✅ レポートタイトル:イラン対イスラエル・米国サイバー戦の詳細分析
✅ レポートの要約:
- ディープ・ダークウェブ(DDW):
- イラン系ハクティビストの活動はテレグラム(Telegram)、X (ツイッター)、およびディープ・ダークウェブ(DDW)フォーラム全体で急増しています。
- 2026年3月9日、DDWハッキングフォーラムにおけるイスラエルおよびイランの言及が戦争勃発以降それぞれ約3倍に増加したことが確認されています。更に、DDWで活動するサイバーハクティビストグループは各国をターゲットとした#OpIsraelおよび#OpIranキャンペーンを展開しています。
- ターゲット範囲の拡大:
- イラン戦争は当初両国間の軍事衝突として始まりましたが、サイバー空間におけるターゲット範囲は近隣国および第三国へ拡大しています。
- 特に湾岸諸国は、地理的な近接性、米軍基地の存在、エネルギーおよび物流ハブとしての役割、イスラエルと米国との友好関係により主なターゲットとなっています。
- 更に、ハクティビストグループは本社所在地だけでなく、海外拠点、サプライチェーン、軍事または防衛協力関係も基準としてターゲットを選定します。紛争地域から物理的に離れている場合でも、友好関係にある国家の企業や組織は高い確率で潜在的なターゲットに含まれます。
- 2026年イランのサイバー戦のエコシステム:
- 本エコシステムはAPT、ランサムウェアグループ、ダークウェブ脅威アクター、ハクティビストで構成されるピラミッド型構造として特徴付けられます。
- 一般的に上位層ほど少数精鋭で高い技術的複雑性と破壊的影響を持ち、下位層ほど参加者数は増加する一方で技術力および実際の攻撃影響は相対的に低下します。
- この構造は多様な層の脅威アクターによって構成されるサイバー戦のエコシステムを示しています。
📌 2026年イラン戦争
- 2026年2月28日、米国およびイスラエルが「Operation Epic Fury」と呼ばれる大規模空爆を開始し、イラン全域の軍事基地、ミサイル施設、核関連施設をターゲットとしたことで戦争が勃発しました。これに対しイランはミサイルおよびドローンでイスラエルおよび中東の米軍基地を攻撃しました。同時にヒズボラなどイラン関連武装勢力も攻撃に参加し、中東全域へと紛争が拡大しました。
📌 親イラン対親イスラエルハクティビストグループについて
- 2023-10-07:パレスチナ武装組織Hamasによる大規模攻撃によりイスラエル・ハマス戦争が勃発し、「#OpPalestine」および「#OpIsrael」キャンペーンが展開されました。
- 2024-07-31:Hamasは最高指導者Ismail Haniyehがテヘラン訪問中にイスラエルの攻撃で死亡したと発表し、その後「#Free Palestine」というタグを用いたサイバー戦およびDDoS攻撃が実施されました。
- 2026-02-28:本サイバー戦は長年の緊張の蓄積によるものであり、米国とイスラエルによる「Operation Epic Fury」の開始により再び緊張が激化し、サイバー攻撃および情報戦が並行して本格化したと分析されます。
- イラン戦争開始直後、親イラン系ハクティビストグループは政治的メッセージを投稿し、今後のサイバー攻撃を予告しました。テレグラム(Telegram)では少なくとも94の親イラン系および15以上の反イラン系ハクティビストグループが確認され、戦争開始以降多数の新規チャネルが出現しています。
📌 ディープ・ダークウェブ(DDW)/テレグラム(Telegram)におけるイスラエル・パレスチナ動向分析
- 2025-03-01 ~ 2026-03-09:DDWおよびテレグラム(Telegram)を含む主要ハッキングフォーラムにおける約80の親イランおよび親イスラエル系ハクティビストグループの観測結果として、投稿およびメッセージ量は特定の地政学イベントにより三段階のピーク増加傾向を示しました。
- 2025年6月13日の軍事衝突以降、関連投稿およびメッセージは急増しました。DDWでは紛争前と比較して約5倍(1日平均21.2件)、テレグラム(Telegram)では約3倍(1日平均1,591件)に増加しました。
