イラン、ハマス支援でサイバー対応型影響工作を急拡大

10 月 7 日のハマスによるテロ攻撃以来、イランのサイバー作戦と影響工作は複数のフェーズを経て進展しています。彼らの作戦には、一貫して不変の 1 つの要素があります。それは、チャンスを見つけて利用するサイバー標的設定と、正確さや影響の範囲を誤認させるような影響工作を組み合わせるというものです。

本レポートは、10 月 7 日から 2023 年末までのイランの影響工作とサイバー対応型影響工作に焦点を当て、2023 年春までの動向と作戦について取り上げます。

イスラエルとハマスの戦争の初期段階において、イランのグループは受動的に行動を起こしていました。イランの国営メディアは、主張するサイバー攻撃について誤解を招くような詳細情報を発表し、またイランのグループは、過去の作戦からの古い素材を再利用し、戦争の前から持っているアクセスを再利用し、主張するサイバー攻撃の全体的な範囲と影響を誇張しました。

戦争が始まって 4 か月近くが経過しましたが、Microsoft のデータからは、イランのグループがサイバー作戦または影響工作を、10 月 7 日にイスラエルを攻撃するというハマスの計画と連携させていたことを示す明確な証拠はまだ見つかっていません。むしろ、Microsoft のデータや調査結果の大半は、イランのサイバー アクターがイスラエルに対抗するために、ハマスの攻撃後、サイバー作戦と影響工作を迅速に急拡大し、受動的に行動を起こしていることを示唆しています。

国営メディアを通じて主張された攻撃に関する、誤解を招くような詳細情報:  
戦争が勃発したその日、イスラム革命防衛隊 (IRGC) 系列のイラン通信社であるタスニム通信は、"Cyber Avengers" と呼ばれるグループが、ハマスの攻撃と "同時に" イスラエルの発電所に対してサイバー攻撃を実行したという虚偽の主張をしました。 ² IRGC が運営するサイバー ペルソナの Cyber Avengers は、ハマスの侵攻の前夜、イスラエルの電力会社に対してサイバー攻撃を行ったと実際に主張しています。³その証拠として、"近年" の停電に関する数週間前の報道と、同社の Web サイトの日付の入っていないサービス停止のスクリーンショットを挙げています。 ⁴

古い素材の再利用:  
ハマスがイスラエルを攻撃した後、Cyber Avengers はイスラエルに対して一連のサイバー攻撃を行ったと主張しました。そのうちの最も初期のものは、Microsoft の調査によって虚偽であることが判明しています。10 月 8 日、彼らはイスラエルの発電所の文書をリークしたと主張しましたが、この文書は IRGC が運営する別のサイバー ペルソナ "Moses Staff" によって 2022 年 6 月に公開されたものでした。⁵

アクセスの再利用:  
イラン情報安全保障省 (MOIS) が運営していると Microsoft が判断している別のサイバー ペルソナ "Malek Team" は、10 月 8 日にイスラエルの大学から個人情報を流出させましたが、そこには勃発した紛争との明確な関連性はなく、標的は紛争勃発前の既存のアクセスに基づいて選ばれた日和見的なものであったことが示唆されています。流出したデータとハマスの作戦の支援との関連性は示されず、Malek Team は当初は X (旧 Twitter) のハッシュタグを使ってハマスをサポートし、わずか数日後には、他のイランの影響工作に見られるイスラエルのベンヤミン ネタニヤフ首相を誹謗中傷するタイプのメッセージングにシフトしました。

10 月 18 日、Microsoft が Storm-0784 として追跡している IRGC の Shahid Kaveh Group は、カスタマイズされたランサムウェアを使用して、イスラエル内のセキュリティ カメラに対してサイバー攻撃を行いました。そして、サイバー ペルソナのひとつである "Soldiers of Solomon" を使って、ネバティム空軍基地のセキュリティ カメラとデータを略奪したと偽りを主張しました。Soldiers of Solomon が流出させたセキュリティ カメラの映像を調べてみると、それはテルアビブの北にあるネバティム通りのある町のもので、同名の空軍基地ではないことがわかりました。実際、犠牲者の所在地を分析したところ、軍事基地の近くにいた人はいませんでした (図 5 参照)。イランのグループは破壊的な攻撃を開始したものの、その作戦はほとんど場当たり的で、影響工作を継続的に活用して攻撃の精度や効果を誇張していました。

