米国 CISA等 イランのサイバー攻撃者は、脆弱な米国のネットワークおよび関心のある事業体を標的にする可能性がある (2025.06.30)

こんにちは、丸山満彦です。

2025.06.30の注意喚起を今頃紹介するか？という話ですが(^^;;

イランの核計画を進展させることを防ぐために 2025.06.21に米国がイランの3カ所の核施設（フォルドゥ、ナタンズ、イスファハン）を対象に攻撃を実行したと発表し、2025.06.24に停戦が合意？したと発表されているのですが、両国政府とも停戦についての正式な発表はしていないし、攻撃が全くなくなったわけではなく、緊張関係は続いているので、こういう話も出しておこうということですかね...

発表は、CISA、連邦捜査局（FBI）、国防総省サイバー犯罪センター（DC3）、国家安全保障局（NSA）の共同で行われていますね...

ちなみに、司法省による北朝鮮の遠隔情報技術従事者の違法な収益創出スキームに対抗するための全国的な協調措置についての発表も同日に行われています...

 

● CISA

・2025.06.30 Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest

Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest	イランのサイバー攻撃者は、脆弱な米国のネットワークおよび関心のある事業体を標的にする可能性がある
CISA, the Federal Bureau of Investigation (FBI), the Department of Defense Cyber Crime Center (DC3), and the National Security Agency (NSA) published Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest. This joint fact sheet details the need for increased vigilance for potential cyber activity against U.S. critical infrastructure by Iranian state-sponsored or affiliated threat actors.	CISA、連邦捜査局（FBI）、国防総省サイバー犯罪センター（DC3）、および国家安全保障局（NSA）は、「イランのサイバーアクターが米国の脆弱なネットワークおよび関心のある事業体を標的にする可能性がある」という共同事実報告書を発表した。この共同事実報告書は、イランの国家支援または関連脅威アクターによる米国の重要インフラに対する潜在的なサイバー活動に対する警戒を強化する必要性について詳しく説明している。
Defense Industrial Base companies, particularly those possessing holdings or relationships with Israeli research and defense firms, are at increased risk.	防衛産業基盤企業、特にイスラエルの研究機関や防衛企業と提携関係にある企業は、リスクが高まっている。
At this time, we have not seen indications of a coordinated campaign of malicious cyber activity in the U.S. that can be attributed to Iran. However, CISA urges owners and operators of critical infrastructure organizations and other potentially targeted entities to review this fact sheet to learn more about the Iranian state-backed cyber threat and actionable mitigations to harden cyber defenses. For an overview of the Iranian threat, refer to CISA’s Iran Threat Overview and Advisories and the FBI’s The  Iran Threat webpages .	現時点では、イランによるものと推定される、米国における悪意のあるサイバー活動の組織的なキャンペーンを示す兆候は確認されていない。しかし、CISA は、重要インフラ組織およびその他の標的となる可能性のある事業体の所有者および運営者に、このファクトシートを確認し、イランが支援するサイバー脅威と、サイバー防御を強化するための実行可能な緩和策について詳しく確認するよう強くお勧めする。イランの脅威の概要については、CISA の「イランの脅威の概要と勧告」および FBI の「イランの脅威」のウェブページを 参照すること。

 

・[PDF]

 

Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest	イランのサイバーアクターは、脆弱な米国のネットワークおよび関心のある事業体を標的とする可能性がある
Overview	概要
The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), the Department of Defense Cyber Crime Center (DC3), and the National Security Agency (NSA) (hereafter referred to as the authoring agencies) strongly urge organizations to remain vigilant for potential targeted cyber activity against U.S. critical infrastructure and other U.S. entities by Iranian-affiliated cyber actors. Despite a declared ceasefire and ongoing negotiations towards a permanent solution, Iranian-affiliated cyber actors and hacktivist groups may still conduct malicious cyber activity. The authoring agencies are continuing to monitor the situation and will release pertinent cyber threat and cyber defense information as it becomes available.	サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）、国防総省サイバー犯罪センター（DC3）、および国家安全保障局（NSA）（以下、「作成機関」という）は、イラン関連のサイバーアクターによる米国の重要インフラおよびその他の米国事業体に対する標的型サイバー活動の可能性について、引き続き警戒を続けるよう強くお勧めする。停戦が宣言され、恒久的な解決に向けた交渉が継続しているにもかかわらず、イラン関連のサイバーアクターやハクティビスト集団は、依然として悪意のあるサイバー活動を行う可能性がある。作成機関は、引き続き状況を監視し、関連するサイバー脅威およびサイバー防衛に関する情報を入手次第、公開する。
Threat Activity	脅威活動
Based on the current geopolitical environment, Iranian-affiliated cyber actors may target U.S. devices and networks for near-term cyber operations. Defense Industrial Base (DIB) companies, particularly those possessing holdings or relationships with Israeli research and defense firms, are at increased risk. Hacktivists and Iranian-government-affiliated actors routinely target poorly secured U.S. networks and internet-connected devices for disruptive cyberattacks.	現在の地政学的状況に基づき、イラン関連のサイバーアクターは、短期的なサイバー作戦の標的として米国のデバイスやネットワークを攻撃する可能性がある。防衛産業基盤（DIB）企業、特にイスラエルの研究機関や防衛企業と提携関係にある企業は、リスクが高まっている。ハクティビストやイラン政府関連のアクターは、セキュリティ対策が不十分な米国のネットワークやインターネットに接続されたデバイスを、破壊的なサイバー攻撃の標的として日常的に狙っている。
Iranian-affiliated cyber actors and aligned hacktivist groups often exploit targets of opportunity based on the use of unpatched or outdated software with known Common Vulnerabilities and Exposures (CVEs) or the use of default or common passwords on internet-connected accounts and devices. (Note: See CISA’s Known Exploited Vulnerabilities Catalog for more information on vulnerabilities that have been exploited in the wild). These malicious cyber actors commonly use techniques such as automated password guessing, cracking password hashes using online resources, and inputting default manufacturer passwords. When specifically targeting operational technology (OT), these malicious cyber actors also use system engineering and diagnostic tools to target entities such as engineering and operator devices, performance and security systems, and vendor and third-party maintenance and monitoring systems.	イラン関連のサイバーアクターや、彼らと提携するハクティビストグループは、既知の共通脆弱性およびエクスポージャー（CVE）を含むパッチが適用されていない、または古いソフトウェア、あるいはインターネットに接続されたアカウントやデバイスでデフォルトまたは一般的なパスワードが使用されていることを利用して、機会を捉えて攻撃を行うことが多い。（注：実際に悪用されている脆弱性に関する詳細については、CISA の「既知の悪用されている脆弱性カタログ」を参照のこと）。これらの悪意のあるサイバーアクターは、通常、自動パスワード推測、オンラインリソースを使用したパスワードハッシュの解読、製造事業者のデフォルトパスワードの入力などの手法を使用している。運用技術（OT）を具体的に標的とする場合、これらの悪意のあるサイバーアクターは、システムエンジニアリングおよび診断ツールを使用して、エンジニアリングおよびオペレーターデバイス、パフォーマンスおよびセキュリティシステム、ベンダーおよびサードパーティの保守および監視システムなどの事業体を標的とする。
Over the past several months, Iranian-aligned hacktivists have increasingly conducted website defacements and leaks of sensitive information exfiltrated from victims. These hacktivists are likely to significantly increase distributed denial of service (DDoS) campaigns against U.S. and Israeli websites due to recent events.	ここ数ヶ月、イランと関係のあるハクティビストは、ウェブサイトの改ざんや、被害者から盗んだ機密情報の漏洩をますます頻繁に行っている。これらのハクティビストは、最近の出来事を受けて、米国およびイスラエルのウェブサイトに対する分散型サービス妨害（DDoS）キャンペーンを大幅に増加させる可能性が高い。
Iranian-affiliated cyber actors may also conduct ransomware attacks in collaboration with other cybercriminal groups. These actors have been observed working directly with ransomware affiliates to conduct encryption operations, as well as steal sensitive information from these networks and leaking it online.	イランと関係のあるサイバー攻撃者は、他のサイバー犯罪グループと協力してランサムウェア攻撃を行う可能性もある。これらのアクターは、ランサムウェアの関連組織と直接連携して、暗号化操作を実施したり、これらのネットワークから機密情報を盗み出し、オンラインで漏洩したりしていることが確認されている。
Previous Cyber Campaigns	これまでのサイバーキャンペーン
