イラン関連のハンドラがウィパーアタックを強化
イスラエルや西側諸国を標的としたウィパーアタックのリスクが高まっていると、サイバーセキュリティの専門家が警告しています。この動きは、イランと関連があるとされるハンドラ・ハックグループの活動の一環と見られています。
ハンドラ・ハックグループとは
ハンドラ・ハックグループは、2023年末に初めて登場し、当初はハッカー集団として知られていましたが、現在ではイランの情報機関と関連があると広く認識されています。このグループは、Void Manticore、COBALT MYSTIQUE、Storm-1084、Storm-0842などの別名でも知られています。
ウィパーアタックの増加
パロアルト・ネットワークスのUnit 42の脅威インテリジェンスによると、ハンドラ・ハックグループは、イスラエルや西側諸国を含む組織に対する攻撃を強化しています。これらの攻撃は、標的組織がイスラエルや西側の利益と関連していると見なされる場合に行われることが多いです。
攻撃手法
ハンドラ・ハックグループは、一般的な脆弱性を悪用するのではなく、身元に基づいた攻撃を主に使用しています。攻撃者は、フィッシングキャンペーンを通じて正当なユーザーの資格情報を盗み、Microsoft Intuneなどの管理ツールを使用して破壊的なアクションを実行します。
イスラエルの警告
イスラエルの国家サイバーディレクターは、3月6日に公式警告を発表し、イラン関連の攻撃者が複数の企業ネットワークに侵入し、破壊的な攻撃を実行したことを報告しました。攻撃者は、正当なユーザー資格情報を使用してサーバーとワークステーションを削除し、サービスを中断し、組織のインフラを損傷させました。
ウィパーアタックの特徴
ウィパーアタックは、ランサムウェアとは異なり、破壊が主な目的です。ファイル、オペレーティングシステム、またはデバイスの設定を永久に削除するため、復元が非常に困難です。
防御策
セキュリティ専門家は、組織が破壊的な攻撃のリスクを低減するための防御策をいくつか提案しています:
- 管理者権限を削除し、敏感な役割に対してオンデマンドアクセスモデルを採用する。
- Microsoft Entra Privileged Identity Managementを使用して、優先権限アカウントをアクティブ化する前に多要素認証と承認を要求する。
- グローバル管理者やIntune管理者のアカウントの数を最小限に抑える。
- 管理者タスクを実行するための専用の特権アクセスワークステーションを使用する。
- ロールベースのアクセス制御を導入し、広範な管理者権限を廃止する。
- ハードウェアベースの認証(FIDO2セキュリティキー)を要求する条件付きアクセスポリシーを有効にする。
- デバイス管理プラットフォーム内のリモートワイプやファクトリーリセットなどの管理者アクションを監視する。
- 大量のデバイスワイプ試行などの異常イベントに対する自動アラートを設定する。
- 重要なシステムの不可変でオフラインのバックアップを維持する。
今後の対応
脅威インテリジェンスアナリストは、破壊的なサイバーオペレーションが地政学的緊張が高まるときに増加すると警告しています。組織は、アイデンティティセキュリティを強化し、管理者アクションを厳密に監視し、破壊的な攻撃に対するインシデント対応計画を準備する必要があります。
結論
地政学的緊張が続く中、セキュリティチームは警戒を維持し、イスラエル、アメリカ、連携地域の組織を標的とするイラン関連のサイバーオペレーションに関する更新された脅威インテリジェンスを確認することが重要です。