内紛や不安定な状況にもかかわらず、イランは攻撃的なサイバー作戦体制を維持している

内紛や不安定な状況にもかかわらず、イランは攻撃的なサイバー作戦体制を維持している

Insikt Group

編集者注: 以下の投稿は完全なレポートの抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

Recorded FutureのInsikt Group®は、イランのサイバープログラムに関与している組織について継続的な調査を行っています。 本報告書は、イランの攻撃的なサイバープログラムに関与している主要な軍事・諜報機関について、より深い洞察を提供する役割を果たしている。 攻撃的なサイバー能力には国内攻撃が含まれますが、私たちは国際的な使命を宣言した組織を調査しました。 一部の組織の秘密主義的な性質と検証可能な情報の欠如により、業界の分析基準を遵守するために競合する仮説を組み込みました。

本研究では、バシジを含むイスラム革命防衛隊(IRGC)、情報安全保障省(MOIS)、国防・軍事兵站省(MODAFL)を調査した。 このレポートでは、一部の Advanced Persistent Threat (APT) グループと特定のインテリジェンス組織との関連性が示唆されていますが、各グループに関する情報にギャップがあるため、それらを特定の機関に決定的に割り当てることはできません。

私たちの調査の情報源には、主にRecorded Future® Platformで公開されたインテリジェンス、Symantec、FireEye、ClearSky、PaloAltoなどが発表した業界調査、オープンソースのニュースレポートが含まれます。

Executive Summary

イランのサイバー計画は、テヘランの非対称能力の最前線にあり続けているが、その諜報機関は、様々な機能不全と、一見不安定化させる特性によって彩られている。 特に、さまざまな諜報機関の政治化とそれに続く国内の確執は、イスラム共和国のさまざまな安全保障危機を通じて、将校レベルのランクとファイルを二極化させたと伝えられています。 これらの危機は公に表面化し、インサイダーの脅威を駆り立てる触媒として機能し、諜報機関の士気を低下させ、リークの発生を増加させました。 諜報グループ間の競争は、機関間の直接的な妨害行為にもつながったとされている。

政治的な内紛の中で、特定の組織はセキュリティ権限の大幅な拡大を経験しており、これには間違いなく、攻撃的なハッキング戦術、技術、手順(TTP)を活用して、被害者への侵入とアクセスを促進することが含まれています。 その第一が、イスラム革命防衛隊諜報組織(IRGC-IO)である。 この組織の任務は過去10年間で大幅に拡大し、イスラム共和国の憲法で義務付けられた諜報機関である情報安全保障省(MOIS)の諜報評価と助言に直接違反して活動することができるほどである。

これは、イランのサイバープログラムに関するRecorded Futureの3番目のレポートです。2019年1月にはイランで最も有名なハッカーフォーラム「 芦やね」について報告し、2019年3月にはイランのサイバー防衛体制や関連組織を網羅したレポートを公開しました。

主な判断

背景

イランの諜報機関と軍主導のサイバー作戦は、諜報機関の複雑な性質、重複する任務、最高指導者アリ・ハメネイ師の支配と利害、イスラム革命防衛隊(IRGC)などの軍事組織の影響、内輪もめの政治など、さまざまな要因に影響されている。

イラン諜報機関の支配層

イランのファルス通信によると、イランの諜報機関は1979年のイスラム革命以来、諜報活動を行う少なくとも 16の別々の機関 を含むまでに成長した。ファルスの報告書はまた、情報調整評議会(Shorai-e Hamohangi Etelaat)の役割を強調しており、これはすべての諜報機関を団結させるための主要なメカニズムとして機能しているとされている 機関 さまざまな国内および国際的な安全保障上の脅威に対する取り組みを調整します。

イランの諜報機関は、IRGC組織の構成要素であるか、情報安全保障省(MOIS)のように、イランの選挙で選ばれた政府のさまざまな構成要素に属している。 しかし、これらの実体はすべて最高指導者ハメネイの勅令に従属しています。イスラム革命防衛隊-諜報組織(IRGC-IO)などの一部は、他の組織よりも直接的にハメネイの利益を順守していると評価されている。 現在、マフムード・アラヴィが率いるMOISは、選挙で選ばれた政府の優先事項と連携して、MOISの諜報任務を公式に主導している。

