内紛や不安定な状況にもかかわらず、イランは攻撃的なサイバー作戦体制を維持している

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
Recorded FutureのInsikt Group®は、イランのサイバープログラムに関与している組織について継続的な調査を行っています。 本報告書は、イランの攻撃的なサイバープログラムに関与している主要な軍事・諜報機関について、より深い洞察を提供する役割を果たしている。 攻撃的なサイバー能力には国内攻撃が含まれますが、私たちは国際的な使命を宣言した組織を調査しました。 一部の組織の秘密主義的な性質と検証可能な情報の欠如により、業界の分析基準を遵守するために競合する仮説を組み込みました。
本研究では、バシジを含むイスラム革命防衛隊(IRGC)、情報安全保障省(MOIS)、国防・軍事兵站省(MODAFL)を調査した。 このレポートでは、一部の Advanced Persistent Threat (APT) グループと特定のインテリジェンス組織との関連性が示唆されていますが、各グループに関する情報にギャップがあるため、それらを特定の機関に決定的に割り当てることはできません。
私たちの調査の情報源には、主にRecorded Future® Platformで公開されたインテリジェンス、Symantec、FireEye、ClearSky、PaloAltoなどが発表した業界調査、オープンソースのニュースレポートが含まれます。
Executive Summary
イランのサイバー計画は、テヘランの非対称能力の最前線にあり続けているが、その諜報機関は、様々な機能不全と、一見不安定化させる特性によって彩られている。 特に、さまざまな諜報機関の政治化とそれに続く国内の確執は、イスラム共和国のさまざまな安全保障危機を通じて、将校レベルのランクとファイルを二極化させたと伝えられています。 これらの危機は公に表面化し、インサイダーの脅威を駆り立てる触媒として機能し、諜報機関の士気を低下させ、リークの発生を増加させました。 諜報グループ間の競争は、機関間の直接的な妨害行為にもつながったとされている。
政治的な内紛の中で、特定の組織はセキュリティ権限の大幅な拡大を経験しており、これには間違いなく、攻撃的なハッキング戦術、技術、手順(TTP)を活用して、被害者への侵入とアクセスを促進することが含まれています。 その第一が、イスラム革命防衛隊諜報組織(IRGC-IO)である。 この組織の任務は過去10年間で大幅に拡大し、イスラム共和国の憲法で義務付けられた諜報機関である情報安全保障省(MOIS)の諜報評価と助言に直接違反して活動することができるほどである。
これは、イランのサイバープログラムに関するRecorded Futureの3回目のレポートです。 2019年1月には、イランで最も有名なハッカーフォーラム「 Ashiyane」について報告し、2019年3月には、イランのサイバー防御体制と関連組織を網羅したレポートを発表しました。
主な判断
- 我々は、内部作戦と外部作戦を実行するイランの機関の間には違いがあるが、各諜報機関の未定義の(そして時には重複する)安全保障任務が、サイバー関連の帰属を行う取り組みを複雑にする可能性が高いと評価している。
- 我々は、イランや地域外のアクターによる偽情報の可能性は、諜報機関の不安定性と責任の重複の結果として、高止まりする可能性が高いと評価している。
- イランの諜報機関の複雑な性質、リークの歴史、政治化のために、イランの安全保障領域は不安定なままである可能性が高いと私たちは評価しています。
- 攻撃的でイデオロギー的な動機によるサイバー攻撃は、IRGC、特にその海外作戦司令部であるコッズ部隊の特徴を帯びている。 我々は、この組織がイランの非対称対応能力の一部として、破壊的な作戦を調整した可能性が高いと評価している。
- 私たちは、イマーム・ホセイン大学のような高等教育機関が、イランのサイバープログラムを引き続き支援し、政権と連携するオペレーターの能力を強化する可能性が高いと評価しています。
- 我々は、イランを拠点とする専門の契約グループが、様々な政府や軍事機関にサービスを提供する可能性が高いと評価している。 また、契約グループは、脅威と機会のターゲットに応じて、機関固有のタスクに対応する可能性が高くなります。
背景
イランの諜報機関と軍主導のサイバー作戦は、諜報機関の複雑な性質、重複する任務、最高指導者アリ・ハメネイ師の支配と利害、イスラム革命防衛隊(IRGC)などの軍事組織の影響、内輪もめの政治など、さまざまな要因に影響されている。
イラン諜報機関の支配層
