勧告：中東紛争とサイバー攻撃の激化

概要

2026年2月28日、米国とイスラエルはイランに対する共同軍事攻撃（エピック・フューリー作戦／咆哮する獅子作戦）を開始した。イランの最高指導者ハメネイ師は3月1日に殺害され、イランは湾岸地域全体でドローンとミサイルによる報復攻撃を行い、サイバー空間はほぼ即座に爆発的に拡大した。

最初の攻撃から数時間以内に、イラン国内のインターネット接続率は1～4%にまで低下した。しかし、攻撃はそれで止まることはなく、イラン国外で活動する数十の脅威グループに加え、標的ネットワーク内に事前に仕掛けられたバックドアによって、攻撃はフルスピードで継続された。

今回の大きな変化は、イランがもはや独自のマルウェアだけに頼らなかったことだ。ストライカー攻撃は、イランがマルウェアを用いずに正規のITツールを悪用していることを示した。一方、中国寄りのムスタング・パンダは、ニュースの注目を巧みに利用して情報収集を行い、正体不明の犯罪グループ（TeamPCP）は、イランのインフラを標的としたKubernetesワイパーを展開した。事態は複雑で、複数の主体が関与しており、現在も進行中である。

イランの多層型サイバー作戦モデル

イランのサイバーエコシステムは、国家主導のAPTグループ（IRGC関連およびMOIS関連）、準公式の請負業者およびフロント組織、諜報機関が運営するハクティビストの個人および集団、そしてイデオロギー的に連携した外国の集団が並行して活動する階層構造を通じて機能している。2026年3月11日のストライカー社への攻撃は、重大なエスカレーションを示した。これは、マルウェアを使用せずに正規のMDMインフラストラクチャを悪用して実行された、米国に対する破壊的なワイパー作戦であり、イランの作戦能力と西側企業のインフラストラクチャを標的とする意思の質的な変化を示している。

アクティブな脅威

イラン国家APTグループ

シードワーム／泥水（MOIS）

少なくとも攻撃開始前の2月初旬から、米国とイスラエルのネットワーク上で活動していたことが確認されている。標的は、銀行、空港、NGO、そして米国企業のイスラエル支社。新たに2つのバックドアが発見された。

• Dindoor：Deno（JavaScriptランタイム）上で動作します。証明書「Amy Cherne」で署名されています。銀行、ソフトウェア会社、カナダのNGOで発見されました。
• Fakeset：Pythonベース。Backblazeクラウドストレージから取得。「Amy Cherne」と「Donald Gay」の証明書で署名済み。Donald Gayの証明書は以前、Seedwormツールであることが確認されているStagecompとDarkcompの署名にも使用されていた。

Rcloneは、侵害されたソフトウェア会社からWasabiのS3バケットへデータを抜き出すために使用された。MuddyWaterはまた、重複するインフラストラクチャを用いて、中東、トルコ、アフリカにまたがる並行キャンペーン（Operation Olalampo）も実行した。

TA453 / APT42 / チャーミング・キティ (IRGC)

3月8日、イラン国内のインターネット遮断にもかかわらず、TA453は米国のシンクタンクに認証情報フィッシングメールを送信した。攻撃者は政策研究者を装い、当たり障りのないメールで信頼関係を築いた後、NetlifyでホストされたOneDriveを模したフィッシングページを送信した。侵害されたサイトに設置されたトラッキングピクセルを使用して、ターゲットがクリックしたかどうかを確認した。国内の完全なインターネット遮断も攻撃を阻止できず、海外のインフラが活動を継続させた。

TA402 / 石油掘削装置 / APT34 (MOIS)

侵害されたイラク外務省のメールアカウントを利用して、中東の政府を標的とした攻撃。「イランにおける米軍の地上作戦の可能性」や「湾岸軍事同盟」といった内容の誘い文句が用いられた。標的のIPアドレスの位置情報に基づいて、偽のPDFファイルまたは認証情報窃盗ページが配信された。同じ侵害されたイラク外務省のインフラは、Dust Specterクラスターでも利用されていた。

