このニュースが目に入ったので、深堀してみました。
Hackers Disrupted Iran’s Tanker Fleet
https://thedigitalship.com/news/maritime-satellite-communications/hackers-disrupted-irans-tanker-fleet/?utm_source=DigitalShip&utm_medium=Newsletter&utm_campaign=digitalship&_bhlid=e293c3aad1946423aa42e6a2a5a1f148d4c6f25c
船舶管理会社が取るべき対策も記載していますので、参考にしてください。
ハッキングの技術的手口
イランの国営タンカー企業(NITC)および海運会社(IRISL)が保有するタンカー艦隊に対し、2025年に発生した大規模ハッキングでは、サプライチェーンを悪用した高度な攻撃手法が使われましたiranintl.comdarkreading.com。攻撃者はまずこれら企業に衛星通信サービスを提供するイランの通信企業(Fanava Group)を侵入経路として選び、船舶に搭載された衛星通信端末のLinuxシステムに管理者権限(root権限)でアクセスしましたiranintl.comdarkreading.com。その上で各船舶の衛星通信制御ソフトウェア「Falcon」を遠隔停止させ、船舶と陸上の交信を完全に断絶させましたiranintl.comdarkreading.com。Falconの停止によって自動船舶識別装置(AIS)の追跡信号や衛星通信リンクが途絶し、計39隻のタンカーと25隻の貨物船が事実上“孤立”する事態となりましたiranintl.comdarkreading.com。攻撃者はさらに、旧式で脆弱な衛星通信ソフトウェア(iDirect)の脆弱性を突いてシステム内部に深く侵入し、複数の船舶で航海ログやメッセージ履歴、システム設定を保存するパーティションをゼロ書きする破壊工作も実行していますdarkreading.comdarkreading.com。この結果、遠隔からの復旧が困難となり、各船に技術者が乗船して通信システムを再インストールする必要が生じ、各船ごとに数週間から数ヶ月の運用停止に至る深刻な被害が発生しましたdarkreading.com。
本攻撃に用いられた具体的なマルウェア名は公開されていませんが、同時に116隻もの船舶に悪意あるコマンドを送り込んだことから見て、自動化されたマルウェアと高度なスクリプトを用いた計画的犯行だったと推測されていますindustrialcyber.coindustrialcyber.co。実際、海事サイバー専門企業の分析によれば、攻撃者は船舶の衛星通信装置に存在する既知の脆弱性や初期設定パスワードを悪用し、一斉に船舶システムを乗っ取るカスタムツールを作成していた可能性がありますindustrialcyber.coindustrialcyber.co。攻撃対象はイランの国営タンカー会社(NITC)と国営海運会社(IRISL)に限定されており、攻撃者自身も標的を特定の企業・船舶群に絞っていたことを明言していますiranintl.com。犯行声明を出したのは「Lab-Dookhtegan(ラブ・ドフテガン、別名“Sewn Lips”)」と名乗るハクティビスト集団で、同集団は2019年頃からイラン政府系ハッカー情報の暴露や、今回のような大規模サイバー破壊活動で知られる組織ですdarkreading.com。この事件でもLab-Dookhteganが関与を公言しており、通信ログの解析から攻撃者は事件の数ヶ月前(同年5月頃)には既に船舶システム内に侵入し、機会をうかがっていた形跡が示されていますdarkreading.com。攻撃者はその間、船舶に搭載されたVoIP電話システムさえ掌握し、理論上は船長や乗組員の通話を盗聴したり成りすましたりすることも可能だったと報告されていますdarkreading.com。以上のように、この攻撃はサプライチェーン侵入→衛星通信システムの乗っ取り→通信網と航法システムの麻痺→データ破壊による長期障害という多段階の高度な手口で遂行されました。
地政学的・政治的動機