イランのファールス通信によれば、イランの諜報機関は、1979年のイスラム革命以来、諜報活動を行う少なくとも 16の独立した組織 を含むまでに成長した。 ファールス報告書はまた、情報調整評議会(Shorai-e Hamohangi Etelaat)の役割を強調しており、これは、国内外のさまざまな安全保障上の脅威に対する取り組みを調整するために、すべての諜報機関を団結させる主要なメカニズムとして機能しているとされている。
イランの諜報機関は、IRGC組織の構成要素であるか、情報安全保障省(MOIS)のように、イランの選挙で選ばれた政府のさまざまな構成要素に属している。 しかし、これらの実体はすべて最高指導者ハメネイの勅令に従属しています。イスラム革命防衛隊-諜報組織(IRGC-IO)などの一部は、他の組織よりも直接的にハメネイの利益を順守していると評価されている。 現在、マフムード・アラヴィが率いるMOISは、選挙で選ばれた政府の優先事項と連携して、MOISの諜報任務を公式に主導している。
イランの諜報機関の特徴には、任務の重複、標的設定の要件、運用責任などがあり、場合によっては、諜報資源と軍事資源の 競争 や収束につながる。 例えば、以下で論じるように、国内転覆工作との戦いは、MOISだけでなく、IRGC-IOや、イランのサイバー警察(FATA)のような他の機関によっても実行されていると伝えられている。
国際的には、MOISとIRGCの両機関が独立した諜報活動を主導し、国家安全保障上の脅威に対する作戦で協力していると報じられている。 このような重複は、場合によっては、動的およびサイバーアトリビューションの取り組みを複雑にします。 2019年2月に米国司法省(U.S. DOJ)がイランのさまざまなサイバー 工作員に対して起訴した事件で引用されたようなその他の諜報活動は、 リソース が機関間で共有されており、工作員がイランの治安機関に関連する複数の要素にサービスを提供する可能性が高いことを示唆している。
重複するサイバーミッション
多くの場合、サイバー・キャンペーンやサイバー事件の帰属は、イスラム共和国の二つの諜報組織の戦略的・戦術的利益が明らかになる。 MOISとIRGCは、諜報活動と治安任務が重複する最も適切な組織であり続けている。 APTグループは、両組織のタスク要件にも対応し、以下で強調するように、特定のサブグループにも対応します。 技術的なアトリビューションはRecorded Futureやより広範な業界によって行われますが、APTグループの構成に関する情報(人員やそのネットワークの所属など)にアクセスできないため、特定の組織へのAPTアトリビューションはより複雑になります。 アトリビューションでは、より正確なアトリビューションを可能にするために、複数の技術的、組織的、および個人的な行動データセットを集約する必要があります。
他の国々と同様に、戦略・戦術情報はイランの機関にとって重要である。 政治、軍事、経済に関する情報は、 西側 諸国や中東のさまざまな政府の高官に対するものを含め、国際的なサイバースパイ活動の主要な推進力となっています。 これらの作戦は、歴史的に、テヘランと国際社会との間の緊張が高まっている時期に行われてきた。 この国際的な活動領域では、さまざまな脅威アクターグループが、MOISやIRGCの要件だけでなく、国防省・軍事兵站省(MODAFL)に関連する研究開発組織を含む、さまざまな政府関係者や学術機関の要件を引き続きサポートしています。
公開報告によると、既知のイランの脅威アクターは、中東諸国に対する作戦も主導しており、広範なコンピューターネットワーク攻撃作戦の一環として、特定の標的に対して調整および協力することもありました。 最近では、 バーレーンに対する破壊的なマルウェアであるZeroCleareの使用が含まれていました。 しかし、破壊的な攻撃は、少なくとも2012年8月以来、イランの非対称的な対応と攻撃能力の一部となっている。 2018年12月中旬、イタリアの石油化学大手SAIPEMは、Shamoon(2)(Disttrack)マルウェアの更新された亜種を使用して、おそらく親イラン政府の攻撃者によって標的にされました。 2018年12月の攻撃は、その直後、フーシ派運動(アンサール・アラー)の利益を支援し、それと連携する集団であるイエメンサイバー軍を代表すると主張する団体によって、ハクティビストスタイルの改ざんとソーシャルメディアベースの情報操作が行われた。 この共同作業は、潜在的に多様化した脅威アクターグループによる攻撃的な取り組みにおけるミッションの調整と共有リソースの可能性を強調しています。

イエメンサイバー軍のソーシャルメディア作戦の一部に関するFutureのクエリを録画しました。

イエメンサイバー軍のソーシャルメディア作戦に同行した画像には、SAIPEMなどの企業がリストアップされていた。