10 月 21 日には、IRGC グループ "Cotton Sandstorm" (通称 Emennet Pasargad) が運営する別のサイバー ペルソナが、シナゴーグのデジタル ディスプレイを改ざんし、イスラエルのガザでの作戦は "ジェノサイド" であると呼ぶメッセージを表示した攻撃者のビデオを共有しました。 ⁷これは、比較的ソフトな標的に対するサイバー攻撃に直接メッセージを埋め込む方法です。

このフェーズにおいて、イランの影響工作活動は、より広範かつ洗練され、巧妙な形式を使用して増幅を行いました。開戦から 2 週間は、巧妙で高度な増幅はほとんど検出されなかったことを考えると、作戦が受動的な行動であったことが示唆されます。戦争が始まって 3 週目には、イランで最も影響力のあるアクターである Cotton Sandstorm が、10 月 21 日に 3 つのサイバー対応型影響工作を開始しました。このグループでよく見られるように、彼らはソーシャル メディア上のソックパペット ネットワークを利用して作戦を増幅させましたが、その多くは、従来のようにイスラエル人であることを偽ったものではなく、急遽再利用されたようでした。Cotton Sandstorm は、真正なものであると見せかけるために、侵害されたアカウントを利用して、テキスト メッセージやメールを大量に送信し、自分たちの活動を増幅したり誇ったりしたりしたことが何度もありました。⁸

11 月下旬から、イランのグループはサイバー対応型影響工作を、イスラエル以外の、イランがイスラエルを援助していると認識している国々にまでにも拡大し、イスラエルの軍事行動に対する国際的な政治的、軍事的、経済的支援を損なう可能性が非常に高くなっています。この標的の拡大は、イエメンでイランが支援するイスラム教シーア派武装組織フーシ派が、イスラエルに関連する国際海運を攻撃し始めたことと一致しています (図 8 参照)。⁹

イランのサイバー対応型影響工作は、この最新のフェーズでも巧妙さを増しています。彼らは本物のイスラエル人らしく見えるように、名前を変えたり、プロフィールの写真を変えたりして、さらに偽装工作を洗練させていました。その一方で、彼らはメッセージングの重要な要素として AI を使うなど、イランのアクターには見られなかった新しいテクニックを駆使していました。Microsoft は、Cotton Sandstorm が "For Humanity" というペルソナを装い、12 月に UAE やその他の国でストリーミング テレビ サービスを妨害したと判断しています。For Humanity は Telegram で動画を公開し、同グループが 3 つのオンライン ストリーミング サービスをハッキングし、AI が生成したと見られるキャスターを起用したフェイク ニュース放送によって複数のニュース チャンネルを混乱させる様子が映されていました。そこでは、イスラエルの軍事作戦によって負傷したり殺害されたりしたパレスチナ人の映像であると主張されていました (図 7)。¹⁴ アラブ首長国連邦、カナダ、英国の報道機関や視聴者は、BBC を含むストリーミング テレビ番組で、For Humanity の主張と一致する妨害を受けたと報告しています。¹⁵

情報空間における目的を達成するために、イランは過去 9 か月間、影響工作における 4 つの戦術、技術、手順 (TTP) に大きく依存してきました。これには、なりすましの利用や、標的の対象を活動させる能力の強化が含まれ、テキスト メッセージ キャンペーンや、影響工作を増幅させるための IRGC 系メディアの利用が増加しています。