イランの諜報機関の特徴には、タスク、ターゲティング要件、運用責任の重複があり、場合によっては諜報機関と軍事資源をめぐる競争や統合につながります。たとえば、以下で説明するように、国内転覆撲滅活動は、MOISだけでなく、IRGC-IOやイランのサイバー警察(FATA)などの他の機関によっても実行されていると報告されています。

国際的には、MOISと革命防衛隊の両機関が、独立した諜報活動を主導し、国家安全保障上の脅威に対する作戦に協力していると報告されている。このような重複は、場合によっては、キネティックおよびサイバーアトリビューションの取り組みを複雑にします。2019年2月に米国司法省(米国司法省)がイランのさまざまなサイバー 工作員を起訴したものなど、他の諜報活動は、 リソース が政府機関間で共有されており、工作員がイランの治安機関に関連する複数の要素にサービスを提供する可能性が高いことを示唆している。

重複するサイバーミッション

多くの場合、サイバー・キャンペーンやサイバー事件の帰属は、イスラム共和国の二つの諜報組織の戦略的・戦術的利益が明らかになる。 MOISとIRGCは、諜報活動と治安任務が重複する最も適切な組織であり続けている。 APTグループは、両組織のタスク要件にも対応し、以下で強調するように、特定のサブグループにも対応します。 技術的なアトリビューションはRecorded Futureやより広範な業界によって行われますが、APTグループの構成に関する情報(人員やそのネットワークの所属など)にアクセスできないため、特定の組織へのAPTアトリビューションはより複雑になります。 アトリビューションでは、より正確なアトリビューションを可能にするために、複数の技術的、組織的、および個人的な行動データセットを集約する必要があります。

他の国々と同様に、戦略的および戦術的情報はイランの機関にとって重要です。政治、軍事、経済情報は、 西側 および中東のさまざまな政府の当局者に対するものを含む、国際的なサイバースパイ活動の主要な推進力です。これらの作戦は歴史的に、テヘランと国際社会の間の緊張が高まっている時期に行われてきた。この国際的な活動領域内では、さまざまな脅威アクターグループが、MOISとIRGCの要件だけでなく、国防省および国軍兵站(MODAFL)に関連する研究開発機関を含む、さまざまな政府関係者や学術機関の要件を支援し続けています。

Public (threatについての)レポート作成は、既知のイランの脅威アクターが中東諸国に対する作戦も主導し、時には広範なコンピュータネットワーク攻撃作戦の一環として特定の標的に対して調整および協力していることを明らかにしました。 最近では、 バーレーンに対する破壊的なマルウェア「ZeroCleare」の使用も行われました。しかし、破壊的な攻撃は、少なくとも2012年8月以来、イランの非対称対応と攻撃能力の一部となっている。2018 年 12 月中旬、イタリアの石油化学大手である SAIPEM は、おそらく親イラン政府関係者によって、Shamoon(2) (Disttrack) マルウェアの更新された亜種を使用して標的にされました。2018年12月の攻撃は、その後まもなく、フーシ派運動(アンサール・アッラー)の利益を支持し、同盟を結んでいる集団であるイエメン・サイバー軍を代表すると主張するエンティティによって実行された、ハクティビストスタイルの改ざんとソーシャルメディアベースの情報作戦が伴いました。 この協力的な取り組みは、潜在的に多様化する脅威アクターグループによる攻撃的な取り組みにおけるミッション調整とリソースの共有の可能性を浮き彫りにしています。

記録された将来のクエリ

イエメンサイバー軍のソーシャルメディア作戦の一部に関するFutureのクエリを録画しました。

ソーシャルメディアの画像

イエメンサイバー軍のソーシャルメディア作戦に同行した画像には、SAIPEMなどの企業がリストアップされていた。

国内戦線では、FATAを含む諜報機関と治安機関が、幅広い反体制政治、民兵、 過激派 運動と戦っている。同州の治安機関は、 宗教的少数派クルド人、アワジ・アラブ人、バロチ族の民族分離主義者に対して、動的およびサイバー作戦を実施したことが記録されている。たとえば、チェック・ポイントが「 Domestic Kitten 」と呼んだ脅威アクターグループは、特にイラン国内外の反体制派、過激派グループ、少数民族を標的に大規模なサイバー監視キャンペーンを実施したと伝えられています。伝えられるところによると、このグループはペルシア語、アラビア語、トルコ語、クルド語を話すターゲットに対してほとんどの活動を実行し、ソーシャルエンジニアリングを使用して被害者をだまして悪意のあるモバイルアプリケーションをダウンロードさせました。