このサイバー攻撃の背景には、イランを取り巻く複雑な地政学的緊張と政治的意図が指摘されています。標的となったNITCおよびIRISLは、イラン産原油の輸出や軍需物資の輸送に関与しており、米国や欧州連合から制裁対象に指定されている国営企業ですiranintl.comiranintl.com。実際、イランは制裁逃れのためタンカーの位置追跡を意図的に停止して“影の艦隊”を運用するなど、国際的な監視をかいくぐって原油輸送を行ってきましたiranintl.comiranintl.com。攻撃者がこれら制裁対象企業だけを狙い撃ちし、船舶のAIS追跡を強制的に不能にした点は、イランの密輸ネットワークや代理勢力への軍事物資供給を妨害する狙いと整合しますiranintl.com。Lab-Dookhtegan自身も、今回の攻撃は**「中国への廉価なイラン産原油の密売や、イエメンのフーシ派への武器輸送に関与する船舶」に打撃を与える目的だったと示唆しており、攻撃の時期も「米国がイラン産石油の密輸ネットワークに対し新たな制裁を科したタイミング」に合わせたと述べていますdarkreading.comdarkreading.com。実際に本事件発生と前後して、米国財務省は中国・中東の企業やタンカーを対象にイラン産石油の違法取引制裁を発表しており、その直後にハッキングが実行されたことから極めて示唆的な同調行動**と見る専門家もいますdarkreading.com。
また、この攻撃の性質上、国家主体や軍による支援も強く疑われています。Lab-Dookhteganは表向き匿名のハクティビスト集団ですが、攻撃の規模・技術水準から「国家の敵である者との協力(“friends who are enemies of our enemies”)」があったことをほのめかしていますindustrialcyber.co。イランと敵対する米国やイスラエルとの関与可能性は明言されていないものの、攻撃目標がイラン政府の海運インフラに限られ精巧さも高度である点は、国家の後ろ盾や諜報支援があったシグナルと解釈できますindustrialcyber.co。事実、2019年にはLab-Dookhteganがイラン情報機関傘下のAPTハッカー(通称「OilRig」ことAPT34)の内部ツールや個人情報を暴露する事件も起きており、その反体制的・政治色の強い活動からイスラエル諜報機関などとの協働を疑う見方も専門家の間で囁かれていますdarkreading.com。イランはかねてよりイスラエルや米国との間で「シャドウ・ウォー」と呼ばれる水面下の報復合戦を繰り広げており、2010年のStuxnetによる核施設破壊や、2020年5月のイラン港湾施設サイバー破壊(後述)など互いにサイバー攻撃を応酬した前例も存在しますwashingtonpost.comwashingtonpost.com。今回のタンカー艦隊ハックもその延長線上に位置づけられ、イランの経済・軍事活動を妨害する政治的メッセージが込められた攻撃と考えられます。攻撃によりタンカーから陸上への通信が遮断され「船団の孤立状態」を作り出したことは、物理的な拿捕や攻撃を伴わずに相手国の物流ライフラインを麻痺させる新たな戦術として注目され、制裁圧力や外交交渉を有利に進めるための地政学的レバレッジだった可能性がありますdarkreading.com。
類似の過去事例との比較
今回の事件は、海事業界におけるサイバー攻撃の新たな脅威を示すものですが、過去の類似事例と比較することでその特異性と共通点が浮き彫りになります。
- NotPetyaによるMaersk社被害(2017年): 2017年6月、ロシア由来とされる大規模破壊型マルウェア「NotPetya」が世界中に拡散し、海運大手Maersk社も巻き添えとなりましたclassnk.or.jp。Maersk社は全世界のITインフラが麻痺し、コンテナターミナルのオペレーションが10日間以上にわたり混乱、2億5千万~3億ドル規模の損失を被ったと報告されていますclassnk.or.jpbleepingcomputer.com。当時Maersk社は被害直後に4,000台以上のサーバーと45,000台のPCを一から再セットアップする荒療治で復旧に努め、人的作業で通常の8割の貨物を捌く非常対策を講じましたbleepingcomputer.combleepingcomputer.com。NotPetya攻撃はウクライナを標的とした国家級サイバー戦の余波で海運業が受けた「巻き添え被害」でしたが、今回のイラン艦隊ハックは特定国の船舶を狙い撃つ標的型攻撃であり、いずれも国家絡みのサイバー攻撃が海運に甚大な影響を及ぼし得ることを示していますbleepingcomputer.combleepingcomputer.com。
