Logo
x logo
2024-12-17

イランが支援する攻撃グループがIoT/OTデバイスを標的とした新しいマルウェア「IOCONTROL」を使い重要インフラを攻撃

要約

最近の重要インフラへのサイバー攻撃では、イランが支援するCyberAv3ngersグループが開発した「IOCONTROL」というカスタムマルウェアが使われていることが明らかになりました。このマルウェアは、ルーター、PLC、HMI、ファイアウォールなどのIoTおよびOTデバイスの脆弱性を悪用し、MQTT プロトコルを使って攻撃者のコマンド&コントロールサーバーと通信します。このマルウェアの出現は、地政学的および戦略的な目的のために重要インフラを標的とする国家主導のアクターの脅威の高まりを示しています。

このニュースのスケール度合い
9.5
/10
インパクト
9.5
/10
予想外またはユニーク度
8.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
9.0
/10
このニュースを見て行動が起きるあるいは行動すべき度合い
9.5
/10

詳細分析

主なポイント

  • イランが支援するCyberAv3ngersグループが開発した「IOCONTROL」というカスタムマルウェアを使った攻撃が報告されている
  • このマルウェアはIoTおよびOTデバイスの脆弱性を悪用し、MQTT プロトコルを使って攻撃者のコマンド&コントロールサーバーと通信する
  • 攻撃対象には、IPカメラ、ルーター、PLC、HMI、ファイアウォールなどが含まれる
  • マルウェアは感染デバイスの詳細情報を収集し、リモートコード実行、自己削除、ポートスキャンなどの機能を持つ
  • マルウェアは高度な隠蔽技術を使い、検出を逃れる

社会的影響

  • 重要インフラへの攻撃により、ガソリンスタンドの運営や信用カード情報の盗難などの深刻な影響が懸念される
  • 国家主導の攻撃グループによる重要インフラへの標的型攻撃の脅威が高まっている
  • IoTおよびOTデバイスの脆弱性が悪用されることで、産業制御システムの安全性が脅かされている

編集長の意見

IOCONTROL マルウェアは、IoTおよびOTデバイスの脆弱性を巧みに悪用し、重要インフラに深刻な被害を及ぼす可能性があります。特に、感染デバイスの詳細情報を収集し、リモートからの制御が可能なことから、産業制御システムの安全性に大きな脅威となっています。このようなマルウェアの出現は、国家主導のサイバー攻撃の高度化を示しており、IoTおよびOTデバイスのセキュリティ強化が喫緊の課題となっています。
本日は、イランの国家支援サイバー攻撃グループと「IOCONTROL」について解説します。

解説

CyberAv3ngersグループと「IOCONTROL」

CyberAv3ngersは、イランのイスラム革命防衛隊(IRGC)のサイバー電子司令部(CEC)と関連があるとされるサイバー攻撃グループであり、 2023年以降、イスラエルや米国の重要インフラに対する一連のサイバー攻撃に関与しています。
特に、2023年11月25日には、米国ペンシルベニア州のアリクイッパ市水道局が攻撃を受け、供給ラインのポンプが停止されるなどの被害が報告されています。

IOCONTROLの技術的特徴

IOCONTROLは、主にLinuxベースのIoTおよびOTデバイスを標的とするカスタムビルドのマルウェアです。

  • 多様なデバイスへの対応
    このマルウェアはモジュール式の構成を持ち、異なるベンダーやデバイスタイプに適応できる柔軟性を持っているため、IPカメラ、ルーター、PLC(プログラマブルロジックコントローラー)、HMI(ヒューマンマシンインターフェース)、ファイアウォールなど、複数のベンダーのデバイスに感染する能力を持っています。

  • MQTTプロトコルの悪用
    攻撃者のコマンド・アンド・コントロール(C2)サーバーとの通信に、IoTデバイスで一般的に使用されるMQTTプロトコルを利用し、通信の検出を回避します。