国内戦線では、FATAを含む諜報機関と治安機関が、反体制的な政治、民兵、 過激派 の広範な運動と戦っている。 国家の治安機関は、 宗教的少数派 だけでなく、 クルド人、アフワジ・アラブ人、バローチ民族分離主義者に対して動的およびサイバー作戦を実施していると記録されている。 たとえば、Check Pointが Domestic Kitten と呼ぶ脅威アクターグループは、イラン内外の反体制派、過激派グループ、少数民族を特に対象とした広範なサイバー監視キャンペーンを実行したと報告されています。 このグループは、ペルシア語、アラビア語、トルコ語、クルド語を話すターゲットに対してほとんどの作戦を実行し、ソーシャルエンジニアリングを使用して被害者を騙して悪意のあるモバイルアプリケーションをダウンロードさせたと報告されています。
FATAの場合、FATAもまた、サイバー犯罪活動に対抗するという法的権限をはるかに超えており、サッタル・ ベヘシュティ氏のようなイランのブロガーを標的にしている。 イランのサイバー犯罪問題、特にイランの コンピュータ犯罪法 の運用範囲内では、サイバー犯罪者の定義には、反体制的な資料を配布したり、オンラインの抗議活動に参加したりして捕まった政治活動家が含まれることが実質的に明らかになっていることに留意します。 業界の調査では、政治活動家がコンピュータ犯罪法に基づいて逮捕され投獄されたさまざまな事例と、そのような法律に組み込まれた柔軟性が 詳細 に説明されており、法執行機関が独自の裁量で適用できるようになっています。 そのため、FATAの活動は、2009年の緑の運動の蜂起後に発生したブロガーや活動家に対する政府の弾圧と関連している可能性が非常に高いが、国内の治安に限られている可能性が高い。
イランの反体制活動にも国境はなく、主にIRGCにサービスを提供してきたAPT35(Charming Kitten)やFlying Kittenなどのイランのサイバーグループは、ヨーロッパと北米のイラン人 ディアスポラ を標的にする傾向を示している。
ソフトウェアを含む軍事関連技術も、自給自足を公言し、防衛産業の構築と輸出に努めるシステムにとって、依然として最優先事項である。 このレポートの後半で展開するように、MODAFLのようなエンティティは、軍事兵器技術に焦点を当てたコンピューターネットワーク運用の主要な利害関係者および後援者であると評価されています。
イラン諜報機関のリーク
リークは、イランの諜報機関、特にMOISに定期的に影響を与えてきた。 その歴史を通じて、組織は、システムの高位メンバーとその国際的な運営を暴露する恐れのある、影響力の大きい開示の複数の発作に耐えてきました。重要なケースには、「チェーン殺人」、「イランケーブル」、そして程度は低いが、反政府作戦に関連するさまざまな裏付けのないサイバーリークが含まれます。政治的な不満が、諜報機関に対する大規模なリークを引き起こしている。 これらは、同僚の諜報員やイラン社会に対する違反、汚職と隠蔽、あるいは最新のイラン電報が示唆しているように、イラクにおけるIRGCコッズ部隊の諜報と軍事的優位性と 実践 に対するMOISの軽視を描いている。
反政府サイバー作戦は、主に2009年の緑の運動蜂起後の数年間に具体化され、 アノニマス・イランのような自称反政府匿名集団によって行われました。 これらのグループは、テヘランの民間人や国際的な標的に対するサイバー活動を暴露することを目的としており、機密文書とされるもの、サイバープロジェクト、イラン政府の汚職、中東諸国に対する国際作戦の開示をもたらしました。 反政府サイバー作戦の最近の増加は、2017年末から本稿執筆時点まで始まり、Tapandegan、Lab Dookhtegan、Aahack Security Teamなどのさまざまなグループが政府や軍事資産への侵入を主導していると報じられています。
偽情報収集の疑い
イランの偽情報に関する私たちの調査では、誤った指示のもっともらしいケースが引き続き特定されており、そのため、この記事の執筆時点では、イランのアクターによる偽情報の可能性は今後も高止まりする可能性が高いと評価しています。 これは、リークと、地域外のアクターが漏洩したデータを操作したり、データの分類と帰属を劣化させたりして、欧米のサイバーセキュリティ組織に対する彼らの利益に奉仕する可能性によってさらに増幅されます。 例えば、後者には、既存のC2を使用して、地域外の脅威アクター自身のオペレーションを難読化することが含まれます。
