バルカン半島に位置し北大西洋条約機構(NATO)に加盟しているアルバニア共和国では今年5月に多くの行政サービスの窓口を廃止し、これら行政窓口を公共オンラインサービスのe-Alubaniaに移行して行政のデジタル化を進めていた。ところが2カ月後の7月に大規模なサイバー攻撃を受けe-Alubaniaや政府ウェブサイトが一時閉鎖される事態となった。このサイバー攻撃についてアルバニアのエディ・ラマ首相は9月7日、イランが主導したものだとしてイランとの国交を断絶することを表明した。
ランサムウェアROADSWEEPとワイパーZEROCLEAR
アメリカのサイバーセキュリティ企業、Mandiantはアルバニアへのサイバー攻撃についてROADSWEEP、CHIMNEYSWEEP、ZEROCLEARという3つのマルウェアが関与している可能性を指摘している。Mandiantによると、ROADSWEEPはランサムウェアで、実行されるとファイルの暗号化を解くための連絡先を記したメモが、「Why should our taxes be spent on the benefit of DURRES terrorists?(なぜDURRESテロリストのために税金が使われなければならないのか?)」との一文とともに投下されるという。DURRESというのはアルバニアで2番目に人口の多い港湾都市のこと。
CHIMNEYSWEEPはバックドアで、攻撃者のC&Cサーバーと通信してスクリーンショットの撮影、ファイルの一覧表示と収集、リバースシェルの生成、キーロギング機能をサポートするという。また、CHIMNEYSWEEPはROADSWEEPと複数のコードを共有している。CHIMNEYSWEEPは2012年にペルシア語とアラビア語の話者を標的として使用された可能性があるという。
ZEROCLEARはシステムを破壊するワイパーマルウェアで、中東のエネルギーセクターを標的とし、イランに関連する脅威アクターとリンクしていることがIBMの調査で報告されている。MandiantはZEROCLEARが今回のアルバニアへのサイバー攻撃で使われたのか証明していないともしている。
HomeLand Justiceがワイパーアクティビティの動画を公開
アルバニアへのサイバー攻撃に関して、7月21日にHomeLand Justiceと名乗る者がHomeLand Justiceというテレグラムチャンネルとリンクしたウェブサイトにアルバニア政府に対するランサムウェア攻撃についてのニュースを掲載し始め、ワイパーのアクティビティの動画とともにアルバニア政府に対するランサムウェア攻撃の功績を主張したという。このサイトはアルバニアの国民が運営しているように作られているが、MandiantによるとHomeLand JusticeのウェブサイトとテレグラムチャンネルのバナーはROADSWEEPの壁紙と似ており、バナーにはROADSWEEPで投下されるメモに記載されている「Why should our taxes be spent on the benefit of DURRES terrorists?(なぜDURRESテロリストのために税金が使われなければならないのか?)」と同じ文章が記載されていた。
ランサムウェアROADSWEEP やHomeLand Justiceのバナーで使われている画像。「Why should our taxes be spent on the benefit of DURRES terrorists?」と記されている=Mandiantレポート「Likely Iranian Threat Actor Conducts Politically Motivated Disruptive Activity Against Albanian Government Organizations」より
さらにHomeLand Justiceが7月26日にテレグラムチャンネルに投稿したメッセージでは、アルバニア政府に対して怒りと憎悪を示すためにサイバー攻撃を行ったことが記され、「海外のテロリストとマネーロンダラーは私たちの神聖な土地にふさわしくない。私たちの土地を浄化するための農薬が必要だ」などとするメッセージが記されていた。この投稿には#MKO、#ISIS、#Manez、# HomeLand Justiceなどのハッシュタグがついていた。ハッシュタグのManezはROADSWEEP のメモに記載されていた港湾都市、DURRESの町の1つだという。
アルバニアで開催が予定されていたフリーイラン・ワールドサミット2022
アルバニアの港湾都市、DURRESのManezでは7月23、24日に現在のイランの体制を抗議するフリーイラン・ワールドサミット2022が開催される予定だったが、テロの恐れから開催は延期された。このイベントを主導しているのは日本でムジャヒディン・ハルク、モジャヘディネ・ハルグなどと呼ばれているイラン反体制組織でPMOIやMKO、MEKとも呼ばれている。HomeLand Justiceのテレグラムチャンネルの投稿にあるハッシュタグのMKOは、このイラン反体制組織のことを指しているとみられる。MKOは親米のイラン・パーレビ国王体制下の1965年に王政打倒を掲げて設立され、当時はアメリカがテロ団体に指定する武装組織だった。政治団体であるイラン国民抵抗評議会(NCRI)を組織したが、ホメイニ政権誕生後は弾圧が強化されたため拠点をイラクやフランスに移して活動を続けた。しかし、イラクでフセイン政権が崩壊して後ろ楯を失い、アメリカ軍によって武装解除され、イラクで活動していたMKOのメンバーはバグダットのアメリカ軍基地の難民キャンプに収容され、それに伴いアメリカはMKOのテロ指定を解除した経緯がある。
その後、MKOは2016年頃からアルバニアに拠点を移し、現在は約3000人がアルバニアに居住しており港湾都市のDURRESにはMKOのキャンプ施設があるようだ。イランは2020年11月に核科学者、モフセン・ファフリーザーデ氏がテヘラン近郊で暗殺された事件に関し、イスラエルとMKOが関与していたとして非難している。一方、ベルギーでは2021年2月、2018年6月にパリで開かれたMKOの集会に対して爆弾テロを仕掛けたなどとしてイラン外交官らに対し禁固刑などの有罪判決が出されるなどMKOをめぐりイランとヨーロッパは対立してきた。Mandiantはこうした背景を踏まえた上で今回のアルバニアへのサイバー攻撃についてイランの攻撃者が関与している可能性が高いとし、「NATO加盟国に対するイランの破壊的なサイバー作戦の地理的拡大」と分析している。
2021年5月からアルバニア政府ネットワークに侵入
アルバニアのラマ首相は9月7日にイランとの国交断絶を表明、これを受けて米財務省はすでに制裁指定していたイラン情報省を改めて制裁指定した。また、米CISAとFBIは9月21日に共同でサイバーセキュリティアドバイザリを発表し、7月のアルバニアに対するサイバー攻撃は「HomeLand Justice」と名乗るイランの国家サイバーアクターによるものと断定、ランサムウェアスタイルのファイル暗号化とワイパーマルウェアを含む破壊的なサイバー攻撃が行われ、攻撃者は14カ月前からアルバニアのネットワークに侵入していたと明らかにした。
アルバニアのエディ・ラマ首相は9月7日、イランとの国交断絶を表明した
アルバニア政府からの依頼を受けて調査を行ったマイクロソフトの報告書によると、アルバニアへの攻撃は2021年5月に既知の脆弱性を悪用してパッチが適用されていないSharePointサーバーにウェブシェルをインストールして任意のコードを実行することで始まった。Mimikatzで資格情報を収集し、2021年10月から2022年1月にかけて独自の電子メール抽出ツールを使用してExchange WebサービスAPIとやりとりしてアクションを隠す方法で電子メールを収集していたという。
情報収集の後に攻撃が行われたが、攻撃を開始する前にはEDRソリューションへの管理アクセスの変更、Microsoft Defender ウイルス対策のコンポーネントを無効にする防御回避策がとられていたようだ。その上でランサムウェアとワイパーが展開された。マイクロソフトは報告書でイラン政府が支援する攻撃者がアルバニア政府に対して破壊的なサイバー攻撃を行ったと評価している。
マイクロソフトはこの攻撃を初期侵入とデータの流出、データの暗号化と破棄、情報操作という4つの段階に分けて分析していて、初期アクセスを取得してデータを盗み出すことに関与したアクターはEUROPIUMに関係している可能性を指摘している。EUROPIUMはイラン情報機関MOISにリンクしているという。また、攻撃者のロゴがワシであり、ワシはスズメを捕食することからマイクロソフトはアルバニアへの攻撃がプレデトリー・スパロウへの報復との見方をしている。
プレデトリー・スパロウの攻撃に対する報復か?
プレデトリー・スパロウはイランの国営企業等をターゲットに高度なサイバー攻撃を繰り返しているハッカーグループ。今年6月にはイランの複数の鉄鋼施設がサイバー攻撃を受けて火災が起きるなど物理的な被害が発生した。この攻撃についてもプレデトリー・スパロウが攻撃を裏付けるビデオを公開している。イランはプレデトリー・スパロウにはイスラエルが関与していると認識しており、プレデトリー・スパロウの攻撃とみられるイラン・イスラム共和国放送(IRIB)へのハッキングではMKOの指導者に敬礼をする画像でテレビ番組が妨害されたという。プレデトリー・スパロウのロゴがスズメで、アルバニアへの攻撃ではワシのロゴが使われていることから、攻撃はプレデトリー・スパロウを「捕食」する意味があるとの解釈をしている。
アルバニアへのサイバー攻撃は7月以降も続いており、9月にはアルバニアの旅行者情報管理システム(TIMS)を標的とした攻撃が行われ、さらにアルバニア警察は否定しているようだが、警察システムMemexから窃取された恐れのあるデータがHomeLand Justiceのテレグラムチャンネルに公開されるなどしている。一方、イラン政府はアルバニアへの大規模サイバー攻撃の翌日の7月16日、MKOを支持した疑いでアメリカ当局とマイク・ポンぺオ元国務長官など米議員に制裁を科したことを発表、アルジャジーラによるとイランはアルバニアへのサイバー攻撃の背後にいると見られていることについて「根拠のない主張」としており、アルバニアが国交を断絶したことについては「軽率で近視眼的な行動」だと表明している。
