イラン関連のハッカーが米国の重要インフラを標的とする
イラン関連の脅威アクターが、米国および同盟国のネットワークに対してサイバー作戦を強化しており、Seedwormは最近、重要なインフラや高価値の組織に対して新しいバックドアを展開しています。
Seedwormは、2010年にシーマンテックの研究者によって初めて報告されたAPTグループで、イランの情報機関(MOIS)の下で活動しているとCISAは述べています。Seedwormは、通信、政府、エネルギー機関を標的とするスパイ活動に焦点を当て、独自のマルウェアを開発すると同時に、二重使用や既存のツールを活用しています。
Seedwormの活動
Seedwormは、2026年2月初旬から米国の組織のネットワークで活動を続けており、米国とイスラエルの攻撃が続く中で、米国の銀行、空港、北米の非営利団体、そしてイスラエルの国防や航空宇宙セクター向けソフトウェアを供給する米国の企業のイスラエル支社を標的としています。
Seedwormは、Denoランタイムを使用したJavaScriptとTypeScriptのバックドア「Dindoor」を展開し、これは「Amy Cherne」という名前の証明書で署名されていました。また、Pythonベースのバックドア「Fakeset」も展開され、これは「Amy Cherne」と「Donald Gay」の証明書で署名されていました。
脅威の背景
Seedwormの活動は、2026年2月28日から始まった米国とイスラエルによるイランへの空爆の背後で進行しています。この空爆により、イランの最高指導者アヤトッラー・アリー・ハメネイが死亡し、イランは報復としてミサイルやドローン攻撃を展開しました。
米国の情報機関は、イランとその代理人がサイバー攻撃を実施する可能性が高いと警告しています。これは、ウェブサイトの破壊、DDoS攻撃、その他の機会主義的な活動を含む、国家レベルの「ハッカティビスト」によるものと予想されています。
組織が注意すべき点
Seedwormの現在のアクセスとイランの戦略に基づき、組織は米国および同盟国の重要なインフラに対する騒がしい活動と低速な活動の両方を予想する必要があります。
セキュリティチームは、Rcloneの異常な使用、クラウドストレージプロバイダーへのデータ転送の異常、Denoランタイムの予期しない使用、以前に悪用された証明書に関連するコード署名バイナリなど、特定の兆候に注意を払う必要があります。
対策
インターネットに接続された資産のDDoSパターン、ウェブエクスプロイトの試み、パスワードスプレーの監視を強化し、マルチファクターオートンメーションの強制、アイデンティティシステムの強化、オフラインの不可変バックアップの維持など、リスクを軽減するための重要なステップを講じることが重要です。