Predatory Sparrowの台頭
「Predatory Sparrow」として知られる高度なサイバー妨害グループが、過去数年間にわたりイランの重要インフラを標的としてきた最も破壊的な脅威アクターの一つとして浮上しました。金銭的利益を目的とする従来のサイバー犯罪とは異なり、このグループは不可欠なサービスを麻痺させ、機密データを破壊し、挑発的な政治的メッセージを発信することを目的とした、極めて破壊的なキャンペーンを実行しています。セキュリティ研究者や情報アナリストは、Predatory Sparrowがイスラエルの支援を受けて活動していると広く信じており、その活動は2019年以降劇的に激化したイスラエルとイラン間のサイバー影の戦争という広範な文脈の中に位置づけられています。
主要な攻撃事例
2021年7月:鉄道システムへの攻撃
Predatory Sparrowは、イランの国家インフラの多様なセグメントに侵入し、妨害する驚くべき能力を示してきました。このグループが国際的な注目を浴びたのは2021年7月で、イランの国営鉄道システムを侵害し、広範な運用麻痺を引き起こし、全国の駅情報ボードに「サイバー攻撃」というメッセージを表示させました。この攻撃では、感染したシステムを完全に動作不能にし、侵入のフォレンジック証拠を消去するように特別に設計された、「Meteor」として知られる高度な破壊的ワイパーマルウェアが使用されました。
2022年6月:製鉄所へのサイバー攻撃
2022年6月には、Predatory Sparrowがイランの製鉄所に対するサイバー攻撃の責任を主張し、大規模な火災を引き起こし、甚大な物理的損害と生産停止をもたらしました。この事件は、サイバー攻撃が現実世界での物理的影響、特に産業安全保障と国家経済安全保障に壊滅的な結果をもたらし得ることを示す、サイバー戦争戦術における憂慮すべき進化を示しました。
2023年12月:全国ガソリンスタンド網への攻撃
2023年12月、Predatory Sparrowはイラン全国のガソリンスタンド網を標的とした、最も広範な混乱キャンペーンの一つを実行しました。グループは、イランの燃料ポンプの大部分を無効にしたと主張し、一般市民に混乱をもたらし、国全体の日常生活に影響を与える能力を示しました。ソーシャルメディアプラットフォームX(旧Twitter)に投稿された声明で、グループは、この作戦をイスラム共和国とその地域の代理人による行動への報復と特徴づけ、技術的な作戦に付随する露骨な政治的メッセージを披露しました。
2025年6月:金融インフラへの攻撃
グループの最も最近かつ財政的に壊滅的な作戦は、イスラエル軍によるイラン標的への空爆直後の2025年6月に発生しました。Predatory Sparrowはイランの金融インフラに対する協調攻撃を開始し、まず国営銀行Bank Sepahを標的とし、グループが「完全なデータ消去作戦」と称する攻撃を行いました。攻撃者は、同行がイランの軍事機構に資金を提供していると非難し、そのデジタルシステムを完全に動作不能にし、数百万人の顧客の銀行サービスを混乱させたと主張しました。翌日、Predatory Sparrowはイラン最大の暗号通貨取引所であるNobitexに対して、極めて破壊的な攻撃を実行しました。グループは、約9000万ドル相当の暗号通貨資産をアクセス不能なブロックチェーンアドレスに転送することで「焼却」したと主張し、事実上、資金を永久に回復不能にしました。さらに、攻撃者はNobitexの完全なソースコード、詳細なインフラストラクチャドキュメント、および機密性の高い内部研究開発資料を公開しました。この大規模なデータ侵害は、即座の金銭的損失だけでなく、将来の攻撃を容易にする可能性のある重要な運用上の脆弱性と知的財産を露呈させました。
高度な攻撃手法
Predatory Sparrowの作戦の技術分析は、高度な戦術、技術、手順を用いる非常に洗練された敵対者であることを明らかにしています。グループは広範な偵察能力を示し、標的ネットワークをマッピングし、重要なシステムを特定するために、攻撃前に徹底的な監視を行うことがよくあります。彼らのMeteorワイパーマルウェアは、暗号化された設定ファイルとログを備えており、インシデント対応者にとってフォレンジック分析を著しく困難にしています。攻撃チェーンは通常、侵害されたVPN認証情報または公開されているアプリケーションの悪用による初期アクセスから始まります。標的ネットワークに侵入すると、Predatory Sparrowは、悪意のあるファイルをWindows Defenderの除外リストに追加したり、Kasperskyなどのサードパーティ製アンチウイルスソフトウェアをアンインストールしようとしたりするなど、セキュリティ制御を体系的に無効にするバッチスクリプトを展開します。グループはまた、ネイティブユーティリティを使用してWindowsイベントログをクリアするなど、フォレンジック対策技術も採用しており、その活動の証拠を効果的に消去しています。彼らの破壊的なペイロードは、最大の損害を確保し、システム回復を防止するために複数のメカニズムを実装しています。これには、「vssadmin.exe delete shadows /all /quiet」のようなコマンドを使用してすべてのボリュームシャドウコピーを削除することや、感染したマシンが再起動できないようにブート構成データを妨害することが含まれます。マルウェアの一部のバリアントは、旅客情報システム上での実行を避けるためにホスト名をチェックし、政治的声明を伝えるために必要なインフラストラクチャを温存しつつ、メッセージが公共のボードに適切に表示されるようにしています。
脅威の進化と対策
Predatory Sparrowの出現は、国家が支援するサイバー作戦における危険な進化を表しており、高度な技術的能力が明確な破壊的意図と融合し、重要な国家インフラ全体に連鎖的な混乱を生み出しています。この脅威アクターがその技術を洗練させ、標的ポートフォリオを拡大し続けるにつれて、このような断固たる敵対者から防御するためには、包括的なセキュリティ検証、継続的な監視、および実際の攻撃が発生する前に防御ギャップを特定するための高度な持続的脅威シナリオをシミュレートする能力が必要とされます。