ヌマヒメウミツバメ / アグリウス / ピンクサンドストーム (MOIS)

イスラエル、アラブ首長国連邦、カタール、バーレーン、クウェート、レバノン、キプロスにおける空爆後のカメラ監視の拡大。Hikvision製カメラおよびビデオインターホンユニットのCVE-2017-7921およびCVE-2023-6895を悪用。この攻撃パターンは紛争地帯付近の外部カメラを侵害し、空爆による被害状況をリアルタイムで視覚的に把握するために利用される。これらの地域でインターネットに接続されたカメラを運用している組織は、これを深刻な脅威として扱うべきである。

ハンダラのストライカー社攻撃

今回の紛争において、イランによるものとされる西側企業への攻撃の中で最も大きな影響を与えたのは、3月11日に発生したHandala（Void Manticore、Storm-0842としても追跡されている）による攻撃である。この攻撃により、4億5000万ドルの米国供給契約を結んでいた、売上高250億ドルの医療機器会社、Stryker Corporationが壊滅的な打撃を受けた。

それがどのように機能したか

攻撃者は、侵害されたMicrosoft 365グローバル管理者アカウント（おそらく犯罪市場で販売された古い情報窃盗ログから入手したもの）を入手した。研究者らは、このアカウントを使ってMicrosoft Intuneにログインし、正規の「デバイスの工場出荷時設定へのリセット」機能を利用して、79か国にわたる200,000万台以上のノートパソコン、サーバー、モバイルデバイスのデータをリモートで消去したと考えている。ログイン画面はHandalaのロゴに置き換えられていた。

• ストライカー社のアイルランド・コークオフィス（従業員数4,000～5,500人）は、製造システムが停止したため、最も大きな打撃を受けた。
• 受注処理、製造、および世界規模の配送業務すべてが混乱した（SECへの提出書類で確認済み）。
• SYK株は情報開示を受けて下落した。
• 50TBのデータが事前に持ち出されたとされる（全容は未確認）
• CISAは技術支援を展開し、アイルランドNCSCが対応した。

3月20日頃、米国司法省はハンダラをイラン情報省（MOIS）の組織と正式に認定し、ハッキングや情報漏洩、心理作戦に利用された「偽の活動家ペルソナ」だと断定した。FBI長官のカシュ・パテルは、情報漏洩サイトを含むハンダラのウェブサイト4件を押収したと発表した。チェック・ポイント・リサーチは、ハンダラの指導部がMOISの対テロ部門と関係があると指摘したが、この部門の責任者は2026年3月の空爆で死亡したと報じられている。

3月13日、ハンダラはクッズ・デーに関連した40TBのデータ消去作戦を実行すると脅迫した。今のところ、被害者は確認されていない。彼らは別途、ベリフォンへの侵害を主張したが、ベリフォンは攻撃を否定した。

ダスト・スペクター（イランとの繋がり、イラク政府を標的とした攻撃）

2026年1月以降、イラク政府関係者を標的とする、これまで知られていなかったイラン関連のAPT攻撃が研究者によって確認された。このグループは、正規のイラク政府ウェブサイトを侵害してペイロードをホストし、偽のCisco Webex for Government会議をClickFixソーシャルエンジニアリングの誘い文句として使用した。新たに4つの.NETマルウェアツールが発見された。

• SPLITDROP：パスワードで保護されたRARファイルから次のステージを抽出し、VLCやWingetUIなどの正規バイナリを介してサイドロードするドロッパー。
• TWINTASK: in.txt/out.txtファイルをポーリングしてPowerShellスクリプトを実行するワーカー。HKCUのRunキーを介して永続化されます。
• TWINTALK：ランダム化されたURI、ジオフェンシング（被害者の位置を確認）、およびChromeを模倣したユーザーエージェントのなりすましを使用したHTTPSによるC2モジュール。
• GHOSTFORM：TWINTASKとTWINTALKを単一のバイナリに統合し、メモリ内PowerShellを搭載した、後期段階のRAT。ミューテックスを使用して一度だけ実行され、アセンブリ作成タイムスタンプからボットIDを生成する。

TWINTALKとGHOSTFORMに見られる絵文字、Unicodeの異常値、プレースホルダーの16進定数（0xABCDEF）といった異例のコード痕跡は、開発の一部に生成型AIが使用されたことを示唆している。これは、イランのAPTツールにおいて、AI支援によるマルウェアコーディングが大規模に確認された初めての事例である。

中国APT – ムスタングパンダ（ロータスライト）

3月4日、研究者たちはムスタングパンダ（アースプレタ、TA416、ブロンズプレジデントとしても追跡されている）が、2月28日の空爆からわずか数日のうちに中東紛争を誘引する餌に切り替えたことを確認した。これは、ニュースになっている事柄に合わせて餌を変えるムスタングパンダの典型的な行動である。

悪意のあるZIPファイルには、正規のKuGou音楽バイナリ（「Iran Strikes US Military Facilities Across Gulf Region.exe」という名前に変更されている）と悪意のあるDLL（libmemobook.dll）が含まれていました。exeファイルが実行されると、以下のDLLがサイドロードされます。

• 侵害されたドメイン（e-kflower[.]com）からWebFeatures.exeとkugou.dllをダウンロードします。
• 実行キー（ACboardCm / ASEdge）を介して永続性を設定します。
• dll は LOTUSLITE のバックドアであり、WinHTTP を介して C2 172.81.60[.]97 と通信します。

LOTUSLITEは、2026年1月にベネズエラをテーマにしたおとり攻撃に全く同じC2 IPを使用していたことが既に記録されています。同じバックドア、同じ配信チェーンですが、ニュースのフックが異なるだけです。帰属：Mustang Pandaに対する中程度の確信度。これは、KuGouバイナリの悪用（2022年以来記録されている攻撃手法）、共有C2、およびロシア起源を否定する埋め込みコードメッセージ（以前Mustang PandaのClaimLoaderキャンペーンで見られたもの）に基づいています。

別のGCCを標的としたLNK/CHMのキャンペーンでは、「イランによるバーレーンの米軍基地へのミサイル攻撃」に関する偽のPDFファイルと、RC4キー「20260301@@@」を使用して次の段階を復号するシェルコードローダーがドロップされた。

ハクティビストグループ – 可視化された層

ハクティビストの活動は騒々しいものの、技術的な影響は概して小さい。DDoS攻撃、ウェブサイトの改ざん、ハッキングと情報漏洩の主張が主流だが、その多くは誇張されている。しかし、実際に能力を持つグループもいくつか存在し、監視する価値がある。

グループ	確認済み／申請済みオペレーション	リンク
ハンダラ / ヴォイド・マンティコア	ストライカーワイパー（確認済み）。イスラエルの医療制度。1.3TBの石油・ガス埋蔵量を主張。ディアスポラの批判者に対する個人情報の暴露と、電子メールによる殺害予告。	MONTH
FADチーム / ファティミユン	ワイパーマルウェア、SCADA/PLCアクセス要求（イスラエルおよび同盟国）。トルコメディアによる攻撃。	IRGC近傍
サイバーイスラム抵抗運動（313チーム、リッパーセック）	ドローン防衛システムが主張されている。イスラエルの決済インフラ。クウェート政府へのDDoS攻撃。	親イラン派
ダイネット	バーレーン空港、シャルジャ空港、リヤド銀行、ヨルダン銀行 ― 全てDDoS攻撃。	親イラン派
NoName057(16)	イスラエルの自治体、通信、国防関連組織に対するDDoS攻撃。イランのグループと連携。	親ロシア派
枢機卿	イスラエル国防軍のネットワークへのアクセス権を主張。ノーザンシールド作戦に言及した文書が流出。	親ロシア派
ロシア軍団	アイアンドームレーダーへのアクセス権を主張（未確認）。イスラエル国防軍サーバーへのアクセス権を主張。	親ロシア派
Z-ペンテスト	2月28日から3月2日にかけて、米国のICS/SCADAシステムおよびCCTVシステムが侵害されたと主張している。	親ロシア派