イスラエルの活動家グループとイランのパートナーになりすます 
イランのグループは、イランの友人にも敵にもなりすます、より具体的で説得力のあるペルソナを開発することで、長年にわたるなりすましのテクニックを構築してきました。イランの過去の作戦やペルソナの多くは、パレスチナの大義を支持する活動家であると称してきました。²⁷Microsoft が Cotton Sandstorm によって運営されていると判断しているペルソナの最近の活動はさらに進んでおり、ハマスの軍事組織であるアルカッサム旅団の名前とロゴを使って、ガザで拘束されている人質に関する偽のメッセージを広め、イスラエル人に脅迫メッセージを送っています。イスラエル国防軍兵士を脅迫し、個人情報を流出させた別のテレグラム チャンネル (Microsoft は MOIS グループによって運営されていると判断しています) でも、アルカッサム旅団のロゴが使われていました。イランがハマスの同意を得て行動しているかどうかは不明です。

同様に、イランは、さまざまな政治的な右派と左派における、説得力のある架空のイスラエル活動家団体になりすますことも増えています。イランはこうした偽の活動家を通じてイスラエル社会に潜入し、彼らの信頼を得るとともに、不和の種をまこうとしています。

イスラエル人を行動に駆り立てる 
4 月と 11 月、イランは、知らず知らずのうちに偽の作戦を推進してしまう現地活動にイスラエル人を関与させることに繰り返し成功しました。最近の作戦のひとつ "Tears of War" では、イランの工作員がイスラエル人に対し、AI が作成したと思われるネタニヤフ首相の画像を使い、彼の罷免を求める "Tears of War" と記された横断幕をイスラエルの近隣に掲げるよう説得することに成功したと報じられています (図 11 参照)。²⁸

テキストやメールによる増幅の頻度と巧妙さが増している 
イランの影響工作は、標的とする対象にリーチするために、不確実なソーシャル メディアによる協調的な増幅に大きく依存し続けていますが、イランは、サイバー対応型影響工作の心理的効果を高めるために、テキストのメッセージングやメールの一括送信を多用するようになっています。ソックパペットを使ったソーシャル メディア上での増幅は、自分の受信箱や携帯電話にメッセージが届くのと同じほどのインパクトはありません。Cotton Sandstorm は 2022 年以降、このテクニックを使った過去の成功例をもとに、²⁹8 月以降少なくとも 6 回の作戦で、テキスト メッセージ、メール、またはその両方を大量に送信しました。彼らがこのテクニックを多用するようになったのは、グループがその技術に磨きをかけ、効果的だと考えていることを示唆しています。Cotton Sandstorm が 10 月下旬に行った "Cyber Flood" 作戦では、イスラエル人に対し、主張したサイバー攻撃を増幅させたり、ディモナ近郊にあるイスラエルの核施設に対するハマスの攻撃に関する虚偽の警告を配信したりする、最大で 3 セットの大量のテキスト メッセージやメールを送信しました。³⁰少なくとも 1 つのケースでは、メールの信憑性を高めるために、侵害されたアカウントが活用されました。

国営メディアの活用 
イランは、IRGC 系列のメディアをあからさまに、あるいは秘密裏に利用して、サイバー作戦の疑惑を増幅させ、時にはその効果を誇張しています。9 月、Cyber Avengers がイスラエルの鉄道システムに対するサイバー攻撃を行ったと主張した後、IRGC 系列のメディアはほとんど即座にその主張を増幅および誇張しました。IRGC 系列のタスニム通信は、サイバー攻撃が発生した証拠として、別の出来事に関するイスラエルの報道を不正確に引用しました。³¹この報道は、他のイランおよびイラン系報道機関によってさらに増幅され、サイバー攻撃を行ったという主張を裏付ける証拠が不足している状況が、さらにあいまいになりました。³²

影響工作への AI の導入は始まったばかり 
MTAC は、イスラエルとハマスの戦争が勃発して以来、AI が生成した画像やビデオを使用するイランのアクターを確認しています。Cotton Sandstorm や Storm-1364、ヒズボラやハマス系の報道機関は、AI を活用して脅迫を強化し、ネタニヤフ首相やイスラエルの指導者を誹謗中傷するイメージを作り上げてきました。

1. 急拡大する協力関係 
イスラエルとハマスの戦争が始まって数週間後、Microsoft はイラン系グループ間のコラボレーションの例を確認するようになり、これによりアクターが達成できることが増えました。コラボレーションによって参入障壁は低くなり、各グループは既に持っている能力を提供することができ、ひとつのグループで全範囲のツールや技術を開発する必要性がなくなります。