FATAの場合も、サイバー犯罪行為に対抗するという法的権限を超えて、サタール・ ベヘシュティ氏などのイラン人ブロガーを標的にしている。イランのサイバー犯罪問題、特にイランの コンピュータ犯罪法 の運用範囲内で、サイバー犯罪者の定義には、反政権資料の流布やオンライン抗議活動に参加した政治活動家が実質的に含まれることが明らかになっていることに留意する。業界の調査では、政治活動家がコンピュータ犯罪法に基づいて逮捕され投獄されたさまざまな事例と、法執行機関が裁量で適用できるようにするためのそのような法律に組み込まれた柔軟性が 詳述 されています。 そのため、FATAの活動は、2009年の緑の運動の蜂起後に起こったブロガーや活動家に対する政府の弾圧に関連している可能性が高いが、国内の治安に限定される可能性が高い。

イランの反体制派活動にも国境がなく、主に革命防衛隊にサービスを提供してきたAPT35(チャーミング・キテン)やフライング・キトンなどのイランのサイバーグループは、どちらもヨーロッパと北米全土のイラン人 ディアスポラ を標的にする傾向を示している。

ソフトウェアを含む軍事関連技術も、自給自足を公言し、防衛産業の構築と輸出に努めるシステムにとって、依然として最優先事項である。 このレポートの後半で展開するように、MODAFLのようなエンティティは、軍事兵器技術に焦点を当てたコンピューターネットワーク運用の主要な利害関係者および後援者であると評価されています。

イラン諜報機関のリーク

リークはイランの諜報機関、特にMOISに定期的に影響を与えている。その歴史を通じて、この組織は、システムの高位メンバーとその国際的な活動を暴露する恐れのある、影響力の大きい開示を何度も経験してきました。重要な事件には、「連鎖殺人」、「イラン・ケーブル」、そして程度は低いが、反政府作戦に関連するさまざまな裏付けのないサイバー漏洩が含まれます。政治的不満が諜報機関に対する大規模な漏洩を引き起こした。これらは、同僚の諜報員やイラン社会に対する人権侵害、汚職や隠蔽、あるいは最新のイラン電報が示唆するように、イラクにおける革命防衛隊とコッズ軍の諜報と軍事的優位性と 慣行 に対するMOISの軽蔑を描いている。

反政府サイバー作戦は、主に2009年の緑の運動蜂起後の数年間に具体化され、 アノニマス・イランなどの自称反政府匿名団体によって行われた。これらのグループは、民間人や国際的な標的に対するテヘランのサイバー活動を暴露することを目的としており、その結果、機密文書、サイバープロジェクト、イラン政府の汚職、中東諸国に対する国際作戦の開示が行われた。反政府サイバー作戦の直近の増加は、2017年末頃から本稿執筆時まで始まり、Tapandegan、Lab Dookhtegan、Aahack Security Teamなどのさまざまなグループが政府や軍事資産への侵入を主導していると伝えられている。

偽情報収集の疑い

イランの偽情報に関する私たちの調査では、誤った指示のもっともらしいケースが引き続き特定されており、そのため、この記事の執筆時点では、イランのアクターによる偽情報の可能性は今後も高止まりする可能性が高いと評価しています。 これは、リークと、地域外のアクターが漏洩したデータを操作したり、データの分類と帰属を劣化させたりして、欧米のサイバーセキュリティ組織に対する彼らの利益に奉仕する可能性によってさらに増幅されます。 例えば、後者には、既存のC2を使用して、地域外の脅威アクター自身のオペレーションを難読化することが含まれます。

2017年後半から2019年にかけて、イランの反体制派を自称する団体は、イランと中東地域全体でのイランの諜報機関と軍の作戦を暴露するための包括的な取り組みを追求してきた。 これらの取り組みには、Lab Dookhtegan、「Green Leakers」(Afshagaran-e Sabz)、「Black Box」(Resaneh Khabari Jabeh Siah)、「Hidden Reality」(Vaghiyate Penhaan)などのグループが含まれていました。 後者は、請負業者とされるラナ研究所の活動について報告しており、これについては以下で詳しく説明します。 この記事を書いている時点では、Insikt Groupは、これらのグループがイスラム共和国に対して支持していると主張するすべての情報と任務を包括的に裏付けているわけではありません。 これらの組織は、テヘランに対して行動すると主張し、APTグループやイランの諜報機関に対して広範な情報を広めているが、これらのグループの1つ以上が偽情報を実行する目的で設立された可能性も評価している。

