA・DOE・米サイバー軍) |
イランのサイバー戦略の核心-否認可能性の制度化
イランのサイバー作戦が単なるハッキング活動と一線を画すのは、攻撃の帰属を意図的に曖昧にする「否認可能性」の仕組みが国家レベルで制度化されている点にあります。国際法上、ある国家の行為をプロキシグループに帰属させるための立証ハードルは依然として高く、この間隙をイランは体系的に利用してきました。
具体的には、国家機関が直接作戦を実行するのではなく、外見上は「ハクティビスト」や「ランサムウェア犯罪者」として活動するグループを前面に立てます。
これらのグループには、コマンド&コントロールインフラの提供・資金・安全な活動拠点・技術的なバックアップが国家から供与されますが、表向きは独立した組織として振る舞います。攻撃が発覚しても「イランは関係ない」と主張できる体制を整えつつ、外交・軍事目標の達成と認知戦を同時展開するこの手法は、ロシアや中国の国家サイバープロキシと共通する構造です。
しかし、イランのモデルに独特の点があるとすれば、ランサムウェアと情報破壊活動を組み合わせた「否認可能な金銭目的の犯行」に見せかけることで、標的国の事後対応を攪乱する手口です。
被害組織が「これはランサムウェア集団による通常の犯罪なのか、国家の指示による政治的破壊工作なのか」を即時に判断できない状態を意図的に作り出す設計になっています。米イラン停戦後の安全保障情勢を踏まえても、この構造は短期的に変化する可能性は低いと考えられます。
二大国家機関が担うプロキシ運用の全体像
イランのサイバー作戦はIRGCとMOISという競合と役割分担が存在する二系統で構成されています。
IRGC系は軍事目標の支援や重要インフラ(OT/産業制御システム)への直接干渉・破壊工作色が強いとされています。IRGC-CEC(サイバー電子軍)と関連が指摘される「CyberAv3ngers」は自称ハクティビスト集団として活動しており、米国財務省はIRGC-CEC幹部6名を重要インフラへの悪意あるサイバー活動を理由に制裁対象としています。
APT35(Charming Kitten・Mint Sandstorm・Phosphorus)はIRGC-IO系のグループとされ、学術研究者・ジャーナリスト・NGO・人権活動家を標的とした精密フィッシングを得意とします。Unit 42等の調査機関はAgent Serpensと呼ばれる関連手口を追跡しており、生成AIを悪用したスピアフィッシングへの活用が疑われていますが、詳細は引き続き調査中です。
MOIS系は長期的な諜報活動と「ハック・アンド・リーク」色が強いとされています。
APT34(OilRig・Hazel Sandstorm)は金融・通信・政府機関に高度なカスタムバックドア(POWBAT・BONDUPDATER等)を植え付け、何年にもわたって痕跡を残さずに潜伏する能力を持つとされています。MuddyWater(Static Kitten・Seedworm)はMITRE ATT&CKがMOISのsubordinate elementと評価するグループで、2023年のテクニオン(イスラエル工科大学)攻撃では「Darkbit」というペルソナが使われましたが、Darkbit攻撃とMuddyWaterの直接的な関与を断定する一次情報は現時点では限られており、帰属には慎重な見方もあります。
Handala Hack(一部報告でVoid Manticore・MOISとの関連が指摘)は機密データの窃取・脅迫・偽情報工作を組み合わせた作戦を展開しているとみられます。
この二系統の体制は標的に応じて使い分けられる柔軟な攻撃ポートフォリオを形成しています。日本の情報システム部門・官公庁・エグゼクティブの観点からは、攻撃が現れた際に帰属を即断するのではなく、被害の性質(破壊か情報窃取か)から攻撃の目的を推定し、インシデントレスポンスの優先順位を判断することが実務上の出発点になります。
OT/ICSを標的にした物理破壊型攻撃の台頭
インテリジェンスレポートが特に強調しているのは、2026年に入ってからのRockwell Automation製PLCを標的にした攻撃の深刻化です。
2026年4月にCISA・FBI・NSA・EPA・DOE・米サイバー軍(CNMF)が連名で公開した共同アドバイザリ「AA26-097A」は、米国の地方自治体の水道施設を含む複数の重要インフラが、イランのCyberAv3ngersによってRockwell Automation製CompactLogixおよびMicro850コントローラの認証バイパス脆弱性(CVE-2021-22681、CVSS 9.8)を悪用され操業停止に追い込まれた事実を明記しています。