 

研究者たちは、2月28日以降のハクティビストの活動に関する詳細なTelegramのタイムラインを追跡した。包括的な調整チャンネルである電子作戦室は、攻撃当日に開設され、53以上のグループ間で標的の共有と主張の調整を行う中心的なハブとして機能した。

MOIS Telegram C2マルウェア

FBIは、MOISのサイバー攻撃者が2023年秋以降、C2インフラとしてTelegramボットを使用し、世界中のイランの反体制派、ジャーナリスト、および反体制グループを標的にしているとの警告を公表した（IC3、3月20日）。このマルウェアは2段階の設計を採用している。

• ステージ1は、Telegram_authenticator.exe、KeePass.exe、WhatsApp.exe、Pictory_premium_ver9.0.4.exeといった一般的なアプリを装います。実行時にステージ2に移行します。
• 双方向C2通信のためにapi.telegram[.]orgに接続するステージ2の永続的なインプラント。関連モジュールはZoomセッション中に画面と音声を録画します（MicDriver.zip）。

FBIはまた、ハンダラが2025年7月に反体制派を標的として行ったハッキン​​グおよび情報漏洩作戦においても、漏洩データの収集に同じマルウェアが使用されたことを確認した。この速報は、ハンダラの反体制派標的活動が、MOISのTelegram C2インフラストラクチャ全体と正式に結びついていることを示している。

キャメルクローン作戦

Seqrite Labs APTチームは、アルジェリア（住宅省を餌に）、モンゴル（MonAtom LLC／原子力エネルギーを餌に）、ウクライナ（アルジェリア・ウクライナ協力を餌に）、クウェート（クウェート空軍の兵器要求を餌に）の4か国で、同一の感染手法を用いた複数地域にわたるスパイ活動を特定した。

すべてのキャンペーンは同じ手順に従います: ZIP → PowerShell 付き LNK → filebulldogs[.]com から HOPPINGANT (f.js JavaScript ローダー) をダウンロード → Rclone v1.70.3 (l.exe に名前変更) をドロップ → MEGA 認証情報 (キー: 56) を XOR デコード → デスクトップの .doc/.docx/.pdf/.txt ファイルと Telegram デスクトップのセッション データ (tdata フォルダ) を onionmail.org 経由で登録された MEGA アカウントに流出。4 つの別々の MEGA アカウントが特定され、すべて 2026 年 2 月～3 月に作成されました。

犯人：不明。標的のパターン（政府、国防、外交、エネルギーなど、主要国間の対立の火種となっている地域全体）は、国家レベルの情報収集活動を示唆している。

TeamPCP – CanisterWorm / Kubernetes Wiper

金銭目的のクラウド脅威アクター（TeamPCP、別名DeadCatx3、PCPcat、ShellForce）が、既存のツールセットに地政学的な標的を絞ったワイパーを追加しました。3月19日、彼らはまずTrivy（Aqua Securityの人気脆弱性スキャナー）に対するサプライチェーン攻撃を実行し、GitHubリリースとDockerイメージにバックドアを仕込んで、CI/CDパイプラインでTrivyを実行しているユーザーからSSHキー、クラウド認証情報、K8sトークン、暗号通貨ウォレットを盗み出しました。

3月22日、彼らは同じICPキャニスターC2（tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io）を介して新しいペイロードを展開した。このペイロードはシステムのタイムゾーンとロケールをチェックする。イラン（アジア/テヘラン、fa_IR）と一致する場合：

• Kubernetes上では、すべてのノードに「host-provisioner-iran」という名前のDaemonSetをデプロイします。各Podは「kamikaze」という名前のAlpineコンテナを実行し、ホストの最上位ディレクトリをすべて削除してノードを強制的に再起動します。
• Kubernetesを使用していないイランのホストでは、rm -rf / –no-preserve-root を実行します。
• イラン国外のKubernetesホストでは、CanisterWormバックドアをsystemdサービス（pgmonitor）としてインストールし、継続的な認証情報窃盗を行います。

イランのシステムが実際に消去されたかどうかは不明で、悪意のあるコンテナは短時間しかアクティブにならず、すぐに交換された。研究者らは、このグループが注目を集めようとしている部分もあると指摘している。しかし、サプライチェーンのベクター（Trivyは何百万もの開発環境で実行されている）と、破壊的な地政学的標的型ペイロードは、どちらも現実的で注目に値する。TeamPCPは3月22日にAqua SecurityのプライベートGitHub組織も乗っ取り、44個の内部リポジトリすべてを「tpcp-docs-*」に名前変更し、「TeamPCPがAqua Securityを所有している」という説明を付け加えた。

イラン革命防衛隊の監視拡大

イラン・ワイヤーは、イラン革命防衛隊（IRGC）がイラン国民に対し、「InstagramとTelegramの活動は積極的に監視されている」と直接警告したと報じた。イランの情報機関は、空爆以降、国内監視活動を大幅に拡大し、ソーシャルメディア上の活動を既知の反体制派のプロフィールと照合している。これは、FBIのFLASHによるTelegram C2作戦と直接関連しており、海外の反体制派を攻撃するために使用されたのと同じインフラが国内でも拡大されている。

ハンダラ・グループがイランのインターネット遮断中にスターリンクを利用したことは、イラン関連の脅威アクターが国内の接続抑制対策を既に講じていたことを裏付けている。全面的なインターネット遮断では、もはやこれらのアクターを無力化することはできない。

セクターエクスポージャー

分類	リスクレベル	観測された／予測される標的設定
エネルギー — 石油・ガス	CRITICAL	Handalaによる1.3TBのデータ流出が湾岸諸国の通信事業者から主張されている。SCADA/PLCへのアクセスも主張されている。ホルムズ海峡付近で1,100隻以上の船舶に影響する航行障害が発生。イラン革命防衛隊のドローンがAWSバーレーンを攻撃。以前、Predatory Sparrowがイランの仮想通貨取引所から90万ドルを流出した。
政府機関	CRITICAL	イランのすべてのAPTグループ。Dust Specterはイラク外務省を標的にしています。クウェート、ヨルダン、バーレーンの政府サイトへのDDoS攻撃。UNG0801はイスラエル政府のITシステムを標的にしています。CamelCloneはアルジェリア、モンゴル、クウェート、ウクライナの国防・外交機関を標的にしています。
金融	高い	イスラエルの銀行に対するDDoS攻撃。リヤド銀行。ヨルダン銀行。UAEへのフィッシング攻撃。イスラエルの標的となった「Tarnished Scorpius」。偽のSSAポータルとKvish 6による通行料支払いフィッシング（イラン関連）。
健康	高い	ストライカー社によるデータ消去（世界中で200万台以上のデバイスが消去された ― 米国防総省のサプライヤー）。イスラエルの医療ネットワーク（クラリット）におけるハンダラ社の情報漏洩。CISAレベルのインシデント対応が展開された。
防衛産業とサプライチェーン	高い	ストライカー社（国防総省との4億5000万ドルの契約）。米国サプライヤー（シードワーム・ディンドール）。複数の高価値ターゲットに同時に到達するために、サプライチェーンの妥協がますます利用されるようになっている。
航空および輸送	高い	バーレーン空港へのDDoS攻撃。アラブ首長国連邦シャルジャ空港へのDDoS攻撃。シードワーム攻撃の被害リストに米国の空港が掲載。ホルムズ海峡における船舶GPSスプーフィングにより1,100隻以上の船舶が影響を受ける。
電気通信	高い	歴史的にイラン革命防衛隊（IRGC）と情報省（MOIS）の優先分野。反体制派の居場所を特定するためのインフラ破壊とインターネットサービスプロバイダー（ISP）への標的攻撃。継続的なスパイ活動。
重要インフラ（OT/ICS）	高い	SCADA/PLCへのアクセスは、Cyber​​ Islamic Resistance、FAD Teamによって主張されました。カメラのスキャンはMarshtreaderによって行われました。Z-Pentestは、米国のICS/SCADAおよびCCTVの侵害を主張しました（2月28日～3月2日）。
IT / MSP / ソフトウェア	中～高	UNG0801 / Operation IconCatは、イスラエルのIT、MSP、人事、ソフトウェア関連企業を標的としている。シードワームは、イスラエルの防衛産業向けソフトウェアサプライヤーに侵入した。これは、下流の被害者へのサプライチェーン上の入り口となった。
NGOとシンクタンク	中～高	TA453/APT42が米国のシンクタンクを標的に（認証情報フィッシング）。カナダのNGOがSeedwormの被害者リストに掲載。UNG0801がイスラエルの企業環境を標的に。
メディア＆インフルエンスオペレーション	ミディアム	FADチームはトルコのメディアを標的にした。StealCを配布する偽ニュースブログ。TelegramとXを介したハクティビストによる心理作戦。

 

見るもの

• マイクロソフトが管理するデバイス群を多数保有する企業に対する、Intune/MDM攻撃が増加しています。グローバル管理者アカウントが侵害され、デバイスの大量消去がトリガーされる可能性のある組織は、ストライカー社が受けたのと同様の脆弱性を抱えています。
• ハンダラはクッズ・デーに関連した第二波を予告している。標的発表については、彼らのテレグラムチャンネルとXフィードを監視してください。
• 事前に設置されていたシードワームのアクセス権限が発動される可能性が高い。このグループは戦争開始前から既にアメリカとイスラエルのネットワークに潜入しており、そうした足がかりが存在するのには理由がある。
• サプライチェーン攻撃が増加。TeamPCPによるTrivyの侵害とMustang Pandaによるテーマの頻繁な変更は、攻撃者が開発者ツールチェーンとニュースサイクルを同時に攻撃ベクトルとして利用することに抵抗がないことを示している。
• ワイパーのリスクは依然として高い。Druidfly、FAD Team、およびHandalaはいずれもワイパー機能を備えている。BibiWiper、Hatef、およびStryker MDM-wipe方式は、それぞれ異なる配信方法を示している。
• MOIS Telegram C2の拡張。FBI FLASHは2023年まで遡る攻撃を網羅している。同じマルウェア（Pictory、KeePass、WhatsApp類似マルウェア）が、イラン国外の在外イラン人、研究者、ジャーナリストを標的に再攻撃されることが予想される。
• 中国寄りの組織による、紛争を題材とした日和見的な情報収集活動は、ムスタング・パンダに限らず、ますます活発化している。主要な地政学的動向は、48～72時間以内にフィッシング詐欺の餌として悪用される。

あなたのチームがすべきこと

たった今

• Microsoft 365 グローバル管理者アカウントと Intune 管理者アカウントを確認してください。それらすべてにフィッシング対策の多要素認証 (FIDO2 または証明書ベース) が設定されていますか？設定されていない場合は、まずこれを修正してください。
• N台を超えるデバイスのデータを消去または工場出荷時設定にリセットするIntuneアクションに対してアラートを設定します。人間が操作する場合、このしきい値は非常に小さく設定する必要があります。
• CI/CDでTrivyを使用している場合は、どのバージョンに固定されているかを確認してください。バージョン0.69.4～0.69.6には脆弱性があります。タグではなく、コミットSHAで検証済みの安全なバージョンに固定してください。
• セクション3.2からMOIS Telegram C2ファイルのハッシュを取得し、EDRで処理してください。これらは2023年から有効です。
• Rclone、AnyDesk、ScreenConnect、PDQConnectが、インストールしていない場所で実行されていないか確認してください。CamelClone、Seedworm、Handalaはいずれも正規のツールを悪用しています。

