Amazon 脅威インテリジェンスの新たな知見: サイバー攻撃と物理的軍事作戦を融合させる国家支援型脅威アクター

サイバー戦争と従来のキネティック作戦 (kinetic operations/物理的軍事作戦) の境界線は急速に薄れています。Amazon 脅威インテリジェンスチームによる最近の調査では、国家支援型脅威アクターがキネティック作戦の遂行と強化にサイバーを体系的に活用する新たなトレンドが明らかになりました。チームはこのトレンドを「サイバー支援キネティックターゲティング (物理的軍事攻撃の標的選定)」と呼んでいます。従来のサイバーセキュリティフレームワークでは、デジタルの脅威と物理的な脅威を別々の領域として扱うことが多くありました。しかし、私たちの調査研究では、この区別はもはや実態にそぐわなくなっていることが明らかになりました。複数の国家支援型脅威グループが、サイバー偵察を通じてキネティックターゲティングを直接可能にする新しい作戦モデルを開拓しています。

国家支援型アクターの戦争へのアプローチに根本的な変化が起きていることを確認しています。これらは単にたまたま物理的な被害を引き起こすサイバー攻撃ではありません。物理的な軍事目標を支援するために意図的に設計された組織的なキャンペーンなのです。

Amazon 脅威インテリジェンスがこれらのキャンペーンを特定できるのは、グローバルな脅威の状況における独自のポジションに起因しています。

• 脅威インテリジェンステレメトリ: Amazon のグローバルクラウドオペレーションは、多様な環境にわたる脅威を可視化できます。これには Amazon MadPot ハニーポットシステムからのインテリジェンスが含まれ、攻撃の兆候を示すパターン、攻撃者のインフラストラクチャ、およびこれらのサイバー支援キネティックターゲティングキャンペーンで使用されるネットワーク経路の検出を可能にします
• オプトイン (同意に基づく) 顧客データ: エンタープライズ環境からオプトインベースで提供される、脅威アクターの活動の試みに関する実際のデータ
• 業界パートナーとの連携: 主要なセキュリティ組織や政府機関との脅威インテリジェンス共有により、観測されたアクティビティに対する追加のコンテキストと検証を得ています

こうした複数の情報源を組み合わせることで、個々の組織や政府機関だけでは気づけない攻撃活動の関連性を、Amazon は捉えることができます。

最初のケーススタディは、イラン革命防衛隊 (IRGC) のために活動していると疑われる脅威グループ Imperial Kitten に関するものです。このタイムラインは、デジタル偵察がいかにしてキネティック攻撃へとつながったかを示しています。

• 2021 年 12 月 4 日: Imperial Kitten が海上船舶の船舶自動識別システム (AIS) プラットフォームを侵害し、重要な海運インフラへのアクセスを獲得。Amazon 脅威インテリジェンスチームがこの侵害を特定し、影響を受けた組織と協力してセキュリティイベントを修復
• 2022 年 8 月 14 日: 脅威アクターが追加の船舶プラットフォームへの海上ターゲティングを拡大。その一例として、海上船舶に搭載された CCTV カメラへのアクセスを獲得し、リアルタイムの視覚的インテリジェンスを取得
• 2024 年 1 月 27 日: Imperial Kitten が特定の船舶の AIS 位置データを標的とした検索を実施。これは、広範な偵察から標的を絞ったインテリジェンス収集への明確な移行を示している
• 2024 年 2 月 1 日: フーシ派勢力によるミサイル攻撃が発生し、アメリカ中央軍が報告。標的となったのは、Imperial Kitten がサイバー偵察で位置情報を収集していた船舶そのものだった。ミサイル攻撃は失敗に終わったものの、サイバー偵察とキネティック攻撃 (物理的軍事攻撃) が連動していたことは明白だった。

このケースは、サイバー偵察で得た正確な情報をもとに、敵対者が海運インフラへのキネティック攻撃を実行できることを示しています。海運インフラは、国際貿易や軍事補給を支える重要な基盤です。

2 番目のケーススタディは、脅威グループ MuddyWater に関するものです。米国政府は、このグループがイラン情報安全保障省 (MOIS) の指揮下にある Rana Intelligence Computer Company によって運営されていると指摘しています。このケースでは、サイバー軍事作戦とキネティックターゲティングがさらに密接に連動していたことが明らかになっています。

• 2025 年 5 月 13 日: MuddyWater がサイバーネットワーク作戦専用のサーバーをプロビジョニングし、キャンペーンに必要なインフラストラクチャを確立
• 2025 年 6 月 17 日: 脅威アクターがサーバーインフラストラクチャを使用して、エルサレムからのライブ CCTV ストリームを含む別の侵害されたサーバーにアクセス。これにより、市内の標的候補をリアルタイムの映像で監視し、視覚的インテリジェンスを収集できるようになった
• 2025 年 6 月 23 日: イランがエルサレムに対して広範なミサイル攻撃を開始。同日、イスラエル当局は、イラン軍がリアルタイムのインテリジェンスを収集し、ミサイルの照準を調整するために侵害されたセキュリティカメラを悪用していたと報告

このタイミングは偶然ではありません。The Record の報道によると、イスラエル当局は市民にインターネット接続されたセキュリティカメラを切断するよう促し、イランが「リアルタイムのインテリジェンスを収集し、ミサイルの照準を調整するために」それらを悪用していると警告しました。

Amazon の調査では、これらの作戦を支える高度な技術インフラストラクチャを明らかにしました。脅威アクターは多層的なアプローチを採用しており、その主な要素は以下の通りです。

1. 匿名化 VPN ネットワーク: 脅威アクターは、匿名化 VPN サービスを経由することで発信元を隠し、攻撃元の特定を困難にする
2. 攻撃者が制御するサーバー: 専用のインフラストラクチャを構築し、継続的な作戦のための永続的なアクセスとコマンド＆コントロール（C&C）機能を確保する
3. 侵害されたエンタープライズシステム: CCTV システム、海上プラットフォームなど、情報価値の高い重要インフラをホストするエンタープライズサーバーに侵入する
4. リアルタイムデータストリーミング: 侵害したカメラやセンサーからライブ映像を取得し、ほぼリアルタイムで標的の照準調整に活用する

私たちの調査チームは、これらのハイブリッド作戦を説明するための新しい用語を提案しています。従来の用語では、今回明らかになった脅威を適切に表現できないためです。

• サイバーキネティック作戦: この用語は、システムに物理的な損害を与えるサイバー攻撃を指すことが多く、今回のケースには当てはまらない
• ハイブリッド戦争: この用語は概念が広すぎ、サイバーと物理の統合に特化していない

そこで私たちは、「サイバー支援キネティックターゲティング」という用語を提案しています。これは、キネティック軍事作戦の遂行と強化を目的として設計されたサイバー作戦キャンペーンを、より正確に表現するためです。

サイバーセキュリティコミュニティにとって、この調査は警告であると同時に行動への呼びかけでもあります。防御者は、デジタルと物理の両方の領域にまたがる脅威に対処するために戦略を適応させる必要があります。これまで脅威アクターの関心の対象ではないと考えていた組織も、今では戦術的インテリジェンスのために標的にされる可能性があります。脅威モデリングを拡張し、インテリジェンス共有を強化し、多様な敵対者によるサイバー支援キネティックターゲティングの現実を考慮した新しい防御戦略を開発する必要があります。

• 脅威モデリングの拡張: 組織は、サイバー攻撃の直接的な影響だけでなく、侵害されたシステムが自組織や他者に対するキネティック攻撃を支援するためにどのように使用される可能性があるかを考慮する必要があります
• 重要インフラストラクチャの保護: 海上システム、都市監視ネットワーク、その他のインフラストラクチャの運用者は、自分たちのシステムがスパイ活動だけでなく、キネティック作戦の照準支援としても価値がある可能性があることを認識する必要があります
• インテリジェンス共有: これらのケースは、民間セクター組織、政府機関、国際パートナー間での脅威インテリジェンス共有の重要性を示しています
• 攻撃元特定の課題: サイバー軍事作戦がキネティック攻撃を直接可能にする場合、攻撃元の特定と対応のフレームワークはより複雑になり、サイバーセキュリティ、軍事、外交チャネル間の連携が必要になる可能性があります

私たちは、サイバー支援キネティックターゲティングが複数の敵対者にわたってますます一般的になると考えています。国家支援型アクターは、デジタル偵察とキネティック攻撃を組み合わせることによる戦力増強効果を認識しています。このトレンドは、サイバー軍事作戦とキネティック作戦の間の従来の境界線が消滅しつつある、戦争の根本的な進化を表しています。

侵害指標 (IOC)

IOC 値, IOC タイプ, 初回確認日, 最終確認日,備考
18[.]219.14.54, IPv4, 2025-05-13, 2025-06-17, MuddyWater の C&C IP アドレス
85[.]239.63.179, IPv4, 2023-08-13, 2025-09-19, Imperial Kitten のプロキシ IP アドレス
37[.]120.233.84, IPv4, 2021-01-01, 2022-11-01, Imperial Kitten のプロキシ IP アドレス
95[.]179.207.105, IPv4, 2020-11-11, 2022-04-09, Imperial Kitten のプロキシ IP アドレス

このブログ記事は、Amazon 脅威インテリジェンスの Principal Engineer である David Magnotti と Senior Threat Intelligence Engineer である Dlshad Othman が CYBERWARCON で発表した調査に基づいています。著者らは、軍事活動の報告における透明性についてアメリカ中央軍に感謝するとともに、これらの重要な調査におけるお客様とパートナーの継続的なサポートに謝意を表します。