技術的な攻撃の流れは次のとおりです。まず、稼働中のICS機器に対してTCPポート44818・2222・102・22・502等を経由してスキャンを実施し、脆弱なPLCを特定します。次に、海外のVPS(仮想プライベートサーバー)にRockwell純正の開発環境「Studio 5000 Logix Designer」をインストールしておき、正規の保守作業に見せかけてPLCに外部接続を確立します。接続後は、SCADA画面のデータを改ざんして監視員に誤った状況判断を促す恐れがあります。AA26-097AはHMI/SCADA表示データの改ざん自体を確認しており、これが設備の誤操作につながるリスクを警告しています。さらにDropbear SSHをポート22にデプロイして永続バックドアを設置する手順まで体系化されています。
Censysらの観測によれば、インターネット上に公開されているRockwell/Allen-Bradley製PLCのうち約75%が米国に集中していると報告されており、この状況は攻撃者にとって広大な攻撃対象面を意味します。日本国内においても、エネルギー・水道・交通・製造業の制御システムの公開状況を改めて確認することが喫緊の課題です。
破壊的マルウェアの進化-Shamoon・Dustman・Darkbit
イランのサイバー部隊が実戦投入してきた破壊的マルウェアは、目的・設計・フォレンジック回避の点でそれぞれ異なる特徴を持ちますが、共通するのは「復旧を不可能に近い状態にする」という設計思想です。
Shamoon(W32.DistTrack)は2012年にサウジアラムコの3万台以上のコンピュータを標的に使用されたワイパーマルウェアで、システム内のデータを完全消去した後にMBR(マスターブートレコード)を破壊してOSの再起動を不可能にします。Active Directoryのグループポリシーを経由してネットワーク全体に一斉展開する手法は、単一ノードの侵害が組織全体の壊滅的な停止につながることを示した最初の大規模事例です。2016年にはサウジアラビアの政府機関を再び標的に使用されており、イランのサイバー攻撃に「エスカレーションの発動点」が訪れた際に繰り返し持ち出されるプラットフォームとなっています。
Dustman(ZeroCleareのバリアント)は2019年12月にバーレーン国営石油(BAPCO)に対して使用されました。正規のウイルス対策製品のサービスアカウントになりすましてPSEXECでネットワーク全域に展開されるという手口は、セキュリティ製品を盾にした展開がいかに困難な検知課題をもたらすかを示しています。Kasperskyの分析によれば実際の被害は一部端末にとどまりBAPCOの操業停止は回避されたものの、実行前に重要なログファイルとバックアップデータを消去してから本体のワイプを実行するという設計はShamoonよりさらに精巧で、インシデントフォレンジックを徹底的に妨害することが確認されています。
Darkbitは2023年2月のテクニオン(イスラエル工科大学)攻撃に使用されたマルウェアで、Go言語製とされています(8thcurse.exeという実行ファイル名も報告されていますが、これらの技術詳細は複数の調査機関のレポートに基づくものです)。攻撃者はボリュームシャドウコピーを強制消去した後、80ビットコイン(当時約160万ドル)の身代金を要求するメッセージを表示しました。しかしテクニオンへの攻撃では金銭目的よりも反イスラエルの政治的メッセージと大学運営の麻痺が主たる目的とみられており、ランサムウェアの外形を持ちながら実質的にはデータ破壊・業務妨害を目的とした「擬似ランサムウェア」として機能しています。
この点は情報システム部門として特に注意が必要です。外形がランサムウェアに見えても実態はデータ破壊工作である場合、「交渉すれば復号できる」という前提で対処すると、貴重な時間を失いながら回復不可能な状況が進行する恐れがあります。
初期侵入から痕跡消去までの攻撃ライフサイクル
イランのプロキシグループが使用する攻撃の手法は、いくつかの共通パターンを持っています。