- GPSスプーフィングやジャミング事例: 近年、船舶の航法システムを直接狙った電波妨害も報告されています。代表例が2017年6月の黒海GPSスプーフィング事件で、ロシア沿岸の黒海を航行中だった20隻以上の船舶が実際には海上にいるにも関わらずGPS上の自己位置が約32km内陸(空港付近)に飛ぶ異常事態を経験しましたclassnk.or.jp。船長からの通報によれば、「周辺の全船が同様の誤位置信号に悩まされた」といい、受信機の診断情報から偽のGPS信号を使った明白なスプーフィング攻撃であることが専門家により断定されていますrntfnd.orgrntfnd.org。このケースではロシアが関与を疑われ、衛星航法信号への依存の危うさが浮き彫りとなりましたrntfnd.orgrntfnd.org。また2019年夏には、ペルシャ湾やホルムズ海峡を航行する商船がGPSやAISの妨害を受けて航行誤認し、他国領海に迷い込む事例も報告されていますsunderlandmarine.comsunderlandmarine.com。米国海事当局(MARAD)は当時、イラン近海でのGPS妨害や「米軍艦を装った無線通信のなりすまし」について警告を発し、実際に同年7月にはイラン革命防衛隊が英国籍タンカーを拿捕する事件も起きましたsunderlandmarine.com。GPSスプーフィング/ジャミングは今回のようにシステム内部に侵入せずとも船舶を混乱させる手口であり、航行データを改ざん・妨害する点で共通します。ただし本件ではGPSやAIS情報を偽装するのではなく通信システムそのものをダウンさせることで船舶を孤立させており、より踏み込んだ破壊工作と言えます。
- 「Red October」サイバースパイ作戦(2007–2013年): Red Octoberは過去に明るみに出たサイバー攻撃キャンペーンで、東欧や中央アジアを中心に各国政府機関・外交団・研究機関などから機密情報を窃取していましたscan.netsecurity.ne.jp。この作戦は少なくとも5年以上にわたり潜伏し、感染させたコンピュータから地政学に関する機密文書や政府システムの認証情報、携帯機器内のデータまで幅広く盗み出したと報告されていますscan.netsecurity.ne.jp。攻撃者は巧妙なマルウェアとフィッシング手法を駆使し、発覚を逃れながら情報収集に徹していた点で、隠密性と持続性が特徴でしたscan.netsecurity.ne.jp。Red Octoberの主目的がスパイ(諜報)であったのに対し、今回のイラン艦隊ハックはサボタージュ(妨害)に重きが置かれており、サイバー攻撃にも「隠密型」と「破壊型」があることを示しています。双方とも高度な国家級攻撃と考えられますが、Red Octoberでは被害が見えにくい分、長期にわたり機密情報が漏洩していたのに対し、イラン艦隊ハックは短時間で派手に機能停止させることで即座に政治的メッセージを送り付ける効果を狙った点が対照的です。
- 中東における港湾・海運インフラへの攻撃: イランと米イスラエル間のサイバー攻撃は海運インフラにも及んでいます。例えば2020年5月、イランがイスラエルの上水道システムにサイバー攻撃を試みたことへの報復として、イスラエルがイラン南部のシャヒードラジャイ港にサイバー攻撃を実施し港湾業務を数日間混乱させた事件が報じられましたwashingtonpost.comwashingtonpost.com。この攻撃では港の管制コンピュータが停止し、コンテナ船が湾口で立ち往生、陸上では数kmに及ぶトラック渋滞が発生するなど「港湾施設全体が麻痺状態」に陥りましたwashingtonpost.comwashingtonpost.com。イスラエル側は公式には認めていないものの、米国当局者も関与を示唆し、国家間の報復サイバー攻撃が現実の物流に深刻な影響を及ぼした例として注目されましたwashingtonpost.comwashingtonpost.com。この港湾攻撃と今回のタンカー艦隊攻撃はいずれもイランの海事インフラを狙った破壊型サイバー作戦であり、サイバー手段を用いた制裁・報復の新たな局面といえます。
以上の事例比較から、今回のイランタンカー艦隊ハックは**「国家戦略目標の達成を目的に海運分野を直接標的とした初の大規模サイバー攻撃」と言える特徴を備えます。他の事件と同様、サイバー空間での攻撃が現実世界の経済・安全保障に波及するリスクを示していますが、特に本件は特定国の艦隊を丸ごと無力化するという前例の少ない戦術**であり、海運のサイバー防衛体制に大きな警鐘を鳴らしました。
船舶管理会社が取るべき対策
このようなサイバー脅威に対し、船舶運航会社や船員が講じるべき対策は多岐にわたります。技術的対策・組織的対策・手続的対策のそれぞれについて、国際的なガイドラインに沿った取り組みが求められます。
1. 技術的対策: 船舶の重要システムに対する多層的な防御を構築します。具体的には、衛星通信装置や航海計器の脆弱性を定期的にスキャン・パッチ適用し、初期設定のままになりがちなパスワードを強固なものに変更することが基本ですindustrialcyber.co。また、船内ネットワークのセグメント化(業務ITネットワークと航海/機関などOTネットワークの分離)や、通信機器と接続された端末へのホワイトリスト型防御を導入し、不審な通信やコード実行を検知・遮断する仕組みが有効ですindustrialcyber.co。CCTVや機関制御システム(エンジン・バラスト等)へのアクセスも最小限の権限に制限し、万一一部が侵入されても被害が水平展開しないようにします。さらに、通信機器自体に依存しない独立したサイバーセキュリティソリューション(侵入検知システムや監視エージェント)を船内に導入し、外部との連絡手段が断たれても内部の異常を検出・対応できる態勢を整えることが推奨されていますindustrialcyber.coindustrialcyber.co。GPSやAISについても妨害を想定し、慣性航法装置や複数衛星GNSSの併用、重要データのバックアップなど冗長性を確保することが望ましいでしょう。