  • 持続性と難読化
    システム内での持続性を確保するための高度な技術や、コードの難読化手法を使用し、検出や解析を困難にしています。

これまでの攻撃の事例

IOCONTROLは、以下のような具体的な攻撃に使用されていると言われています。

  • 燃料管理システムへの攻撃
    2023年10月から2024年1月にかけて、イスラエルおよび米国のガソリンスタンドにおいて、Orpak SystemsやGasboyの燃料管理システムが攻撃され、サービスの停止やデータの漏洩が発生しました。

  • 水処理施設への攻撃
    2023年10月、米国およびイスラエルの水処理施設が攻撃され、Unitronics製のPLC/HMIデバイスが標的となりました。これにより、システムの改ざんやサービスの中断が引き起こされました。

  • 再開されたキャンペーン
    2024年7月と8月に、VirusTotalからのサンプルに基づき、CyberAv3ngersが再び攻撃キャンペーンを展開したことが示唆されています。

  • 影響を受けたメーカー
    影響を受けたメーカーには、Baicells、D-Link、Hikvision、Red Lion、Orpak、Phoenix Contact、Teltonika、Unitronicsなどが挙げられています。

イランの国家支援グループの動き

特に重要インフラや企業をターゲットにしているようです。 2024年には、「IOCONTROL」や派生して進化したツールも発見されているとのことです。今後も引き続き、ツールがさらに進化し、より巧妙な手法で攻撃を行うことが予想されています。

ランサムウェアと国家戦略

2024年8月には、イラン政府が支援する攻撃グループがランサムウェア攻撃者と連携しているとの報告もありました。 これは、サイバー攻撃が単なる金銭目的だけでなく、国家レベルの戦略として利用される可能性を示唆しています。 特に、日本などの国々が長期休暇を迎える時期には、企業が狙われる傾向が強まるため、警戒が必要です。

国際的な影響と対応

国際的には、イランによるサイバー攻撃は他国への影響も及ぼしており、特に米国やイスラエル、そしてその同盟国に対する脅威として認識されています。 米国政府は、中国やロシアと並んでイランを主要なサイバー脅威として位置づけており、その対策として情報共有や共同訓練を強化しています。

2024年におけるイラン支援のサイバー攻撃ツールの動向は、国家戦略に基づく高度なサイバー攻撃の増加を示しています。 特にIOCONTROLに類似したマルウェアやランサムウェア攻撃が進化し続けているため、企業や政府機関はこれらの脅威に対する防御策を強化する必要があります。 今後も国際的な協力を通じて、このような脅威への対応が求められるでしょう。

対策と推奨事項

IOCONTROLのような高度なマルウェアからシステムを保護するためには

  • デバイスのセキュリティ強化
    全てのデバイスに強力で一意のパスワードを設定し、不要なサービスや未使用のプロトコルを無効にすることが重要です。

  • ネットワーク監視の強化
    ネットワークトラフィックを継続的に監視し、異常なパターンや既知のC2サーバーとの通信を検出する体制を整備する必要があります。

  • 従業員の教育
    サイバーセキュリティに関するベストプラクティスを従業員に教育し、フィッシングメールや悪意のある添付ファイルの識別と回避方法を周知徹底することが求められます。

  • システムの定期的な更新
    全てのシステムやデバイスのソフトウェア、ファームウェアを定期的に更新し、既知の脆弱性を修正することが必要です。

背景情報

  • 2023年後半から2024年にかけて、イスラエルおよび米国の重要インフラ(燃料管理システムや水処理施設など)に対する攻撃が報告されている
  • これらの攻撃では「IOCONTROL」マルウェアが使われていることが判明した
  • マルウェアは感染デバイスの情報を収集し、攻撃者のコマンドに従って様々な悪意のある行為を実行する
  • マルウェアは高度な隠蔽技術を使い、検出を逃れている
世界のセキュリティ最前線
Packet News 一覧へ