初期侵入段階では、パッチが未適用のVPNアプライアンスやエッジデバイスの既知脆弱性(Log4j、Microsoft Netlogon CVE-2020-1472、Microsoft Exchange CVE-2020-0688等)を高速スキャンで探索し、悪用するという手法が主流です。これと並行して、高度なフィッシングも多用されています。Unit 42等の調査機関が追跡するAgent Serpensと呼ばれる手口では、精巧に偽装した文書ファイルを使ったスピアフィッシングが確認されており、生成AIの活用が疑われています。またプッシュ通知を大量送信して多要素認証の誤承認を誘う「プッシュ・ボム(Push Bombing)」が確認されています。多要素認証(MFA)の重要性については当サイトでも解説していますが、プッシュ・ボム攻撃を防ぐには番号マッチング方式またはFIDO2/ハードウェアキーベースのMFAへの移行が有効です。
侵入後の潜伏フェーズでは、LOtL(Living off the Land:環境寄生型)戦術が徹底されます。代表的なローダー「PowGoop」はGoogle UpdateのGoogleUpdate.exeにDLLサイドローディングを適用して読み込ませることで検出を回避します。さらにWindowsの正規防御機能を装った「Small Sieve」やExcelマクロから展開される「Canopy/Starwhale」などのツールでC2(コマンド&コントロール)を確立します。こうした手法は正規の管理ツールと見分けがつきにくく、パターンマッチング型の検知ではすり抜けやすいため、振る舞い検知ルールを組み込んだSIEMの活用が重要になります。
米国・イスラエル・中東諸国への具体的な影響
米国では2026年4月のCISA共同アドバイザリが、地方自治体の水道施設を含む複数のインフラが実際に稼働停止に追い込まれた事実を明記しています。
医療機器大手Strykerをめぐっては、親イランのプロキシグループが20万台以上のシステムワイプと50TBのデータ窃取を主張していますが、Stryker側は影響をMicrosoft環境の一部に限定しており、マルウェアやランサムウェアの証拠は確認されていないと報告されています。独立した検証が進んでいない点を踏まえ、被害規模については引き続き慎重な判断が必要です。2026年6月には米司法省が、FBIとモンテネグロ当局の共同作戦によりイラン・トルコ二重国籍の被疑者をモンテネグロで逮捕・起訴しました。150以上の米大学等を含む34億ドル(約5,000億円)規模とされるサイバー攻撃活動への関与が疑われています。
イスラエルはイランとの「サイバーの応酬」の最前線に位置し、イスラエル国家サイバー総局(INCD)が国家防衛を主導しています。
テクニオン攻撃(Darkbit)・製薬開発センターへの侵入・水道への塩素濃度改ざん未遂・祈祷時刻案内アプリの乗っ取りによる全ユーザーへの「降伏勧告」プッシュ通知という、物理攻撃と認知戦が組み合わさった複合的な作戦が展開されています。米イラン停戦後の地域情勢がサイバー領域の攻撃強度にどう影響するかは引き続き注視が必要です。
サウジアラビアは2012年のアラムコ攻撃の教訓から、重要インフラの保護要件を最高水準に引き上げています。NCA(国家サイバーセキュリティ権限局)が策定したECC-2:2024(必須サイバーセキュリティ管理)では、全政府機関と重要インフラを持つ民間事業体に対し、定期的なペネトレーションテストやMFAの導入を含む包括的なセキュリティ管理基準への準拠を求めています。近年はイラン支援アクターとみられる組織による大手ERPシステムを模倣したフィッシングや情報窃取ツール「StealC」を使ったキャンペーンが多数検出されており、イラン・サウジ関係の正常化が進む現時点においてもサイバー領域での敵対行動が続いていることが確認されています。
カタール・ヨルダン・バーレーン・UAEでも、親イランのDieNet連合によるインフラ攻撃宣言、ヨルダンの国家戦略食糧備蓄管理システムへの侵入試行、iOSの古いバージョンを標的にしたスパイウェア工作など、多面的な脅威が確認されています。
情報システム部門が今すぐ実施すべき4つの対策
レポートが提示する技術的提言を、情報システム部門の実務に落とし込むと以下の4点に集約されます。
