イランが「イスラエル・ハマス戦争」の裏で反イスラエル世論形成のためのサイバー活動を強化しているとGoogleが報告

Googleのセキュリティ研究チーム「Threat Analysis Group(TAG)」が2024年2月14日に、イスラエル・ハマス戦争におけるサイバー攻撃の概況をまとめたレポートを発表しました。このレポートにより、イランがイスラエルやアメリカの世論を標的としたサイバー攻撃への関与を強めていることや、ウクライナ戦争の一環としてロシアが行っているサイバー攻撃との大きな違いなどが浮き彫りになりました。
Tool of First Resort: Israel-Hamas War in Cyber
https://blog.google/technology/safety-security/tool-of-first-resort-israel-hamas-war-in-cyber/
GoogleのTAGは、今回発表したレポート「(PDFファイル)Tool of First Resort」の中で、戦争勃発の発端となった2023年10月7日のテロ攻撃の前後および攻撃の最中におけるサイバー攻撃の動向を分析しました。
その結果、親イスラエルを掲げるハッカー、パレスチナのガザ地区を支配するイスラム原理主義組織のハマス、ハマスと緊密な関係にあるイラン、イランが支援しているレバノンのイスラム教シーア派民兵組織であるヒズボラが関与する複雑な攻防がサイバースペースで繰り広げられていることがわかりました。

Google傘下のサイバーセキュリティ会社・Mandiantのインテリジェンス担当ヴァイスプレジデントであるサンドラ・ジョイス氏は、「特筆すべきは、ハマスによるテロ攻撃の後、イランとヒズボラ関連のグループによる着実なサイバー作戦がより集中的かつ精力的になったことと、特にそれが戦争に対する国民の支持を弱めることを目的に行われるようになったことです」と述べています。
主な調査結果は次の3点です。
◆1：イランは積極的にイスラエルとアメリカの組織を標的にし続けている
イランは以前からイスラエルとアメリカに対する攻撃を続けており、10月7日に発生したハマスの攻撃を契機にイランの戦略が根本的に変化したわけではないとのこと。
その一方で、攻撃後は戦争に対するイスラエルとアメリカ両国民の支持を弱めることを目的とした集中的な取り組みが観察されており、これには以下のようなサイバー攻撃が含まれます。
・イスラエルの主要組織に対する破壊的攻撃。
・イスラエル国民の士気を低下させ、重要組織に対する信頼を失墜させ、イスラエルに対する世界的な世論を変えるための情報操作。
・イスラエルおよびアメリカに拠点を置くユーザーを対象とした一連のフィッシング攻撃により、重要な意思決定者に関する情報を収集すること。
・イスラエルとアメリカの重要インフラに対する攻撃という誇張された主張を含む「ハック＆リーク作戦」。

ハック＆リーク作戦とは、ハッキングとそれによって得られたデータを暴露することによって標的の信頼を損ねることなどを組み合わせた攻撃のことです。イランはサイバー攻撃の影響を一貫して強調しており、中にはあまり重要ではない標的に対する攻撃の影響を誇張する試みも見られたとのことです。
◆2：イランの重要インフラが、紛争を受けて立ち上がったと主張しているハッカーにより攻撃された
今回の戦争では、イスラエルとイラン双方でサイバー攻撃が行われており、2023年12月には「Gonjeshke Darande(肉食スズメ)」を名乗るハッカーの攻撃によりイランのガソリンスタンドの大半が停止しました。
サイバー攻撃でイランのガソリンスタンドの70％が停止、イスラエル系ハッカーが犯行声明を発表 - GIGAZINE

イランはGonjeshke Darandeの活動をイスラエルの仕業だと非難していますが、Googleはその主張を裏付けるのに十分な証拠を得ていないとのことです。
◆3：ハマスはサイバー攻撃を積極化させていない
イランが世論操作を主軸としたサイバー攻撃を強化したのに対し、ハマスは10月7日以降目立ったサイバー活動を見せておらず、10月7日の攻撃を支援するためにサイバー作戦を行った形跡もなかったとのこと。
ハマスが2023年9月までに行っていたサイバースパイ活動には、以下のようなものがあります。
・マルウェアを配信してデータを盗むための大規模なフィッシング作戦。
・フィッシング攻撃を通じて配布されたAndroid用バックドアを含むモバイル向けスパイウェアの使用。
・イスラエル、パレスチナ、中東の近隣諸国を標的とした継続的な攻撃、およびアメリカとヨーロッパを標的とした定期的な攻撃。

今回の分析では、ロシアが行っているサイバー攻撃との大きな違いも判明しました。ロシアは、2022年2月24日のウクライナ侵攻の直前に大規模なサイバー攻撃を実施していますが、これとは対照的に10月7日のテロ攻撃ではサイバー攻撃の急増が見られませんでした。
また、ロシアがサイバー攻撃と戦場での作戦行動を連携させているのに対し、ハマスの戦闘行為にサイバー攻撃が組み込まれたり、軍事行動を支援するためにサイバー攻撃が使われたりした形跡もありませんでした。
ジョイス氏は、ハック＆リーク作戦と情報操作が今後も重要な要素であり続ける可能性が高いことなどを指摘した上で、「今後の大規模な武力紛争でサイバー攻撃が重要な役割を果たすことは明らかです。私たちは、この報告書に記された分析と研究が世界中の防御者に情報を提供し、集団的防衛に対する新たな洞察を提供するのに役立つことを願っています」と述べました。