イランメディア、「米国が軍事攻撃中にバックドアでネットワーキング機器を無効化した」と報道

イランメディア、「米国が軍事攻撃中にバックドアでネットワーキング機器を無効化した」と報道

The Register – Tue 21 Apr 2026

イランのメディアは、米国がイランへの物理的攻撃の際にバックドアもしくはボットネットを使用してイラン国内のネットワーキング機器を機能停止させたと主張しているという。

イランメディアの報道によれば、シスコ・Juniper・Fortinet・MikroTik製のハードウェアがイランに対する軍事攻撃中にリブートまたは切断されており、これはおそらく米国がこうした機器を自由にサボタージュできるためだとされる。

この仮説は、以下いずれかのシナリオで説明されている。

• バックドアシナリオ：ファームウェアまたはブートローダーにバックドアが仕込まれているというシナリオ。攻撃者が事前に設定しておいた時間帯にリモート攻撃を仕掛けることが可能になっているか、または、衛星から送られる信号でバックドアが有効化される説が唱えられている。これらの仮説は、米国を拠点とするベンダーがバックドアのインストールに協力したという前提に立つものになっている。
• ボットネットシナリオ：何者かがネットワーキング機器にボットネットをインストールしたというシナリオで、これにより、米シスコ社やラトビア企業MikroTikのデバイスを標的にすることができたという仮説。

現在、イラン国内のインターネットは大半が遮断されているため、サイバー工作により大規模な障害が発生したというこれらの仮説を検証することは困難。ただ、米国は2026年1月のベネズエラ侵攻時にも補助的なサイバー作戦を実施したと報告されており、イランメディアが示したシナリオを実現するに足るサイバー能力を有していることは確かだとThe Registerは指摘した。

このように上記仮説の真偽は現時点で不明だが、中国の国営メディアはイランメディアの報道内容を踏まえ、サイバー空間における真の悪役は米国であり中国ではないという主張を改めて発しているという。同国の国家コンピューターウイルス緊急対応センター（CVERC）は、エドワード・スノーデン氏によって暴露された「米国の諜報機関NSAがシスコ製品にバックドアを仕込んだ」との情報や、「中国政府がサイバー攻撃を行っているとの仮説は中国に非難の目を向けるための捏造である」との内容を繰り返し投稿している。さらに、中国のAPTグループVolt Typhoonによるものとされる攻撃についても、米諜報機関コミュニティによる「偽旗作戦」だと主張しているという。

インターネット監視団体NetBlocksによると、イラン政府は50日以上にわたりインターネットの遮断を続けているとされる。ただ、同政府は「Internet Pro」というサービスを作成し、一部の国民に対してグローバルインターネットの特定部分へのアクセスを許可していることも報じられている。同政府はまた、無制限のインターネットアクセスを可能にする「ホワイトSIM」を一部の当局者向けに発行しているとも言われている。

新たなワイパーマルウェアLotus、ベネズエラのエネルギー・公共サービス事業者への攻撃で使われる

BleepingComputer – April 21, 2026

これまで報告されていなかったデータワイパーマルウェア「Lotus」が昨年、ベネズエラのエネルギー関連組織・公共サービス組織に対する標的型サイバー攻撃で使用されていたという。カスペルスキーが報告した。

Lotusは2025年12月半ばにベネズエラ国内のマシンからある公開プラットフォームへアップロードされており、2026年1月3日の米国によるベネズエラ侵攻およびマドゥロ大統領拉致でピークを迎えた地政学的緊張と、タイミング的に一致するとされる。なお、その前月にあたる12月半ばには、ベネズエラの国営石油会社PDVSAがサイバー攻撃を受けて配送システムを無効化されていた。PDVSAはこれを米国によるものだと主張したが、PDVSAへの攻撃でLotusが使われたかどうかや、そもそもワイパー攻撃だったのかどうかなどについては不明。

カスペルスキーの研究者は、一般に利用可能なリソースへアップロードされたLotusおよび関連するその他のアーティファクトを分析。その結果、同マルウェアがフィジカルドライブを上書きし、復元オプションを排除することでシステムを完全に破壊するワイパーマルウェアであることがわかったという。

カスペルスキーのレポートによると、Lotusを用いる攻撃はまずバッチスクリプト「OhSyncNow.bat」の実行から開始。これがWindowsの「UI0Detect」サービスを無効化し、XMLファイルチェックを行ってドメインに参加しているシステム全体で実行できるように調整するという。

特定の条件が満たされると実行される第2段階のスクリプト「notesreg.bat」は、ユーザーの列挙、パスワード変更によるアカウントの無効化、アクティブなセッションのログオフ、すべてのネットワークインターフェースの無効化、そしてキャッシュされたログインの無効化を実施。続いてドライブを列挙し、「diskpart clean all」を走らせてこれらのドライブを「0」で上書きする。また、「robocopy」を使ってディレクトリのコンテンツも上書きしたのちに、空き領域を計算し、「fsutil」を使用してディスクを埋め尽くすファイルを作成することで、消去されたデータの復元を困難にするという。

こうしてデータ破壊のための環境を整えると、バッチスクリプトにより最終段階のペイロードであるLotusが復号・実行される。カスペルスキーによると、Lotusの主な挙動は以下。

• 自身のトークン内のすべての特権を有効化し、管理者レベルのアクセスを取得する
• Windows System Restore APIを使ってWindowsのすべての復元ポイントを削除する
• ディスクジオメトリを取得してフィジカルドライブをワイプし、すべてのセクターを「0」で上書きする
• USNジャーナルを消去し、ファイルシステムのアクティビティ履歴を確認できなくする
• ファイルのコンテンツを「0」で上書きし、ファイル名をランダムな名前に変更して削除する（ファイルがロックされている場合は、再起動時に削除されるようスケジュールする）
• ドライブワイプおよび復元ポイント削除のサイクルを複数回繰り返す
• 最後のワイプののち、IOCTL_DISK_UPDATE_PROPERTIESを用いてディスクプロパティを更新する

こうした機能のほか、カスペルスキーはLotusがコンパイルされたのは2025年9月後半であったことも発見している。また同マルウェアのサンプルはその後12月半ばに一般に利用可能なリソースへアップロードされたが、それより前にその他の攻撃でLotusが使われていた形跡はないという。カスペルスキーは、この事実が、攻撃者が数か月前からこの攻撃の準備を進めていたことを示唆していると指摘。ただし、この評価はPEファイルのコンパイル日時が変更されていないとの仮定に基づいている。

カスペルスキーはLotusへの対策として、NETLOGON共有の変更やUI0Detectの操作、大量のアカウントに関する変更、またネットワークインターフェースの無効化といった前兆的な動きをモニタリングすることを推奨。加えて、「diskpart」「robocopy」「fsutil」の予期せぬ使用も「赤信号」であると述べている。