OT/ICSのインターネット露出の排除が最優先です。すべてのRockwell Automation製Logixコントローラ・Unitronics製PLC(CVE-2023-6448等が悪用されている)等のOT機器をパブリックインターネットから切断してください。リモートアクセスが必要な場合は、デフォルトパスワードを変更し、MFAを義務付けた閉鎖的なVPNゲートウェイを経由させる設計に変更してください。PLCの物理キーを「Runモード」に設定し、リモートからのプロジェクトデータの不正ロードを物理的に禁止することも有効です。ネットワークエンジニアとしての経験上、OT環境の構成確認が後回しになっているケースは少なくなく、Censysの観測が示すインターネット上のRockwell/Allen-Bradley製PLCの分布状況は対岸の火事ではありません。
フィッシング耐性の高いMFAへの移行も急務です。プッシュ・ボム攻撃への対策として、数値マッチング方式またはFIDO2/ハードウェアキーベースのフィッシング耐性MFAを全社員・サードパーティベンダーの管理者に対して義務付けることが必要です。境界VPNの未パッチ脆弱性も引き続き初期侵入の経路として使われているため、ファームウェアのアップデートポリシーを定期的に見直すことも重要です。
イミュータブル(不変)なエアギャップバックアップの整備は、Shamoon・Dustman・Darkbitが共通して採用しているバックアップの先行消去という手口への直接的な対策です。産業システム設定・Active Directory構成・主要業務データはネットワークから物理的に切断されたエアギャップバックアップ、または変更不可能なイミュータブルストレージに定期的に保存し、復旧訓練を定期実施してください。データの存在だけでなく「実際に復旧できるか」を確認していなければ、バックアップが意味をなさないケースも現実にあります。
LOtL型手口に対応する振る舞い検知の導入は、PowGoop・Small Sieve等の正規ツール悪用への対処として有効です。SIEMに対して、深夜帯の管理者アカウントによる不審なコマンド実行・特権アカウントによるファイルの一括削除・通常は稼働しないプロセスの起動などをリアルタイムで検知するルールを組み込んでください。パターンマッチング型の検知だけに依存したセキュリティ体制では、これらの手口は継続的にすり抜けます。
最後に、今回のレポートが示す脅威は米国や中東諸国に限定される話ではない点を強調しておく必要があります。英国の重要インフラを狙ったサイバー攻撃の75%が敵対国家に関連するとNCSCが報告しているように、国家サイバープロキシの活動は民主主義国家全般を標的にしています。そしてAI兵器化とブロック経済が進む現在、自国がある地政学的陣営に属しているという事実だけで攻撃対象となるリスクが高まっています。情報システム部門としては、サイバーセキュリティを個別のIT課題ではなく地政学リスクと連動した経営課題として経営層に提示し、予算・優先度・対応体制の見直しにつなげることが求められています。
出典
- Iran Israel US Cyber Warfare Analysis Report – Cyble
- Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026 – DomainTools
- LevelBlue SpiderLabs: Role of Cyber Operations in the Iran Crisis – LevelBlue
- Escalation of Cyber Risk Related to Iran – Unit 42, Palo Alto Networks
- Iran Cyber Threat Intelligence Assessment 2026 – LRQA
- Iranian-Affiliated Cyber Actors Exploit PLCs Across US Critical Infrastructure (AA26-097A) – CISA
- Iranian Government-Sponsored Actors Conduct Cyber Operations Against Global Networks – CISA
- MuddyWater, Earth Vetala, Static Kitten – MITRE ATT&CK
- Enabling NCA ECC Compliance in the Kingdom of Saudi Arabia – Endace
- FBI Arrest Wanted Iranian Hacker Suspected of $3.4 Billion US Infrastructure Cyberattack – YouTube/FBI
当サイト関連記事:







