米国とイランとの緊張関係は、長年にわたってある種の瀬戸際外交にとどまっていた。ところが、イラン革命防衛隊の精鋭組織「コッズ部隊」の司令官で、イランの2番目の実力者と広く目されていたカセム・ソレイマニがドローン攻撃によって1月3日に殺害されたことで、緊張は危険なレヴェルにまで高まった。

こうした動きを受けて、イランの対応を世界が見守っている。これまでにもイランが展開してきた軍事ハッカー部隊を、新たに利用する可能性が高いとみられるからだ。

軍事資源に乏しい国の対抗手段

攻撃のあと、軍事アナリストとサイバーセキュリティアナリストは、とりわけ波状的かつ破壊的なサイバー攻撃がイランの対応に含まれる可能性を警告している。イランは長年にわたってコンピューターの大量破壊だけでなく、それより実現の可能性はずっと低いものの、おそらく先進的な、電力網や水道システムなど西側諸国の重要インフラに対する攻撃を実行する能力を培ってきた。

「サイバー攻撃は確かに選択肢のひとつであり、イランが実行可能で、仕掛ける可能性が高い攻撃です」と、ランド研究所のシンクタンクでイランを専門に研究している政治学者のアリアネ・タバタバイは言う。タバタバイは、イランと米国との紛争の非対称性を指摘する。イランは軍事資源に乏しく、イランには核兵器も強力な同盟国もないというのが彼女の主張である。

そのことは、弱小国が強大な国と戦うときに使用することが多い兵器、すなわち非国家テロ組織や民兵組織、そしてハッキングをイランが用いる可能性が非常に高いことを意味している。「イランが米国に対抗し、米国と張り合い、米国を抑止することができるとすれば、いまより対等な土俵で戦う必要があります。それがサイバー空間なのです」

サイバー戦争の能力を高めてきたイラン

米国とイスラエルは2007年、ナタンズのウラン濃縮施設に対して「Stuxnet」として知られるマルウェアを仕掛ける合同諜報作戦によって遠心分離器を破壊し、イランの核武装への取り組みを挫折させた。それ以来、イランはサイバー戦争の能力を強化している。自国のハッキング能力を進化させることに大量の資源を投入してきたのだ。ただし、イランがハッキングを展開しているのは、Stuxnetのような局部攻撃ではなく、スパイ活動や大量破壊を行うためである。

「Stuxnet以降、イランは政府やソレイマニが率いていたコッズ部隊を含む代理勢力の内部に複数のハッキング部隊をつくりました」と、ニューアメリカ財団のサイバーセキュリティ専門ストラテジストのピーター・シンガーはいう。以前のイランのハッカーは隠密性を維持し、不法活動との関連性を否定する必要があることから活動が制約されていた。ところが、これからは打って変わって非常に派手なメッセージを送ろうとする可能性があるというのが、シンガーの見解である。

「これらのハッカー部隊が米国のハッカー部隊と互角でないことは確かですが、イラクの部隊は重大な損害をもたらす能力をもっています。誰の仕業なのか明らかになることを心配する必要がなく、むしろそれを公にしたいのであれば、なおさらその能力は高まります」

ワイパー型マルウェアで攻撃？

イランが仕掛ける可能性が最も高いとみられるサイバー攻撃の形態は、近年イランが隣国に対して繰り返し実行しているサイバー攻撃の形態である。標的のネットワーク内部のなるべく多くのコンピューターを破壊する意図で作成された、いわゆるワイパー型マルウェアだろう。

イランは2012年に「Shamoon」や「Stone Drill」といったワイパー型マルウェアを用いて、サウジアラムコの3万台のコンピューターを破壊した攻撃を実行している。これを皮切りに、中東の隣国に対して波状的な破壊攻撃を加えた。

イランのハッカーは2014年、ラスヴェガス・サンズ・コーポレーションのオーナーであるシェルドン・アデルソンがイランに対する核攻撃を提言したことを受けて、同社をワイパーで攻撃している。最近ではイランのハッカーは、アラブ首長国連邦、カタール、クウェートなど、隣接するペルシア湾岸諸国の民間企業や、サウジアラムコを大口顧客とするイタリアの石油会社サイペムを攻撃した。