Between November 2023 and January 2024, during the Israel-Hamas conflict, Iranian Islamic Revolutionary Guard Corps (IRGC)-affiliated cyber actors actively targeted and compromised Israeli-made programmable logic controllers (PLCs) and human machine interfaces (HMIs). This global campaign included dozens of U.S. victims in the water and wastewater, energy, food and beverage manufacturing, and healthcare and public health sectors. The actors leveraged public internet-connected industrial control systems (ICSs) that used factory-default passwords, or no passwords, and default Transmission Control Protocol (TCP) ports.	2023年11月から2024年1月にかけて、イスラエルとハマス間の紛争中に、イランのイスラム革命防衛隊（IRGC）に所属するサイバーアクターが、イスラエル製のプログラマブル・ロジック・コントローラ（PLC）およびヒューマン・マシン・インターフェース（HMI）を積極的に標的にし、侵害しました。この世界規模のキャンペーンでは、水道・下水、エネルギー、食品・飲料製造、医療・公衆衛生の各分野において、米国で数十人の被害者が発生した。攻撃者は、工場出荷時のデフォルトのパスワード、あるいはパスワードが設定されていない、インターネットに接続された産業用制御システム（ICS）と、デフォルトの伝送制御プロトコル（TCP）ポートを悪用した。
Following the onset of the Israel-Hamas conflict, Iranian-affiliated cyber actors conducted several hack-andleak operations to protest the conflict in Gaza. This campaign combined hacking and theft of data with information operations (e.g., online amplification through social media or threats and harassment using direct messaging). These operations resulted in financial losses and reputational damage for victims. The purpose of these campaigns was to undermine public confidence in the security of victim networks and data, as well as embarrass targeted companies and countries. While hacktivists primarily targeted Israeli companies, one instance involved a U.S. internet protocol television (IPTV) company.	イスラエルとハマス間の紛争が始まってから、イラン関連のサイバーアクターは、ガザでの紛争に抗議するために、いくつかのハッキングおよび情報漏えい作戦を実施した。このキャンペーンでは、ハッキングやデータ盗難と、情報操作（ソーシャルメディアによるオンラインでの拡散、ダイレクトメッセージによる脅迫や嫌がらせなど）が組み合わされていた。これらの作戦により、被害者は金銭的損失と評判の低下という損害を被った。これらのキャンペーンの目的は、被害者のネットワークおよびデータのセキュリティに対する国民の信頼を損なうとともに、標的となった企業や国を恥辱にさらすことだった。ハクティビストは主にイスラエルの企業を標的としていたが、ある事例では、米国のインターネットプロトコルテレビ（IPTV）企業が標的となった。
Mitigations	緩和策
The authoring agencies strongly urge critical infrastructure asset owners and operators to implement the following mitigations to harden their cyber defenses against malicious actors.	作成機関は、重要なインフラ資産の所有者および運営者に、悪意のある攻撃者に対するサイバー防御を強化するため、以下の緩和策の実施を強く推奨する。
§  Identify and disconnect OT and ICS assets from the public internet.	§ OT および ICS 資産を識別し、パブリックインターネットから切断する。
o   Focus on remote access technologies such as virtual network computing (VNC), remote desktop protocol (RDP), Secure Shell Protocol (SSH) and web management interfaces (as part of an HMI, virtual private network [VPN], or otherwise).	o 仮想ネットワークコンピューティング (VNC)、リモートデスクトッププロトコル (RDP)、Secure Shell Protocol (SSH)、ウェブ管理インターフェース (HMI、仮想プライベートネットワーク [VPN] の一部など) などのリモートアクセス技術に重点を置く。
o   Adopt a deny-by-default allowlist policy to prevent unauthorized access if an asset’s remote access cannot be removed.	o 資産のリモートアクセスを削除できない場合は、不正アクセスを防止するために、デフォルトで拒否する許可リストポリシーを採用する。
§  Ensure devices and accounts are protected with strong, unique passwords (if not using multifactor authentication [MFA]) and immediately replace weak or default passwords.	§ デバイスおよびアカウントが、強固で固有のパスワード（多要素認証（MFA）を使用していない場合）で保護されていることを確認し、脆弱なパスワードやデフォルトのパスワードは直ちに交換する。
o   Use Role-Based Access Controls (RBAC) and conditional access policies for cloud service or managed service providers.	o クラウドサービスまたはマネージドサービス・プロバイダには、役割ベースのアクセス管理（RBAC）および条件付きアクセスポリシーを使用する。
§  Implement phishing-resistant MFA for accessing OT networks from any other network.	§ 他のネットワークから OT ネットワークにアクセスするには、フィッシング対策機能を備えた MFA を実装する。
o   Consider strategically requiring MFA for changes to high value controllers that are difficult to replace or could be significantly impacted if compromised.	o 交換が困難な、または侵害された場合に重大な影響を受ける可能性のある高価値のコントローラに変更を加える場合は、MFA を戦略的に要求することを検討する。
§  Apply the manufacturer’s latest software patches for internet-facing systems to ensure protection against known vulnerabilities.	§ インターネットに接続するシステムには、製造事業者の最新のソフトウェアパッチを適用して、既知の脆弱性に対する保護を確保する。
§  Prioritize monitoring user access logs for remote access to the OT network and for implementation of any firmware or configuration changes.	§ OT ネットワークへのリモートアクセス、およびファームウェアや設定の変更の実施について、ユーザーアクセスログの監視を優先する。
§  To reduce the impact of a successful intrusion, establish OT processes that prevent unauthorized changes, loss of view, or loss of control (e.g., PLCs in run mode rather than program mode, hardware or software interlocks, safety systems, and redundant sensors).	§ 侵入が成功した場合の影響を軽減するため、不正な変更、表示の喪失、制御の喪失を防ぐ OT プロセスを確立する（プログラムモードではなく実行モードの PLC、ハードウェアまたはソフトウェアのインターロック、安全システム、冗長センサーなど）。
