米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月24日(米国時間)、「Iranian Government-Sponsored Actors Conduct Cyber Operations Against Global Government and Commercial Networks|CISA」において、米国連邦捜査局(FBI: Federal Bureau of Investigation)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、サイバー国家任務部隊(CNMF: Cyber National Mission Force)、英国国家サイバーセキュリティセンター(UK NCSC: United Kingdom's National Cyber Security Centre)が、イラン政府の支援受けるサイバーアクターが世界各国の組織を標的としたサイバー作戦を展開していることを確認したと伝えた。
イラン政府が支援しているこのサイバーグループは「MuddyWater」という名称で知られている(そのほか、「Earth Vetala」、「MERCURY」、「Static Kitten」、「Seedworm」、「TEMP.Zagros」という名称でも知られている)。このサイバーグループはアジア、アフリカ、ヨーロッパ、北米の通信、防衛、地方自治体、石油・天然ガスなど、さまざまな分野の政府機関や民間企業を対象にサイバースパイ活動など、悪質なサイバー活動を展開しており注意が必要。MuddyWaterの目的は窃取したデータをイラン政府や他のサイバーアクターと共有することにあると考えられており注意が必要。
こうしたサイバー攻撃への対策としては、次の方法が挙げられている。
- アプリケーション制御ソフトウェアを導入し、ユーザーが実行可能なアプリケーションや実行コードを制限する
- Webメールや仮想プライベートネットワーク、重要なシステムにアクセスするアカウントに可能な限り多要素認証を導入する
- 管理者権限の使用範囲を制限する
- ウイルス対策ソフトウェアやマルウェア対策ソフトウェアを導入するとともに、シグネチャ定義ファイルを適切にアップデートする
- 知らない人から送られてくるメールやソーシャルメディア経由の未承諾の連絡は疑ってかかる
- 社外からのメールに対してバナーを表示するとともに、受信したメールにハイパーリンクを表示しないようにする
- ユーザーに対してフィッシングやソーシャルエンジニアリングの試みを認識し報告するようにシミュレーションや教育を実施する
- ネットワークデバイス、オペレーティングシステム、アプリケーション、電子メールサービスの各レベルで脅威評価サービスを導入する
- オペレーティングシステム、ソフトウェア、ファームウェアのアップデートやパッチがリリースされたらすぐに適用する
MuddyWaterはすでに公になっている脆弱性を悪用して、システム上の機密データにアクセスしてマルウェアのデプロイを行っている。他のサイバーセキュリティ脅威に対する対策も効果的であり、適切な対応を行っていくことが望まれる。