Kaspersky Labs は、2019 年 8 月12 月に 、ロシアの脅威アクターと Rana Institute のリークを関連付ける可能性のある 2 つのレポートを発表しました。報告書は、漏洩した資料、インフラストラクチャ、専用 Web サイトの分析に基づいて、ロシア連邦国軍参謀本部 (GRU) に関連する脅威アクターがリンクの背後にいると評価しました。ただし、この記事の執筆時点では、Recorded Futureはこの評価の妥当性を確認できません。

別の事件では、 Recorded Future イランのサイバープログラムの上級メンバーであるモハマド・フセイン・タジキスタンの死亡疑惑について報じたが、これはイ ランのハッカー階層 とIRGC-IOによる反体制派ルホッラー・ザムの逮捕をめぐる偽情報活動に関する(脅威についての)レポート作成で取り上げられた。 この記事を書いている時点では、イランのサイバープログラムについてザムのような反体制派に広められた情報は裏付けられていない。ザムは繰り返し人格名誉毀損攻撃の対象となっており、イラン諜報機関から諜報活動の被害者であると暴露されている。私たちは、そのような活動はおそらくザムと、彼の情報源と方法に対する信頼を貶めるために行われたと評価しています。ザム氏のタジキスタンに関する(脅威についての)レポート作成は、イランが米国、サウジアラビア、トルコに対する国際サイバー作戦に関与しており、また、これらの攻撃が開始されたとされる作戦施設であるハイバル・センターとイランを結びつけている。 ザム氏の証言によると、この施設は、イランの主要諜報グループのメンバーが現地にいる融合センターのように運営されている。

イランから発せられる偽情報の取り組みは依然として信頼できる脅威ですが、域外の攻撃者がイランのAPTグループになりすましたことで、検知と帰属の取り組みを誤って誘導しようとしている可能性があると評価しています。 これには、APT33、APT35、MuddyWater など、以前はイランの脅威アクターと提携していたサーバー インフラストラクチャ (C2) の使用が含まれる可能性があると評価しています。2019年12月の Operation Gamework レポートでは、C2とマルウェアがロシアのAPT BlueAlphaと重複していることが明らかになり、考えられるシナリオとしてこのことを強調しました。

諜報機関の政治化

イランの諜報機関によるリークの歴史や、政治化と派閥主義の増大の時期から、イランの安全保障領域は依然として不安定なままであると我々は評価している。

ペルシア語のオープン情報源 (脅威についての)レポート作成は、イランのMOISがいかに 派閥主義のレベルを高めており、それがその範囲を確保する機関の能力を損なっている可能性が高いことを浮き彫りにしている。 Public (threatについての)レポート作成はさらに、IRGC-IOのホセイン・テーブ長官と元MOIS指導者ヘイダル・モスレヒ、マフムード・アフマディネジャド元大統領(2005-2013年)やサデク・ラリジャニ元大統領を含むさまざまな政治家と対立するなど、内戦政治が諜報機関の複数の に影響を与えていることを示している。 IRGC-IOの指導者は、汚職事件を具体的に描いたIRGCに対する侵害、ハッキングの証拠を持っているイランの政治団体に対する諜報 活動 を支援したと報じられている。

モハマド・ハタミ前大統領(1997-2005)の下で、MOISは強硬派の将校と支持者を 淘汰 し、最終的には攻撃的な国際活動とその緩和の追求から撤退したとされている。1 1997年から1998年にかけて、最高指導者ハメネイ師は革命防衛隊の諜報任務を総局の任務に 昇格 させたと報じられている。その時点から、革命防衛隊の情報 総局 はMOISと同様の任務を遂行し始め、これが国家安全保障上の脅威に対処するための重複する取り組みに貢献したと私たちは考えている。

アフマディネジャド前大統領の下で、MOISは2009年の蜂起後、革命防衛隊主導のMOIS将校に対する 粛清 により、 さらなる 不安定さを経験したと伝えられている。公的報道では、アフマディネジャドが政敵に対してMOISを利用してkompromat(「侵害、ハッキング資料」) を蓄積 しようとした方法も挙げられている。 ハタミと彼の前任者 ラフサンジャニ が率いるイランの改革主義を元に戻そうとする強硬派の意図は、イランの強硬派で親革命防衛隊のアンサール・ヒズボラの主要メンバーによって執筆された初期の 宣言「新時代と私たちの責任」(dowlat-e jadid va masooliat-haye ma)に正確に捉えられている。この宣言は 警告 を発し、アフマディネジャド初代政権に対し、MOISがハタミ時代の変化に向かって流れ続けるのを阻止し、おそらくイラン諜報機関がイデオロギー的に動機付けられた 国際 作戦を実行する可能性が低いことを阻止するよう要求した。