§  Ensure business continuity and incident response plans are in place for a swift recovery, including implementing full system and data backups to facilitate any recovery efforts.	§ 迅速な復旧のための事業継続およびインシデント対応計画を策定し、復旧作業を円滑に進めるためのシステムおよびデータの完全なバックアップの実施を含む。
o   Review incident response plans and update as needed.	o インシデント対応計画を見直し、必要に応じて更新する。
o   Rehearse critical system recovery efforts and related actions, and update incident response plans based on results.	o 重要なシステムの復旧作業および関連措置をリハーサルし、その結果に基づいてインシデント対応計画を更新する。
§  Consider how exfiltrated data, such as leaked credentials, could be leveraged to conduct further malicious activity against your network, and ensure security mechanisms are in place to reduce the impact of a potential leak.	§ 漏洩した認証情報などの盗み出されたデータが、ネットワークに対するさらなる悪意のある活動に利用される可能性について検討し、潜在的な漏洩の影響を軽減するためのセキュリティメカニズムを確実に導入する。
Resources	参考資料
The authoring agencies, in collaboration with U.S. and foreign government partners, have previously released advisories describing high-level cyber tactics employed by Iranian-affiliated cyber actors and general guidance to harden systems and networks against this threat. The authoring agencies strongly recommend critical infrastructure organizations and other entities review the following resources for more information on this cyber threat and additional mitigations. The list below also incorporates physical security resources.	作成機関は、米国および外国の政府機関と協力し、イラン関連のサイバーアクターが採用する高レベルのサイバー戦術、およびこの脅威からシステムやネットワークを強化するための一般的なガイダンスについて記載した勧告を、これまで発表してきた。作成機関は、重要インフラ組織およびその他の事業体に、このサイバー脅威に関する詳細情報と追加の緩和策について、以下の参考資料を確認することを強くお勧めする。以下のリストには、物理的なセキュリティに関するリソースも含まれている。
§  For an overview of the Iranian threat, refer to CISA’s Iran Threat Overview and Advisories and the FBI’s The Iran Threat webpages.	§ イランの脅威の概要については、CISA の「イランの脅威の概要とアドバイザリ」および FBI の「イランの脅威」のウェブページを参照のこと。
§  For a list of cybersecurity advisories attributed to Iranian state-sponsored cyber actors, refer to CISA’s Iran State-Sponsored Cyber Threat: Advisories webpage.	§ イランの国家支援サイバーアクターによるサイバーセキュリティアドバイザリのリストについては、CISA の「イランの国家支援サイバー脅威：アドバイザリ」のウェブページを参照のこと。
§  Refer to the following FBI resources for additional Iranian-attributed joint products:	§ イランによるものとされるその他の共同製品については、以下の FBI のリソースを 参照すること。
o   Joint cybersecurity advisory: New Tradecraft of Iranian Cyber Group Aria Sepehr Ayandehsazan aka Emennet Pasargad.	o 共同サイバーセキュリティアドバイザリ：イランのサイバーグループ Aria Sepehr Ayandehsazan（別名 Emennet Pasargad）の新しい手口。
o   Joint cybersecurity advisory: Iranian Cyber Actors Targeting Personal Accounts to Support Operations.	o 共同サイバーセキュリティアドバイザリ：作戦を支援するために個人アカウントを標的とするイランのサイバーアクター。
o   Private industry notification (PIN): Iranian Cyber Group Emennet Pasargad Conducting Hackand-Leak Operations Using False-Flag Personas.	o 民間企業向け通知 (PIN): イランのサイバーグループ Emennet Pasargad が偽の身分を装ってハッキングおよび情報漏えい作戦を実施。
§  For Unitronics PLC-specific background and mitigations, refer to the joint cybersecurity advisory IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including US Water and Wastewater Systems Facilities.	§ Unitronics PLC に関する具体的な背景および緩和策については、共同サイバーセキュリティアドバイザリ「IRGC 所属のサイバーアクターが、米国の上下水道施設を含む複数のセクターの PLC を悪用」を 参照すること。
§  For more information on CyberAv3ngers, refer to the Department of State’s Reward for Justice:	§ CyberAv3ngers の詳細については、米国務省の「正義のための報奨金：
CyberAv3ngers.	CyberAv3ngers」を 参照すること。
§  For more information on techniques used to target OT and ICS, refer to the joint cybersecurity advisory Control System Defense: Know the Opponent.	§ OT および ICS を標的とする手法の詳細については、共同サイバーセキュリティ勧告「制御システムの防御：敵を知る」を 参照すること。
§  For more information on reducing the risk of cyber threats to OT, refer to the joint fact sheet Primary Mitigations to Reduce Cyber Threats to Operational Technology.	§ OT に対するサイバー脅威のリスクを軽減する方法の詳細については、共同ファクトシート「運用技術に対するサイバー脅威を軽減するための主な緩和策」を 参照すること。
§  For more information on defending against DDoS attacks, refer to the joint guide Understanding and Responding to DDoS Attacks.	§ DDoS 攻撃の防御に関する詳細については、共同ガイド「DDoS 攻撃の理解と対応」を 参照すること。
§  For more information on CVEs, refer to the joint advisory 2023 Top Routinely Exploited Vulnerabilities.	§ CVE に関する詳細については、共同勧告「2023 年に最も頻繁に悪用される脆弱性」を 参照すること。
§  For more information on improving cybersecurity and physical defenses, refer to CISA Insights: Increased Geopolitical Tensions and Threats.	§ サイバーセキュリティおよび物理的防御の改善に関する詳細については、CISA Insights「地政学的緊張と脅威の高まり」を 参照すること。
§  For more information on protecting physical environments, refer to CISA’s Physical Security – Preventative and Protective Strategies webpage.	§ 物理的環境の保護に関する詳細については、CISA の「物理的セキュリティ – 予防および保護戦略」のウェブページを 参照すること。