2017年後半から2019年にかけて、イランの反体制派を自称する団体は、イランと中東地域全体でのイランの諜報機関と軍の作戦を暴露するための包括的な取り組みを追求してきた。 これらの取り組みには、Lab Dookhtegan、「Green Leakers」(Afshagaran-e Sabz)、「Black Box」(Resaneh Khabari Jabeh Siah)、「Hidden Reality」(Vaghiyate Penhaan)などのグループが含まれていました。 後者は、請負業者とされるラナ研究所の活動について報告しており、これについては以下で詳しく説明します。 この記事を書いている時点では、Insikt Groupは、これらのグループがイスラム共和国に対して支持していると主張するすべての情報と任務を包括的に裏付けているわけではありません。 これらの組織は、テヘランに対して行動すると主張し、APTグループやイランの諜報機関に対して広範な情報を広めているが、これらのグループの1つ以上が偽情報を実行する目的で設立された可能性も評価している。
Kaspersky Labsは、2019 年8月 と 12月に 2つのレポートを公開し、ロシアの脅威アクターとRana Instituteのリークを関連付ける可能性があるとしています。 リークされた資料、インフラストラクチャ、および専用Webサイトの分析に基づいて、レポートは、ロシア連邦軍(GRU)の参謀本部に関連する脅威アクターがリンクの背後にいると評価しました。 ただし、この記事の執筆時点では、Recorded Futureはこの評価の有効性を確認できません。
別のケースでは、Recorded Futureがイランのサイバープログラムの上級メンバーであるモハンマド・フセイン・タジクの死亡疑惑を報じ、IRGC-IOによる反体制派のルホッラー・ザムの逮捕をめぐる イランのハッカー階層 と偽情報の取り組みに関する報道で取り上げられた。 この記事を書いている時点では、イランのサイバープログラムについてザムのような反体制派に広められた情報は裏付けられていない。 ザムは、人格名誉毀損攻撃の繰り返しの対象とされてきただけでなく、イランの諜報機関から、彼らの諜報活動の犠牲者であると非難されてきた。 我々は、そのような活動はおそらくザムを貶めるために行われたと評価し、彼の情報源と方法に対する信頼を貶めるために行われたと評価する。 タジキスタンに関するザムの報道は、イランが米国、サウジアラビア、トルコに対する国際的なサイバー作戦に関与しているとし、また、これらの攻撃が開始されたとされる作戦施設であるハイバル・センターにも関連づけている。 ザムの説明によれば、この施設は、イランの主要な諜報グループのメンバーが現場にいる融合センターのように機能している。
イランから発せられる偽情報収集は依然として確実な脅威ですが、地域外のアクターもイランのAPTグループになりすまして検出と帰属の取り組みを誤誘導しようとしている可能性があると評価しています。 これには、APT33、APT35、MuddyWaterなど、イランの脅威アクターと以前関係していたサーバーインフラストラクチャ(C2)の使用が含まれる可能性があると評価しています。 2019年12月の Operation Gamework レポートでは、C2とマルウェアがロシアのAPT BlueAlphaと重複していることを明らかにし、このシナリオを考えられるシナリオとして取り上げました。
諜報機関の政治化
イランの諜報機関によるリークの歴史や、政治化と派閥主義の増大の時期から、イランの安全保障領域は依然として不安定なままであると我々は評価している。
Farsi-language open source reporting highlights how Iran’s MOIS has experienced increased levels of factionalism, which has likely harmed the agency’s ability to secure its scope. Public reporting further indicates that internecine politics has affected multiple layers of the intelligence establishment, pitting the head of the IRGC-IO Hossein Taeb against former MOIS leader Heydar Moslehi and various politicians, including former president Mahmoud Ahmadinejad (2005-2013) and Sadeq Larijani. The IRGC-IO leader is reported to have backed intelligence operations against Iranian political groups that had compromising evidence against the IRGC that specifically depicted cases of corruption.