「これまでにわかっている能力から判断すると、イランのハッカー部隊はまだITを標的とするワイパーに的を絞っている段階です」と、企業向けサイバーセキュリティ企業Dragosのアナリストで、かつて米エネルギー省のコンピューターセキュリティ・インシデント対応チームを率いたジョー・スロウィクは言う。

米政府を狙わない方針を転換する可能性

サンズ事件を除き、イランはこの種のワイパー攻撃を米国自体に対して実行することをほぼ控えてきた。しかし、ソレイマニの殺害によって、その方針は転換されるかもしれない。「イランは米国とオーストラリアやNATOなどの米国連合軍を標的にすることを渋っていました」と、ランド研究所のタバタバイはいう。「今回の攻撃の規模を考えると、イランがその方針を変えることは十分ありえると思います」

ワイパー型マルウェアが最も可能性の高い攻撃の形態であることはほぼ間違いないが、潜在的な脅威はワイパーに限定されない。DragosやFireEye、CrowdStrikeなどのサイバーセキュリティ企業は、別名「Magnallium」や「Refined Kitten」とも呼ばれるイランのハッキンググループ「APT33」が最近、エネルギー省や米国立研究所を含む米国内の潜在的な標的への侵入ポイントを探していたことを確認している。

こうした侵入の試みがスパイ活動を目的としていた可能性はあるが、侵入は破壊にも利用できる。「侵入が紛争に関する情報を収集するための情報収集活動なのか、あるいはわたしたちが常に抱いてきた不吉な懸念である攻撃の準備なのかは、まだわかりません」と、FireEyeで情報分析部門のディレクターを務めるジョン・ハルトクイストは、昨年6月に『WIRED』US版に語っている。

産業用システムのハッキングも狙う

一部のセキュリティ研究者は、イランが産業用制御システムを直接標的にできるだけのハッキング能力を開発しているように見えると警告している。コンピューターを攻撃するにとどまらず物理的なシステムに侵入し、Stuxnetがナタンズで実行したようにシステムを破壊するというのだ。

昨年11月には、APT33が産業用制御システムサプライヤーのネットワークへのアクセスを試みたと、マイクロソフトが指摘している。これは破壊行為に利用できるサプライチェーン攻撃の第1段階だった可能性があるという。「ハッカーはさまざまな場所で足がかりを得ようとしています」と、Dragosのスロウィクは言う。

さらにスロウィクは、謎のハッカーによるイランの機密文書の流出についても触れている。この文書は、電力網や水道システムで使用される産業用制御システムの一種を狙ったマルウェアを作成する試みを暴露したとみられている。ただし、このプロジェクトは棚上げされたようだ。

イランが産業用制御システムを標的にしようという野心を抱いている兆候があるにもかかわらず、そこまで高度な攻撃を実行する準備はまだ整っていない可能性が高いというのがスロウィクの見解である。「そのような攻撃を仕掛けるには、耐久力、能力、長期的なターゲット選定能力の点で大幅なレヴェルアップが必要になるでしょう」とスロウィクは言う。

つまり、より単純ではあるものの、破壊力が大きいワイパー攻撃のほうが可能性がはるかに高いことになる。

サイバー攻撃だけでは終わらない？

いずれにせよ専門家は、ソレイマニの殺害に対する報復を目的とするどのようなサイバー攻撃も、それで一件落着とはならない可能性が高いと警告する。サイバー攻撃は手軽で失うものが少ない報復措置にはなるが、イランはソレイマニのように影響力が大きい高官の殺害に対しては、より劇的かつ物理的な報復が必要であると考える可能性が高い。

「ソレイマニのようなリーダーを殺害することは非常に重大な行為であり、当然のことながら極めて派手な対応が行われるでしょう」と、ブルッキングス研究所の外交政策プログラムでフェローを務めるクリス・メセロールは言う。「サイバー攻撃を実施すれば、イランは事態を座視するつもりがないことをただちに示すことができます。しかし、それがイランが対応する唯一の方法であるとはとても考えられません」

爆弾と銃弾の代用品としてのサイバー攻撃に頼る代わりに、こうした“すべての武器”を使う──。イランがときに実行に移してきたように、そんなやり方を選ぶ可能性もあるだろう。