 

合わせて、情報提供の呼びかけもしていますね...

Contact Information	お問い合わせ先
The authoring agencies recommend U.S. organizations report suspicious or criminal activity related to information in this fact sheet.	作成機関は、米国の組織に対して、このファクトシートの情報に関連する不審な活動や犯罪行為を報告するよう推奨しています。
§  CISA: Contact CISA via CISA’s 24/7 Operations Center (report@cisa.gov or 888-282-0870).	§ CISA：CISA の 24 時間 365 日体制のオペレーションセンター（report@cisa.gov または 888-282-0870）までお問い合わせください。
o When available, please include the following information regarding the incident: date, time, and location of the incident; type of activity; number of people affected; type of equipment used for the activity; the name of the submitting company or organization; and a designated point of contact.	o 可能であれば、インシデントに関する以下の情報も併せてお寄せください：インシデントの発生日時と場所、活動の種類、影響を受けた人数、活動に使用された機器の種類、報告する企業または組織の名称、および指定の連絡先。
o For more information on reporting a cyber incident, refer to CISA’s Voluntary Cyber Incident Reporting webpage.	o サイバーインシデントの報告に関する詳細については、CISA の「自主的なサイバーインシデントの報告」のウェブページを  参照して下さい。
§ FBI: If you believe you have been the victim of Iranian cyber activity as described above, contact your relevant security officials and the FBI. The FBI requests victims report any incident to your local FBI Field Office or the Internet Crime Complaint Center (IC3) at www.ic3.gov. Include as much detailed information about the incident as possible.	§ FBI：上記のようなイランのサイバー活動の被害を受けたと思われる場合は、関連するセキュリティ担当者および FBI に連絡して。FBI は、被害者にインシデントを最寄りの FBI 支局またはインターネット犯罪苦情センター (IC3) (www.ic3.gov) に報告するよう求めている。インシデントに関する情報は、できるだけ詳しく記載して下さい。
§ NSA: For NSA cybersecurity guidance inquiries, contact [mail].	§ NSA：NSA のサイバーセキュリティに関するガイダンスについては、[mail] までお問い合わせください。
§ DC3: For DIB inquiries and cybersecurity services, contact [mail]. For media inquiries or the press desk, contact [mail].	§ DC3：DIB に関するお問い合わせおよびサイバーセキュリティサービスについては、 [mail] までお問い合わせください。メディアからの問い合わせまたはプレスデスクについては、[mail] までお問い合わせください。