今週

• 認証レビューを実施してください。通常とは異なる国からのログイン、営業時間外のアクセス、および過去60日以内に作成された新しい管理者アカウントがないか確認してください。
• ブラウザのトラフィックではなく、サーバープロセスからのMEGA、Backblaze、Wasabi、およびTelegram API（api.telegram[.]org）への予期しない接続がないか、送信トラフィックを確認してください。
• バックアップからの復元をテストしてください。具体的には、プライマリ環境が消去された場合、エアギャップされたバックアップから重要なサーバーを再構築できるかどうかを確認してください。検証に1時間以上かかる場合は、そこにギャップがあります。
• Kubernetes デプロイメントがある場合は、kube-system の DaemonSet を監査してください。「host-provisioner-*」または「provisioner」コンテナを探してください。hostPath: / マウントを持つ Alpine コンテナを確認してください。
• 紛争を題材にしたフィッシング詐欺について、チームに説明してください。現在よく使われている手口は、イランのミサイル攻撃、JCPOA（包括的共同行動計画）の最新情報、湾岸軍事同盟、民間防衛警報、クウェート空軍の調達、協力提案などです。

継続

• TelegramやXなどのSNSを監視し、自社や所属する業界に関連する標的リストや情報漏洩の報告がないか確認しましょう。ハクティビスト集団は攻撃前に次の標的を投稿する傾向があります。
• CISAのイランに関する勧告フィードと、この紛争に関する英国NCSCのアラートを購読してください。
• CI/CDパイプラインの権限を確認してください。PAT（個人アクセストークン）のみを使用し、MFA（多要素認証）が設定されていないサービスアカウントは、TeamPCPがAqua SecurityのGitHub組織を所有していた際に使用していたものと全く同じです。
• サイバー保険会社に戦争免責条項について相談してください。ストライカー攻撃は国家による犯行であることが確認されています（司法省）。保険契約によっては、国家による破壊行為は補償対象外となる場合があります。

参考情報

1. https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
2. https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/
3. https://www.ic3.gov/CSA/2026/260320.pdf
4. https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us
5. https://www.rapid7.com/blog/post/tr-iran-cyber-playbook-escalating-regional-conflict/
6. https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks
7. https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq
8. https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/
9. https://www.seqrite.com/blog/operation-camelclone-multi-region-espionage-campaign-targets-government-and-defense-entities-amidst-regional-tensions/
10. https://www.seqrite.com/blog/ung0801-tracking-threat-clusters-obsessed-with-av-icon-spoofing-targeting-israel/
11. https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/
12. https://www.bleepingcomputer.com/news/security/trivy-supply-chain-attack-spreads-to-docker-github-repos/
13. https://www.aikido.dev/blog/teampcp-stage-payload-canisterworm-iran
14. https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
15. https://www.reuters.com/technology/iran-linked-hackers-restore-website-after-us-seizes-domains-2026-03-20/
16. https://iranwire.com/en/news/150668-irgc-warns-citizens-your-instagram-and-telegram-activity-is-being-watched/
17. https://socradar.io/blog/telegram-activity-timeline-iran-israel-us-war/
18. https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity
19. https://www.intel471.com/blog/israeli-us-strikes-against-iran-triggers-a-surge-in-hacktivist-activity
20. https://techcrunch.com/2026/03/20/u-s-accuses-irans-government-of-operating-hacktivist-group-that-hacked-stryker/
21. https://www.sophos.com/en-us/blog/hacktivist-campaigns-increase-as-united-states-iran-and-israel-conflict
22. https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
23. https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026
24. https://www.ncsc.gov.uk/news/ncsc-advises-uk-organisations-take-action-following-conflict-in-middle-east
25. https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran

著者：

シャヤク・タラフダール
ディーパック・トーマス・フィリップ
サトウィック・ラム・プラッキ
カルティックマル・ジヴァニ