イスラエル・ハマスの紛争に関する 5つの疑問

KELAサイバーインテリジェンスセンター

2023年が終わりに近づく一方で、イスラエル・ハマス間の紛争とそれに伴うサイバー攻撃は依然激化しています。この紛争が勃発して以降これまでの間に、KELAはお客様やパートナー企業の皆様から数々のご質問をいただきました。今回のブログではそれらご質問のうち5つを取りあげ、物理的な戦争が発生した際、サイバーセキュリティに生じる影響について解説します。


物理的な戦争が発生した時に、サイバー脅威に ついても警戒すべき理由とは?

過去20数年を振り返ると、世界の様々な地域で地政学的・軍事的紛争が発生しており、その中にはいわゆる「ハイブリッド戦争」となった紛争も多数ありました。ハイブリッド戦争とは、政治的目標を達成するために、軍による従来型の戦闘行為とサイバー攻撃、非正規戦を組み合わせて行われる戦争を指します。ロシアによるウクライナ侵攻で勃発したサイバー戦争からもわかるとおり、国家の支援を受けた脅威アクターが標的の活動を中断させたり、障害を引き起こすにあたって、必ずしも高度なスキルを有している必要はないのです。これまでKELAは、主に親ロシア派のハクティビストグループがウクライナの組織を標的に展開したハクティビストキャンペーンを100件以上観察してきましたが、それらサイバーキャンペーンの種類や技術レベルは様々でした。

そして我々はイスラエル・ハマス間の紛争において、親ハマス派や親パレスチナ派のグループが同様の活動を行っていることを確認しました。彼らに狙われた標的のほとんどは、イスラエルまたはパレスチナの企業や組織(政府機関や軍など)でしたが、我々が観察したところ、特にイスラエルかパレスチナの一方を積極的に支持している(または支援活動に関与している)第三者組織も多数攻撃を受けていました。つまり今回の紛争は物理的な攻撃に留まっておらず、また組織にとっての懸念事項となっていることに疑いの余地はありません。


ハマスはサイバー脅威をもたらすのか?彼らは高度なサイバー能力を持っているのか?

過去長年にわたり、研究者の見解では中東の脅威アクターによるものとされている集団的活動が発生していますが、それら活動の一部はパレスチナ人と利害が一致しているとされています(つまり反イスラエル的な活動であったり、パレスチナ人が掲げている目標を支持しているということです)。研究者は、それらアクター(グループ含む)のうち、「Operation Parliament」の背後にいるグループと「Molerats」、「APT-C-23」が、ハマスのサイバー戦争部隊として知られる「Gaza Cybergang」の傘下にある部門であると報告しています。その他の研究者からは、イランがこれらグループの活動に関与している(または支援している)という見解も寄せられています。また10月7日以降は、これらのグループがイスラエルの組織に対する攻撃で使用しているツールとして、バックドア「SysJoker」の新たな亜種、初期アクセスダウンローダー「IronWind」、Linuxを標的とするワイパー「BiBi-Linux Wiper」、Pierogi++で記述されたバックドア型マルウェアの存在も報告されました(ただし一部の攻撃は、今回の紛争以前から始まっていました)。

これらの報告はいずれも、ハマスにサイバー攻撃を行うだけの能力があることを示唆しています。しかしその一方で重要な点として、ハマスの攻撃はイランの支援を受けていること(イランは悪名高いAPTグループを運営しています)、そしてこれまでのハマスの攻撃では親ロシア派の「Killnet」や「Anonymous Sudan」などが「娯楽」目的で「ハクティビスト」キャンペーンを実行し、加担していたことが挙げられます。つまりハマスがもたらしたサイバー脅威は、実際にはハマスのみによって生まれたものではないのです。


この紛争に関連したサイバー活動として、 どのような活動が観察されているのか?

上記のようなサイバーキャンペーンが発生する度に、多数のサイバーセキュリティ研究者から攻撃に関する報告が寄せられています。そしてそれらの攻撃とは別にKELAの監視活動でも、様々なハクティビストグループが主にTelegramチャンネルやX(旧Twitter)上で、ネットワークを侵害した証拠となるスクリーンショットや犯行声明、攻撃を行うとの脅迫や、計画的な攻撃に関するメッセージを公開している様子が観察されています。