2. 組織的対策: 国際海事機関(IMO)や業界団体が示すガイドラインをベースに、会社全体でサイバーリスク管理体制を構築します。IMOは2017年に決議MSC.428(98)を採択し、2021年までに各船舶の安全管理システム(SMS)へサイバーリスク管理を組み込むことを推奨しましたclassnk.or.jp。多くの船籍国はこれを法規制化しており、運航会社は自社の安全管理マニュアルにサイバーリスク評価・対処手順を盛り込む義務を負っていますclassnk.or.jp。具体的には、リスクアセスメント(脅威の特定と影響分析)→防御対策の導入→検知と監視→インシデント対応→復旧というNISTサイバーセキュリティフレームワークのプロセスを回し、平時から備えることが重要ですclassnk.or.jpclassnk.or.jp。BIMCO(バルチック国際海運協議会)が主導する「船上サイバーセキュリティガイドライン」も第4版まで公開されており、船会社や船員が取るべき実践的対策を詳細に示していますclassnk.or.jp。例えばアクセス権限の最小化、USB等リムーバブル媒体の管理、ソフトウェア更新手順、ネットワークの監視ログ定期確認など、組織としてルール化すべき項目が網羅されています。さらにIACS(国際船級協会連合)は2024年から新造船に対しサイバー耐性要件(UR E26/E27)を適用し始めておりclassnk.or.jpclassnk.or.jp、今後は船そのものがサイバーセキュリティを織り込んで設計・建造される時代となります。運航会社はこうした国際動向を踏まえ、経営陣から現場の乗組員まで組織横断的にサイバー防衛の文化を根付かせる必要があります。
3. 手続的対策と教育訓練: 人的要因への対策も不可欠です。多くのサイバー侵入はフィッシングメールやソーシャルエンジニアリングから始まるため、船員・職員への定期的なセキュリティ教育を行い、疑わしいメール添付の開封禁止や不審なUSB機器の接続禁止といった基本ルールの徹底が重要ですclassnk.or.jpclassnk.or.jp。特に港湾当局や取引先を装ったフィッシングは現実に報告例があり(例:2019年に米沿岸警備隊が港湾当局を騙るメール詐欺を警告classnk.or.jp)、乗組員が陸上とのメールやり取りに慎重になるよう啓発する必要があります。加えて、サイバーインシデント対応訓練(演習)を実施し、攻撃発生時の役割分担や復旧手順を事前にシミュレーションしておくことが推奨されますindustrialcyber.co。机上演習やRed Teamテストを通じて対応計画の欠陥を洗い出し、日頃から乗組員が緊急時に落ち着いて対処できるよう備えることが肝要ですindustrialcyber.co。例えば「衛星通信が途絶した状況」を想定し、非常用の衛星電話や長波無線による代替通信訓練、紙海図を用いた手動航法の訓練などを行っておけば、実際にAISやGPSがダウンしても一定の安全航行を維持できます。さらには、サイバー攻撃を受けた際の報告フローや関係当局への連絡手順も明確化し、初動で孤立無援とならないよう社内外のサポート体制を整備しておくべきです。
最後に、国際協力と情報共有も防御力向上に寄与します。海事分野には各国の海事ISAC(情報共有分析センター)やIMB海事局の海賊・サイバー事件通報ネットワークが存在し、他社の事例や脅威インテリジェンスを集めることで自社の予防策をアップデートできます。今回の事件のように国家級の攻撃が現実に発生した以上、「自社は関係ない」と思わず常に最悪のシナリオにも備えるリスク意識が必要ですdarkreading.com。サイバー空間と海上安全は不可分になりつつある今、技術・組織・人材のあらゆる面でセキュリティ態勢を強化し、国際ガイドラインに沿った継続的な改善を図ることが船舶管理会社の責務と言えます。今回のハッキング事件はその必要性を改めて浮き彫りにしたと言えるでしょう。
参考元一覧
- Iran International – “Hackers disrupt communications of dozens of Iranian oil and cargo ships”