Under former president Mohammad Khatami (1997-2005), MOIS is purported to have undergone a cull of hardline officers and supporters, which ultimately led to the agency’s retreat from pursuing aggressive international operations and its moderation.1 Between 1997 and 1998, Supreme Leader Khamenei is reported to have promoted the IRGC’s intelligence mission to that of a directorate. From that point on, the IRGC’s Intelligence directorate commenced executing similar duties to those of MOIS, which we believe contributed to the overlapping efforts to address national security threats.
アフマディネジャド前大統領の下で、MOISは2009年の蜂起後、IRGCが主導してMOIS将校に対する 粛清 を行い、 さらなる 不安定を経験したと伝えられている。公的な報道はまた、アフマディネジャドが政治的ライバルに対してkompromat(妥協材料) を獲得する ためにMOISを利用しようとした方法も引用している。 ハタミと彼の前任者である ラフサンジャニ が率いるイランの改革主義を打倒しようとする強硬派の意図は、イランの強硬派で親IRGCのアンサール・ヒズボラの主要メンバーが執筆した初期の 宣言「新時代と我々の責任」(dowlat-e jadid va masooliat-haye ma)に正確に捉えられている。 この宣言は 警告 を発し、アフマディネジャドの最初の政府が、MOISがハタミ時代の変化へと流れ続けるのを防ぐよう要求し、おそらくはイランの諜報機関がイデオロギー的に動機付けられた 国際 作戦を実行する可能性が低くなることを要求した。
MOISは、現大統領ハッサン・ロハニ(2013年-現在)の下でも同様の政治化を経験している。 イランのマフムード・アラヴィー情報相は、諜報活動と治安の資格 が不足している と非難され、その結果、強硬派が扇動した政治的動機による攻撃の標的となっている。 ハタミ大統領と同様に、ロハニ大統領は、MOISの穏健化や説明責任の強化など、改革志向のアジェンダで任期 をスタート させた。 BBCの報道によると、ロハニ大統領は同機関を反汚職事件で利用しており、それがイラン 経済 の徴発 部門 からIRGCとその支持者を追い出すための政治的な空中戦にさらに 定着 させている。
BBCの報道によると、MOISは少なくとも 3 回、IRGC-IOの並行活動と影響力によって裏をかかれ、その裁定が拒否された。 これらには、改革派のテレグラム・チャンネルのマネージャーの逮捕、ロハニの包括的共同行動計画(JCPOA)交渉チームのメンバーをスパイ容疑で 逮捕 したこと、環境活動家の逮捕などが含まれていたと報じられている。 ロハニ政権下で、MOISは国家安全保障領域、特に防諜活動と国内転覆対策領域において、IRGC-IOに その権限 を失い続けていると報告されている。
イランのサイバー幹部への影響
イランの諜報機関における派閥主義のレベルの高まりは、イランのサイバー部隊に影響を与えた可能性が高い。 Insikt Groupは、政治的な内紛の直接的な結果は、これまで公にどちらかの陣営(MOISまたはIRGC)を支援しているイランのサイバーオペレーターにまで波及した可能性が高いと評価している。
