Packet Pilot X (Twitter)
2026-03-17

エピック・フューリー作戦:露出データがイランのサイバー・キネティック作戦を変える理由

イランのエピック・フューリー作戦に続く報復キャンペーンは、物理的な戦争とデジタル戦争の境界を崩壊させました。Tenableの露出データ分析によると、最も大きな攻撃対象は、14百万の資産に影響を与えるMicrosoft WordのN-day脆弱性であることが明らかになりました。この脆弱性は、攻撃の優先順位を決定する際に、単なる脅威の物語に基づくアプローチでは見逃される可能性があります。アメリカ合衆国は、全体の99.4%の露出を占めており、医療や政府部門が特に狙われています。サイバーキャンペーンは、物理的な戦闘よりも長引く可能性が高く、イランのインターネット接続が回復した際には、事前に配置されたアクセスが大規模に活用されることが予想されます。

メトリクス

このニュースのスケール度合い

8.5 /10

インパクト

8.0 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.0 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10

主なポイント

  • イランのサイバー攻撃は、物理的な攻撃と同時に行われ、特にMicrosoft Wordの脆弱性が大きな影響を与えています。
  • アメリカ合衆国が最も多くの露出を持ち、医療や政府が特に狙われていることが分かりました。

社会的影響

  • ! このサイバー攻撃は、医療や政府機関に対する脅威を高め、国民の安全に影響を与える可能性があります。
  • ! 物理的な攻撃とサイバー攻撃が連携することで、企業や国家の防御戦略が根本的に見直される必要があります。

編集長の意見

イランのエピック・フューリー作戦は、サイバーセキュリティの新たな局面を示しています。物理的な攻撃とサイバー攻撃が同時に行われることで、従来の防御戦略が通用しなくなる可能性があります。特に、Microsoft Wordの脆弱性が示すように、攻撃者は広範な資産を狙うことで、より大きな影響を与えることができます。このような状況では、企業や政府は、脅威の物語だけでなく、実際の露出データに基づいて優先順位を決定する必要があります。サイバー攻撃は、物理的な戦闘よりも長引く可能性が高く、攻撃者が事前に配置したアクセスが後に大きな脅威となることが予想されます。したがって、組織は物理的なセキュリティとサイバーセキュリティを統合的に考える必要があります。今後の課題としては、サイバー攻撃の影響を最小限に抑えるための新たな防御策の導入が求められます。また、露出データを活用したリスク評価の重要性が増す中で、企業はそのデータをどのように活用するかを真剣に考える必要があります。

解説

「物語」ではなく「露出」で動くべき理由──イラン報復キャンペーンと“Word N-day”が示す攻撃面の現実

今日の深掘りポイント

  • 攻撃の優先順位は「誰が攻めてくるか」ではなく「自社がどこに露出しているか」で決めるべき段階に入っています。Tenableの露出データでは、Microsoft Wordのセキュリティ機能バイパス(N-day)が最大の導線として浮上しています。
  • 該当N-dayは約1,398万資産に影響し、警告回避やサイレント実行を許すため、検知をすり抜けやすい性質があります。ゼロデイ偏重の運用では見落としがちです。
  • 露出の約99.4%が米国に集中という偏りが見える一方、同盟・サプライチェーン経由の波及が懸念です。日本企業は「自社の外」にも踏み込んだ資産棚卸が不可欠です。
  • サイバー作戦は物理戦より長引く可能性が高く、事前に配置されたアクセスが、通信回復のタイミングで一斉に活用されるリスクがあります。
  • 対応の柱は「パッチ適用の前倒し」「MOTW/OLEの強化」「検知ルールの刷新」「資産露出の見える化」です。メール・コラボ基盤での“テンプレート注入”とアーカイブ経由のMOTW回避にも備えるべきです。

はじめに

戦況が熱を帯びると、私たちはつい「攻撃者の物語」に引き寄せられがちです。どの国が動いたのか、どの部隊の署名か。けれど、攻撃の現実はもっと冷徹です。攻撃者は成功確率と到達規模で武器を選びます。今回Tenableが示したのは、まさにその「合理性」でした。派手なゼロデイではなく、静かに広く刺さるWordのN-dayこそが、報復キャンペーンの最大の導線になりうる現実です。

この「露出ファースト」の視点は、日本のCISOやSOCにとっても他人事ではありません。米国中心の露出であっても、同盟・業務委託・クラウド共有・コラボ基盤で、思いがけず自社の業務フローに攻撃が滑り込むのが今の実態です。物語より、露出に。今日はその具体像を深掘りします。

深掘り詳細

事実(Tenableが示した露出の輪郭)

  • イランの「エピック・フューリー」後の報復文脈で、Microsoft WordのN-day(セキュリティ機能バイパス)が、約1,398万の資産に影響する最大の攻撃対象として浮上しています。警告回避・サイレント実行を許し、検知難度を押し上げる性質です[出典: Tenable]。
  • 露出の地理分布は米国が約99.4%を占め、業種では医療・政府が濃いホットスポットになっています[出典: Tenable]。
  • サイバー作戦は物理戦よりも長期化しやすく、通信断やネット遮断下で植え付けられた初期アクセス(プレポジショニング)が、回線回復後にまとめて活用される見立てです[出典: Tenable]。