📌 イランおよびイスラエルハクティビストグループのエコシステム分析
- 親イラン系ハクティビストチャネルは単独ではなく、メッセージ転送および同盟宣言により緩やかながら構造的に繋がっています。
- 特に親イラン、親ロシア、親イスラム系ハクティビストグループは複数の中核チャネルを介して間接的に繋がっています。
- 直接的な相互作用が確認されていないチャネル間でも、中間チャネルを介した2〜3段階の間接的なアクセスが多数確認されています。
- これらの構造的特性により、特定グループが攻撃キャンペーンを開始またはターゲットを宣言した場合、類似の攻撃が短期間で周辺同盟チャネルへ拡散する傾向があります。
- 一方、親イスラエル系ハクティビストグループはテレグラム(Telegram)チャネル間の同盟ネットワーク規模が比較的小さく、特定の中核チャネルを中心とした明確な構造は顕著に確認されていません。
- 親イラン系はイスラエルを主なターゲットとしつつ、ウクライナ、西側諸国、NATO関連機関などへ拡大する一方、親イスラエル系はイラン政府機関、企業、インフラ、ウェブサービスなど直接関連対象に集中する傾向があります。
📌 主要ハクティビストグループ
- 物理的軍事衝突が発生した場合、サイバー空間でも連動したサイバー戦が展開される傾向があります。この過程でAPT、ランサムウェアグループ、ハクティビスト、機会主義的アクターなど多様な脅威アクターがそれぞれ異なる動機と手法で攻撃活動を実施します。
- 最も高いリスクと評価されるAPTグループは国家戦略目標に基づいて活動し、近年イスラエル主要機関および米国をターゲットとした継続的な攻撃が観測されています。
- 2026年3月6日、イラン情報機関MOISと関連するAPT「Seedworm」が米国の銀行、空港、非営利団体、ソフトウェア企業を攻撃した証拠が確認されました。
📌 脅威アクターの攻撃手法分析
- 親イランおよび親イスラエル系ハクティビストグループの攻撃タイプ分析の結果、DDoS(Distributed Denial of Service)攻撃が最も高い割合を占めています。
- 技術的障壁が比較的低く、多数の参加が可能である特性により、ハクティビストキャンペーンで最も広く利用されています。実際にテレグラム(Telegram)チャネルでは、ターゲット公開後に攻撃参加の呼びかけや成功の可否の共有が多数確認されています。
- その他の攻撃手法として、ウェブサイト改ざん(Website Defacement)、データ漏えいおよび販売(Data Leak and Sale)、脆弱性およびマルウェア関連活動が確認されています。一部ではOT(Operational Technology)または産業制御システムへの攻撃試行も観測されています。
✅ 脅威検知の推奨事項と対策方法:
- 親イラン系ハクティビストグループの主要攻撃手法に備え、外部サービスに対するDDoS対応体制の点検および異常トラフィック監視の強化が必要です。また、ウェブサイト改ざん(Website Defacement)やデータ漏えいおよび販売(Data Leak and Sale)など追加攻撃に備え、ウェブサービスの脆弱性管理を含む全体的なセキュリティ点検を実施します。
- 攻撃結果の誇張や既存データの再配布を新規リークのように装う事例が多いため、対応前に実際の機密情報の有無を検証することを推奨します。
- Admin、Dev、Git、DBなど重要内部サービスの外部公開の有無を確認し、露出資産に対するアクセス制御強化および脆弱性パッチ適用を迅速に実施します。
- ダークウェブ上の脅威アクターはDDW流出アカウント情報を用いたログイン試行を積極的に行うため、SSO、VPN、管理者アカウントに対するMFA適用およびレガシー認証方式の遮断が必要です。
🧑💻 レポート作成者: S2W 「TALON」
👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact
*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。