Microsoft は、MOIS 系列の 2 組のグループ、Storm-0861 と Storm-0842 が、10 月下旬にイスラエルで、12 月下旬にアルバニアで、破壊的なサイバー攻撃を共同で行ったと判断しています。どちらのケースでも、Storm-0842 がワイパー型マルウェアを実行する前に、Storm-0861 がネットワークへのアクセスを提供していた可能性が高いとみています。同様に、Storm-0842 は、Storm-0861 がアクセスを得た後、2022 年 7 月にアルバニア政府機関にワイパー型マルウェアを実行しました。

10 月には、別の MOIS 関連グループである Storm-1084 も、Storm-0842 が "BiBi" ワイパー (マルウェアがワイプされたファイルの名前を "BiBi "に変更したことから命名) を展開したイスラエルの組織にアクセスしていた可能性があります。破壊的な攻撃において Storm-1084 がどのような役割を果たしたかは明らかではありません。Storm-1084 は、2023 年初頭、別の MOIS 系列グループ Mango Sandstorm (別名 MuddyWater) によって、イスラエルの別の組織に対して破壊的なサイバー攻撃を行いました。³³

戦争勃発以来、Microsoft 脅威インテリジェンスは、MOIS 系列のグループ、Pink Sandstorm とヒズボラのサイバー部隊との協力関係も検知しています。Microsoft は、インフラストラクチャの重複やツールの共有を確認してきました。イランがヒズボラとサイバー作戦で協力することは、前例がないわけではありませんが、戦争によって、国境を越えたこれらの集団が作戦上さらに緊密に連携する可能性があるという懸念すべき事態をもたらしています。³⁴この戦争におけるイランのサイバー攻撃はすべて影響工作と結びついているため、イランがアラビア語を母国語とする人物を活用することで、不確実なペルソナの信憑性を高め、影響工作とそのリーチを向上させている可能性もあります。

2. イスラエルへの過度の集中 
イランのサイバー アクターのイスラエルへの集中が強まりました。イランは長年イスラエルを重視してきました。イラン政府はイスラエルを米国と並ぶ主要な敵国と見なしています。したがって、Microsoft 脅威インテリジェンスのデータによれば、過去数年間、イスラエルと米国の企業は、ほとんど常にイランの最も一般的な標的になっています。戦争に至るまで、イランのアクターはイスラエルに最も焦点を当て、次いでアラブ首長国連邦と米国に焦点を当てていました。戦争の勃発後、イスラエルへの集中は急上昇しました。Microsoft が追跡したイラン国家主導によるサイバー活動の 43% がイスラエルを標的としており、これは次に標的となった 14 か国を合わせた数よりも多くなっています。

イスラエルとハマスの対立が続く中、特に新たな戦線でのエスカレーションの可能性が高まる中、イランのサイバー作戦と影響工作の脅威が増大すると予想されます。戦争の初期には、イランのグループは性急に作戦を実施したり、あるいは単にでっち上げたりしていましたが、最近のイランのグループは作戦のペースを落とし、必要なアクセスを入手したり、より手の込んだ影響工作を展開したりするための時間を確保しています。本レポートで概説された戦争のフェーズから明らかになっているのは、イランのサイバー作戦と影響工作が徐々に進展し、標的を絞り、協力的で破壊的なものになってきているということです。

イランのアクターはまた、標的を設定することにおいてますます大胆になってきており、特に病院に対するサイバー攻撃では、米国政府のレッド ラインを試すような行為も平然と行っています。IRGC が米国の水道管理システムを攻撃したのは、イスラエル製の機器を攻撃する正当性を主張することで、米国政府を試す巧妙な策略であったようです。

2024 年 11 月の米国選挙を前に、イランおよびイラン系グループ間の協力関係の強化は、選挙の防衛に携わる人々にとってより大きな挑戦となることを予感させます。防衛者はもはや、少数のグループを追跡することで平安を得ることはできません。むしろ、アクセス エージェント、影響工作グループ、サイバー アクターの数の増加によって、より複雑で絡み合った脅威の環境が生み出されています。