出典: Tenable「Operation Epic Fury: Why exposure data changes everything about Iran’s cyber-kinetic campaign」

注記: CVE-2026-21514(Wordのセキュリティ機能バイパス)に関する技術詳細は公開が限られており、以下のTTPやミティゲーションは、Word由来の警告バイパス/OLE・テンプレート注入の一般的な挙動に基づく仮説を含みます。

インサイト(編集部の視点)

  • N-dayの“規模優位”は実務の優先順位を覆す
    攻撃者は、検知コストと到達規模の積で武器を選びます。Word N-dayは、エンドポイントの広がり、ユーザ操作に寄り添った初期侵入(ドキュメント誘導)、MOTWやOLEを巡るガードの複雑さを一挙に突けるため、ゼロデイ以上に“運用としての最適解”になりがちです。ゼロデイ偏重のパッチ/狩りでは、最も通電している導線を取り逃します。
  • 露出データは“誰が狙うか”より“どこが空いているか”を教える
    米国中心の露出は、Tenableの観測母集団の偏りや米国の資産集中の反映でもあります。だからこそ日本は「自社の外」を可視化する必要があります。米系の親会社・顧客・委託先・共同研究機関・クラウドのテナント分割——どこでWordが境界をまたぐか。露出の接点を洗い出さない限り、最適な対策順は定まりません。
  • 物理×サイバーの非同期性に備える
    物理の火が収まっても、サイバーの炭火はしばらく燻り続けます。プレポジショニングは「今は静か」であるほど厄介です。通信回復や業務再開に合わせ、同時多発的にビーコンが目を覚ます。この非同期リスクに対し、ASRのブロック強化や“Office子プロセス禁止”のポリシーを“平時からブロック”に寄せる決断が効きます。

脅威シナリオと影響

以下は、Tenableの露出所見とOffice由来の一般的挙動に基づく仮説シナリオです。実際の手口は変化しうるため、最新のインテリジェンスで適宜補正してください。

  • シナリオA:スピアフィッシング文書→警告回避→ローダ常駐
    想定手順(MITRE ATT&CK)

    • 初期侵入: Spearphishing Attachment(T1566.001)、User Execution: Malicious File(T1204.002)
    • 防御回避: Subvert Trust Controls: Mark-of-the-Web Bypass(T1553.005)、Template Injection(T1221)
    • 実行/展開: PowerShell(T1059.001)、Ingress Tool Transfer(T1105)
    • 持続化: Scheduled Task/Job(T1053.005)、Registry Run Keys/Startup Folder(T1547.001)
    • 横展開: Remote Services: SMB/Windows Admin Shares(T1021.002)、Lateral Tool Transfer(T1570)
    • C2/流出: Application Layer Protocol: Web(T1071.001)、Exfiltration Over C2 Channel(T1041)
      影響: 資格情報収集・機密データ吸い上げ、以後の業務妨害の踏み台化。

  • シナリオB:コラボ基盤のテンプレート注入→広域配布→特権化
    想定手順(MITRE ATT&CK)

    • 初期侵入: Template Injection(T1221)経由でリモートDOTM/RTFを取得
    • 防御回避: Obfuscated/Compressed Files(T1027)、Mark-of-the-Web回避(T1553.005)
    • 権限昇格/横展開: Valid Accounts(T1078)、Remote Services(T1021.*)
    • 影響: 業務停止を狙ったサービス停止(T1489)、Data Encrypted for Impact(T1486)、Inhibit System Recovery(T1490)
      医療・政府系では、診療・支給業務の遅延や市民サービスの中断に直結しやすいです。

  • シナリオC:プレポジショニング→通信復旧後の同時活性化
    想定手順(MITRE ATT&CK)

    • 初期侵入: A/B同様
    • 待機: スケジュールタスク・WMIサブスクリプションで時間/イベントトリガ(T1053.005、T1546)
    • 活性化: C2復旧後に一斉チェックイン、データ流出(T1041)、破壊的アクション(T1486/T1490)
      SOCとしては「同一時間帯に複数拠点から新規C2へ同期的に接続開始」という挙動を相関検知したい局面です。

検知ヒント(運用に落とす視点)

  • winword.exe からの子プロセス生成(powershell.exe/cmd.exe/mshta.exe/rundll32.exe/regsvr32.exe)をブロック/高優先度検知へ。
  • Wordのリモートテンプレート取得やOLE Packager(packager.dll)利用、RTF内のobjupdate/および外部参照の発火を監視。
  • Eメール/Teams/SharePoint/OneDriveで配布されるアーカイブ(ZIP/ISO/IMG)展開後のMOTW継承不備を前提に、展開直後の実行ブロックをASRで担保。

参照(MITRE ATT&CK): T1566.001, T1204.002, T1553.005, T1221, T1059.001, T1105, T1021.002, T1053.005, T1041, T1486, T1490

セキュリティ担当者のアクション

優先度は「露出×悪用の容易性×業務影響」で。ゼロデイ熱より、N-dayの“通電量”を消すことが全体最適です。

  • 48時間以内(緊急運用)

