Iranian Spear-Phishing Attack Impersonates Google, Outlook, and Yahoo Domains
2025/06/26 gbhackers — イランの脅威アクター Educated Manticore (別名 APT42/Charming Kitten/Mint Sandstorm) がグローバル・レベルで仕掛ける、新たなスピアフィッシング攻撃キャンペーンを、Check Point Research が発見した。イランとイスラエルの緊張が高まる中において、この脅威アクターはイラン革命防衛隊 (IRGC) の諜報組織と連携し、重要人物を標的とする綿密に練られた攻撃を、積極的に展開している。
ここ数日で活動量が急増している Educated Manticore の攻撃キャンペーンは、高度なソーシャル・エンジニアリング手法を用いて、認証情報の窃取と多要素認証 (MFA) 回避を狙うものであり、その標的とされる人々に重大なリスクをもたらしている。
キャンペーンの標的は著名人
この一連の攻撃は、主にイスラエルの著名人を標的としている、その対象として挙げられるのは、主要なコンピュータ・サイエンス学者/サイバー・セキュリティ研究者/諜報と地政学に関連するジャーナリストたちである。
その一方で、これまでの Educated Manticore の活動は、はるかに広範囲に及ぶものである。過去においては、Washington Post/The Economist/Khaleej Times といった国際メディアを装い、イランの戦略的利益に合致する地域の標的を欺いてきた。
この攻撃活動の一環として、Google/Outlook/Yahoo!/Google Meet の正規サービスである、イベント・スケジュール・プラットフォームなどを模倣する、100以上のフィッシング・ドメインが登録されていたが、それらのリンクは既にブロックされている。
高度なフィッシング手法
この攻撃者が採用する戦術は、メールやメッセージ・アプリを介した連絡から始まり、マルチ・チャネル・アプローチへと移行することで、信頼関係を築いていくというものだ。
攻撃者による関与が深まると、被害者たちは偽のログイン・ページへと誘導される。このページには、被害者のメール・アドレスが事前に入力されている場合もあれば、フィッシング・ドメインにホストされている Google Meet 偽招待状が添付されている場合もある。
Check Point の調査レポートによると、それらのページでは、高度な Web 開発フレームワークが利用され、本物のログイン・フローが模倣されているため、正規のサービスとの区別が困難になっているという。
このグループは、狡猾な手口によるソーシャル・エンジニアリングを用いて、被害者の 2FA 認証コードを引き出し、アカウントの完全な乗っ取りを試行する。
注目すべきアクティビティとしては、テルアビブでの対面会議を提案する WhatsApp メッセージを、標的とされる人物が受け取ったという事例もある。それが示唆するのは、サイバー空間を超えた現実世界への影響である。
この成りすましの手口は高度にカスタマイズされており、イスラエル首相官邸の職員/大手企業の中堅社員/有名テクノロジー企業の専門家などを装うケースが検出されている。
それらのメールは文法的に完璧であり、形式的に書かれていることが多く、AI ツールの活用も考えられるという。しかし、名前のスペルミスといった些細な誤りもあるため、警戒すべき指標になり得るかもしれない。
Check Point Research が警告するのは、この進化を続ける攻撃キャンペーンが、学術界/政策立案者/メディアなどの分野にとって、深刻な脅威になり得る点である。
信頼できそうな情報源からであっても、一方的な会議の招待や連絡に対して、細心の注意を払うべきだろう。
イランのサイバー活動が高度化し、攻撃対象を拡大するにつれて、こうした標的型スピアフィッシング攻撃への警戒が、これまで以上に重要になっている。
いまの世界情勢を反映する出来事ですね。この攻撃キャンペーンが明らかにするのは、単なるフィッシングを超えたレベルでの、知識人や専門職を狙うスピアフィッシングの実態です。巧妙なソーシャル・エンジニアリングと、巧妙な偽ログイン・ページにより、被害者アカウントの完全な奪取が試行されているようです。このようなキャンペーン手法が、世界へと飛び火しないことを願うばかりです。よろしければ、カテゴリ SocialEngineering も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.