親パレスチナ派のハクティビストグループがイスラエル・ハマス間の紛争にからめて行っているサイバー攻撃やキャンペーンは、その種類も複雑さも多岐にわたります。我々が観察した攻撃の事例としては、ウェブサイトの改ざんやDDoSキャンペーン、サーバーやデータベースを侵害したとの犯行声明、被害組織にとって機密と思われる文書のリーク、個人情報のさらしなどが挙げられます。また「Unitronics」社製の送水ポンプシステムなど、イスラエル企業が製造した製品に対する不正アクセスの犯行声明も出されました。その他、この紛争の初期にはミサイル警報システムのモバイルアプリ「Red Alert」を改ざんしたとの犯行声明が出され、イスラエルの国民に影響を及ぼす事態に発展したインシデントもありました。しかしその一方で、イスラエルがイランやガザの組織・施設、さらには親ハマス派のTelegramチャンネルを攻撃したとする主張も観察されました。また活動そのものはサイバー攻撃には該当しないものの、標的について誤った情報を拡散し、人々の心理に影響を与えることを目的とした偽情報キャンペーンも展開されており、今回イスラエル・ハマス間の紛争で観察された偽情報キャンペーンの数は、現代史上最多に匹敵するであろうと報告されています。


イスラエルに自社の拠点がない場合でも標的になるのか?事業を展開する場所と攻撃の有無に関係はあるのか?

他のセクションでも触れたとおり、攻撃の大半は戦争当事者である国や地域、すなわち今回の紛争でいえばイスラエルやパレスチナの企業・組織(政府機関や軍隊など)を標的に行われています。しかし弊社が観察した限り、当事者となる国や地域以外の企業・組織が標的になっている事例も多数あり、特に当事者国の一方を支持している国や地域が標的となっています。例えばアラブ首長国連邦(UAE)に拠点を置く組織は、「同胞であるパレスチナのイスラム教徒を支援せず、イスラエルに協力している」との理由で攻撃されていることが観察されています。また、インドの組織や企業も、同国の政府がイスラエルやその他の国々を支持しているとして攻撃の標的となっています。

親パレスチナ派のハクティビストグループ「Dark Storm Team」が
アラブ首長国連邦に対して犯行声明を出している投稿(KELAのプラットフォーム上で表示した投稿のスクリーンショット)


残念なことに、今回の地政学的紛争の影響は直接の当事者以外にも波及しており、イスラエルや米国に対する支持を公に表明した国々の企業も標的となる可能性があります(米国は世界で最もイスラエルを支持している協力国です)。これに加え、イスラエル企業が製造した部品を標的にした攻撃も発生しており(前述したUnitronics社製の送水システムなど)、今までとは違う意図や理由でサプライチェーン攻撃を行われるリスクも生じています。そしてその結果として、直接の標的にはされなかった企業にも影響が生じる可能性があります。


そのようなサイバー攻撃から自社を守るために できることは?

これは、皆様の組織も標的となりうることを考えれば当然浮かんでくる重要な質問です。皆様が自組織を守るにあたって取られるべき対策を、以下にご提案いたします。

  • 監視:攻撃者が自組織(またはご自身)を標的にしている兆候を検知する手段として、KELAをはじめとするサイバーインテリジェンスプラットフォームと他の監視ツールを組み合わせて活用します。また、脅威アクターが採用している最新のTTP(戦術・技術・手順)や彼らの会話について理解を深めることも重要となります。
  • 対DDoS攻撃用ソリューションに投資し、DDoS攻撃を実行する脅威から自組織を確実に防御します。
  • 自組織のアタックサーフェスや特権が付与されたアクセス、データベースを全て把握・保護できていることを確認し、脅威アクターによる不正アクセスを阻止するために必要な規則やツールを導入します。また機密情報を扱う全ての資産に、多要素認証の導入を徹底します。
  • 従業員研修:フィッシングメールは平時から送信されていますが、戦争時には標的とする企業や組織に合わせてよりカスタマイズした内容が取り入れられており、また戦争に関するトピックがおとりに使用される事例が多発しています。その他、職員を標的にしたソーシャルエンジニアリングも行われています。これらの攻撃について職員向けの研修を実施し、不必要にリンクを開かないこと、機密性の高い情報に関連する依頼を受け取った場合は、組織内の担当者に対面で確認するなどして十分に注意することなどを徹底します。
  • 偽情報の拡散に関する一般的な注意事項とも言えますが、見たもの全てを盲信せず、まず各自で情報の真偽を確認します。そして真偽を確認できない場合は、他者には共有しないことを徹底します。


自組織を狙う脅威に関するアラートをリアルタイムで受信していただけます。 KELAのサイバー脅威インテリジェンスプラットフォームを無料でお試しください。