    • Office系のASRを即ブロックモードで適用(少なくとも「Officeアプリの子プロセス生成をブロック」「Officeによる実行可能コンテンツ作成をブロック」「Win32 API呼び出しをブロック」)。[参考: Microsoft Defender for Endpoint ASRガイド]
    • EDRに「winword.exeの子プロセス」「リモートテンプレート取得」「OLE Packager使用」「未許可の外部接続(新規ドメイン)」を高優先度検知でルール化。
    • ゲートウェイ/メールでCDR(コンテンツ無害化)を有効化。圧縮・ディスクイメージ(ZIP/ISO/IMG)を“インターネット由来=高リスク”として隔離/サンドボックスへ強制迂回。

  • 7日以内(露出圧縮)

    • Microsoft Word/Officeの最新パッチ適用を優先リングで前倒し。N-dayのため適用カバレッジがリスクを大きく左右します。
    • MOTW制御とOfficeマクロ既定ブロックを再点検。グループポリシーで「インターネット由来のOfficeファイルのマクロ実行ブロック」「Open File BlockでRTF等の高リスク形式の編集/開封制限」。[参考: Microsoft MOTW/マクロ/OFBドキュメント]
    • 共同利用基盤(SharePoint/OneDrive/Teams/メール)でのテンプレート注入対策:リモートテンプレート参照を許可制へ、拠点外テンプレートのフェンス(ドメイン許可リスト)設定。

  • 30日以内(持続的な防御力)

    • 露出マップを作成。自社内だけでなく、米系親会社・主要顧客・運用委託先のOfficeパッチ状況とASR適用の可視化を含めた「第三者露出」の棚卸を年次から月次へ格上げ。
    • ハンティング手順の標準化:Office由来の初期侵入から持続化までのユースケースを、Sysmon(ProcessCreate, ImageLoad, NetworkConnect)、O365/Azure ADサインイン分析、HTTP/HTTPSの新規CN/SANドメイン相関で定期走査。
    • 事前配置アクセスの検出:最近作成のスケジュールタスク/サービス、WMIサブスクリプション、初見の自動起動レジストリの網羅チェック。通信復旧タイミングに合わせた“同期的C2”の相関検知をSOARに実装。
    • 例外運用の縮減:業務都合で外していたASR/マクロ/MOTWの例外を棚卸し、代替業務フロー(安全なテンプレート配布、署名付き内製アドイン、仮想アプリ配信)へ移行。

実務への含意(メトリクスからの総合所見)

  • 緊急性と実行可能性が突出した類型です。つまり「いま有効な運用コントロール」を強めれば、被害の裾野を目に見えて縮められる局面です。一方で“新奇性”より“規模性”が本質のため、境界1点の強化では足りません。パッチ適用率、ASRブロックの適用率、第三者を含む露出の把握率——この3つの“率”で防御力が決まります。

参考情報

  • Tenable: Operation Epic Fury: Why exposure data changes everything about Iran’s cyber-kinetic campaign
    https://www.tenable.com/blog/operation-epic-fury-why-exposure-data-changes-everything-about-irans-cyber-kinetic-campaign
  • MITRE ATT&CK(TTPマッピングの参照)
    Spearphishing Attachment(T1566.001): https://attack.mitre.org/techniques/T1566/001/
    User Execution: Malicious File(T1204.002): https://attack.mitre.org/techniques/T1204/002/
    Subvert Trust Controls: Mark-of-the-Web Bypass(T1553.005): https://attack.mitre.org/techniques/T1553/005/
    Template Injection(T1221): https://attack.mitre.org/techniques/T1221/
  • Microsoft Defender for Endpoint: Attack surface reduction(ASR)
    https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference
  • Mark of the Web/Officeマクロ/OFBの公式ドキュメント
    Mark of the Web(Office): https://learn.microsoft.com/office/troubleshoot/office-security/mark-of-the-web-office
    Office のインターネット由来マクロの既定ブロック: https://learn.microsoft.com/deployoffice/security/internet-macros-blocked
    Office ファイル ブロック設定(OFB): https://learn.microsoft.com/deployoffice/security/office-file-block-settings

最後にひと言。攻撃者は、私たちの“面倒くささ”に賭けます。例外申請、検証待ち、棚卸の後回し。その隙間にWordはするりと入り込みます。露出を見える化し、面倒を先に片づける——それがいちばん確実に被害を減らす近道です。今日から始めます、で、間に合います。

背景情報

  • i イランのエピック・フューリー作戦は、物理的なインフラ破壊とサイバー攻撃が同時に行われる初のハイブリッド戦争を引き起こしました。特に、Microsoft Wordの脆弱性(CVE-2026-21514)は、14百万の資産に影響を与え、攻撃者の手法と一致しています。
  • i Tenableの露出データ分析によると、全体で15.5百万の影響を受けた資産が特定され、その中でMicrosoft Wordの脆弱性が最も大きなリスクを示しています。これは、攻撃者が利用可能な資産の数に基づいています。
Packet News 一覧へ戻る