https://www.iranintl.com/en/202508226637 - DarkReading – “Hackers Lay in Wait, Then Knocked Out Iran Ship Comms”
https://www.darkreading.com/cyber-risk/hackers-knocked-out-iran-ship-comms - The Maritime Executive – “Hackers Disable Iranian Merchant Shipping Communications”
https://www.maritime-executive.com/article/hackers-disable-iranian-merchant-shipping-communications - Risky.Biz – “Risky Bulletin: Hackers sabotage Iranian ships at sea, again”
https://news.risky.biz/risky-bulletin-hackers-sabotage-iranian-ships-at-sea-again/ - Nariman Gharib Blog – “Inside the Lab-Dookhtegan Hack: How Iranian Ships Lost …”
https://blog.narimangharib.com/posts/2025/08/1755854831605?lang=en - Safety4Sea – “Hackers launch cyber attack targeting Iranian fleet”
https://safety4sea.com/hackers-launch-cyber-attack-targeting-iranian-fleet/ - TradeWinds – “Hackers ‘disable’ communications on more than 60 Iranian tankers and cargo ships”
https://www.tradewindsnews.com/tankers/hackers-disable-communications-on-more-than-60-iranian-tankers-and-cargo-ships/2-1-1861711 - IndustrialCyber – “Cydome analyzes Lab Dookhtegan cyber attack on Iranian oil tankers”
https://industrialcyber.co/transport/cydome-analyzes-lab-dookhtegan-cyber-attack-on-iranian-oil-tankers-provides-mitigation-action/ - GBHackers – “Hackers Disrupt Iranian Ships via Maritime Communication …”
https://gbhackers.com/hackers-disrupt-iranian-ships/ - Asharq Al-Awsat – “Hackers Target Iranian Ships during Naval Maneuvers”
https://english.aawsat.com/world/5178148-hackers-target-iranian-ships-during-naval-maneuvers - TradeWinds (March 2025) – “Hackers claim to have disrupted communications on 116 Iranian ships”
https://www.tradewindsnews.com/tankers/hackers-claim-to-have-disrupted-communications-on-116-iranian-ships/2-1-1795772 - Risky.Biz – “Hacktivists claim cyber-sabotage of 116 Iranian ships”
https://news.risky.biz/risky-bulletin-hacktivists-claim-cyber-sabotage-of-116-iranian-ships/ - Iran International (March 2025) – “Cyber group says it disrupted Iranian shipping communications”
https://www.iranintl.com/en/202503182119
