中東情勢がなお流動的な中、西側諸国がイラン政権によるサイバー攻撃の可能性を懸念するのはもっともである。実際に、国家支援ハッキング集団が活動している。
ただし、攻撃用ゼロデイの脅威という点では、それをはるかに上回る相手がいることを忘れるべきではない。グーグル脅威インテリジェンスグループ(Google Threat Intelligence Group、GTIG)の新たな分析は、その現実を改めてはっきり示している。GTIGの専門家が追跡したところ、2025年に実際の攻撃で悪用されたゼロデイ脆弱性は計90件あった。国家支援によるスパイ活動で使われたゼロデイの分野で突出していたのは、中華人民共和国だった。
イランの国家支援ハッキング集団
イランは爆撃が始まると政権が国全体の接続を遮断し、ほぼ全面的なインターネット遮断状態に移行した。それでも、Handala(ハンダラ)のような国家支援ハッキング集団がStarlink(スターリンク)接続を使って攻撃を実行していると報じられている。別の集団MuddyWater(マディウォーター)も、ゼロデイのバックドア悪用を使って米国の組織を攻撃しているとされる。
グーグル、ゼロデイを使ったスパイ活動を主導した中国系国家支援グループの存在を指摘
だが、過去10年にわたりゼロデイを使ったスパイ活動を主導してきたのは中国系の国家支援グループであり、GTIGの最新報告でもその状況は変わっていない。
UNC5221やUNC3886といったグループは、「戦略的標的への持続的なアクセスを維持するため、セキュリティアプライアンス(ネットワーク防御用の専用機器)やエッジデバイス(ネットワークの境界に設置される機器)への攻撃に引き続き注力している」とグーグルは述べている。2025年にはゼロデイ全体に占める国家支援グループの割合は低下し、代わって商用スパイウェアベンダー(監視ソフトを販売する民間企業)がこの不名誉な脅威アクター(攻撃主体)ランキングの首位に躍り出た。それでもなお、中国は「2025年においてもゼロデイ攻撃の重要な開発者かつ使用者であり続けた」のである。
GTIGは、計10件のゼロデイについて、中国とのつながりがあるとみられるサイバースパイ集団によるものと断定した。「これは、2024年にこれら集団に関連付けた件数の2倍だ」とグーグルは認めている。さらに、監視が難しいエッジ機器やネットワーク機器に狙いを定め続けることで、「戦略的なネットワーク内に長期的な足場を維持できる」と付け加えた。
中国のサイバー攻撃活動は、「攻撃手法の開発・流通サプライチェーン」として高度に効率化
この分析でおそらく最も憂慮すべき点は、こうした脆弱性が大規模に悪用されていることから浮上する事実である。関与する攻撃者は、ゼロデイ攻撃の開発と流通の両面で腕を上げているだけではない。グーグルの言い方を借りれば、攻撃手法や攻撃用コードそのものがもはや「資金や人員が最も豊富な脅威グループだけが厳重に保持し、利用するもの」ではなくなっている。実際、脆弱性が公表された直後に近い時点で悪用されている例が確認されている。これは、「中国系のスパイ活動オペレーターたちは、攻撃手法の開発や他グループへの配布など、さまざまな面で連携を強め効率化し、攻撃までに要する時間を縮めた可能性」ことを示している。
包括的な防御と対応のため、リアルタイムでの監視と異常検知を徹底する必要性
したがって、あらゆる組織は、イランのハッカーやその支援者による攻撃の可能性だけでなく、見つけた弱点は何でも突こうとする中国系脅威アクターの継続的な脅威にも備え、最善の防御策を講じる必要がある。グーグルは、「包括的な防御と対応には、監査し維持管理すべきすべての資産をリアルタイムで把握することが欠かせない」と警告した。そのうえで、「システムとネットワークの双方で継続的に監視し、異常を検知し、さらに精度が高く実際に対処につながる警告機能を組み合わせること。それが、脅威が起きたその場で検知し、行動に移すためのリアルタイムの手段になる」と述べている。