例えば、ソーシャルメディアのおしゃべりは、IRGCを支持するイランを拠点とするサイバーオペレーター、例えばArmin Rad(「Ayoub Tightiz」としても知られる)と、Radと彼の支持基盤をしばしば批判してきたMohammad Jorjandiとの間の意見の相違や愚弄に光を当てている。2 さらに、米国に拠点を置くとされるジョルジャンディ氏によると、この記事の執筆時点では、Lab Dookhteganに関連するハッキングとリーク作戦は、MOISとIRGCとの間の競争から生まれたとされています。IRGCは、MOISの評判と地位を傷つけるために意図的に情報をリークしています。
Jorjandiの発言を裏付けることはできませんが、Lab Dookhteganが描写したMOISの標的とされるものには、Yashar ShahinzadehなどのAPT34のメンバーが含まれています。 シャヒンザデのソーシャルメディアでの発言を見ると、彼はラドのような親IRGC政権のハッカーに反対し、選挙で選ばれた政府のメンバー、特に情報通信技術大臣のモハンマド・ジャヴァード・ジャフロミを支援しようと試みたことがわかる。 この支援は、主に脆弱な政府データベースの検出に重点を置いています。
今後の展望
イランのサイバーアクターは、主にイランのさまざまな諜報センターに対応するアクターの数が増えているため、アトリビューションの試みをかわし続けることができるユニークな立場にあります。 IRGC-IO、コッズ部隊、MODAFL、MOISのいずれであっても、これらの組織はイランのサイバー能力の最前線に留まり、国際的な攻撃を主導することができます。 公開情報では、これらのエンティティが請負業者のコミュニティを使用して諜報目標を追跡していることも示されており、これは今後もイランのサイバーエコシステムの重要な特徴であり続けると評価しています。
イランのサイバー作戦は、より熟練したサイバー幹部、より効果的なツール、偽情報の作成・配布能力を含む、より強固な運用上のセキュリティ対策により、中東諸国や国際社会全体を急速に標的にし続ける可能性が高い。 イランの治安機関は、イランのディアスポラや少数民族のコミュニティを引き続き標的にする可能性が高く、どちらもテヘランの国内の安定に対する脅威となっている。
軽減策
- 関心のあるステークホルダーは、Red Hat分析やデセプション検出などの構造化された分析手法を活用して、より洗練されたアトリビューションの試みを支援するとともに、サイバー攻撃者による偽情報の取り組みを軽減する必要があります。
- イランの政治情勢に遅れずについていき、諜報活動に影響を与える活動(汚職スキャンダル、権力闘争、ジャーナリストや活動家の逮捕、諜報グループのリーダーの入れ替え、外国の技術の使用、ソーシャルメディアの使用禁止など)を観察します。
- ペルシア語の反体制派の報道は、少数民族グループに対する弾圧、抗議者、外国人や二重国籍者の逮捕に関連する活動を定期的に取り上げている。 これらの情報源は通常、逮捕に関与した諜報機関や軍事組織、そして彼らが主張する動機についての洞察も提供している。
- イランのサイバーオペレーターは、InstagramとTelegramで比較的公的な存在感を維持しています。 これらの公開ソースは、組織の発展、トレーニング、政治的洞察、およびそれらの運用ネットワークについての洞察を提供する場合があります。
- 偽情報の取り組みを防止および軽減するために、ソーシャルメディアや公開されているメッセージングプラットフォームから供給されたイランのサイバー開発を検証し、裏付けることをお勧めします。
- イランのAPTグループのキャンペーン追跡は、TTPに関する洞察を提供するだけでなく、組織の利益についての理解を深めるのに役立つ被害者学も提供します。
編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
脚注
1S. Chubin, Wither Iran?: Reform, Domestic Politics and National Security, New York, Oxford University Press, 2002, P. 91.
2https[:]//www.tabnak[.]ir/fa/news/816849
関連ニュース&研究Insiktレポート