MOISは、現大統領ハッサン・ロハニ(2013年-現在)の下で同様の政治化の事例を経験している。イランのマフムード・アラヴィ情報大臣は、情報と安全保障の 欠如 として非難されている 認証情報、その後、強硬派が扇動した政治的動機による攻撃の標的となっている。 ハタミ大統領と同様に、ロハニ氏はMOISの緩和と説明責任の強化など、改革志向のアジェンダで任期 を始めた 。(脅威についての)BBCからのレポート作成は、ロハニ氏が汚職防止事件で同機関を利用したことを示唆しており、それがイラン 経済 の収容 部門 から革命防衛隊とその支持者を立ち退かせるための政治的空中戦にさらに 定 着させている。

BBCの報道によると、MOISは少なくとも 3 回、IRGC-IOの並行活動と影響力によって裏切られ、その判決は拒否された。伝えられるところによると、その中には、改革派のテレグラム・チャンネルの管理者の逮捕、スパイ容疑でロハニ氏の共同包括的な行動計画(JCPOA)交渉チームのメンバーの 逮捕 、環境活動家の逮捕などが含まれていた。 ロハニ政権下で、MOISは国家安全保障分野、特に防諜活動と国内転覆対策の領域において、IRGC-IOに対する 権限 を失い続けていると報じられている。

イランのサイバー幹部への影響

イランの諜報機関における派閥主義のレベルの高まりは、イランのサイバー部隊に影響を与えた可能性が高い。 Insikt Groupは、政治的な内紛の直接的な結果は、これまで公にどちらかの陣営(MOISまたはIRGC)を支援しているイランのサイバーオペレーターにまで波及した可能性が高いと評価している。

例えば、ソーシャルメディアのおしゃべりは、IRGCを支持するイランを拠点とするサイバーオペレーター、例えばArmin Rad(「Ayoub Tightiz」としても知られる)と、Radと彼の支持基盤をしばしば批判してきたMohammad Jorjandiとの間の意見の相違や愚弄に光を当てている。2 さらに、米国に拠点を置くとされるジョルジャンディ氏によると、この記事の執筆時点では、Lab Dookhteganに関連するハッキングとリーク作戦は、MOISとIRGCとの間の競争から生まれたとされています。IRGCは、MOISの評判と地位を傷つけるために意図的に情報をリークしています。

Jorjandiの発言を裏付けることはできませんが、Lab Dookhteganが描写したMOISの標的とされるものには、Yashar ShahinzadehなどのAPT34のメンバーが含まれています。 シャヒンザデのソーシャルメディアでの発言を見ると、彼はラドのような親IRGC政権のハッカーに反対し、選挙で選ばれた政府のメンバー、特に情報通信技術大臣のモハンマド・ジャヴァード・ジャフロミを支援しようと試みたことがわかる。 この支援は、主に脆弱な政府データベースの検出に重点を置いています。

今後の展望

イランのサイバーアクターは、主にイランのさまざまな諜報センターに対応するアクターの数が増えているため、アトリビューションの試みをかわし続けることができるユニークな立場にあります。 IRGC-IO、コッズ部隊、MODAFL、MOISのいずれであっても、これらの組織はイランのサイバー能力の最前線に留まり、国際的な攻撃を主導することができます。 公開情報では、これらのエンティティが請負業者のコミュニティを使用して諜報目標を追跡していることも示されており、これは今後もイランのサイバーエコシステムの重要な特徴であり続けると評価しています。

イランのサイバー作戦は、より熟練したサイバー幹部、より効果的なツール、偽情報の作成・配布能力を含む、より強固な運用上のセキュリティ対策により、中東諸国や国際社会全体を急速に標的にし続ける可能性が高い。 イランの治安機関は、イランのディアスポラや少数民族のコミュニティを引き続き標的にする可能性が高く、どちらもテヘランの国内の安定に対する脅威となっている。

軽減策

編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

脚注

1S. Chubin, Wither Iran?: Reform, Domestic Politics and National Security, New York, オックスフォード大学出版局, 2002, p. 91.

2https[:]//www.tabnak[.]ir/fa/news/816849