Telegram とハッシュタグ:ノイズの海からシグナルを抽出するハクティビストたち

Telegram Becomes the Nerve Center for Modern Hacktivist Operations

2025/10/15 gbhackers — 120以上の政治的な動機を持つ脅威アクター・グループが投稿した、11,000 件以上のメッセージを分析する包括的な研究が行われた。その結果によると、現代のハクティビスト活動における主要な調整拠点としての地位を、Telegram が確立しているという。その一方で、ハクティビスト活動は、ダークウェブのフォーラム上で秘密裏に行われるという通説も覆された。この研究で明らかになったのは、ハクティビストの計画立案や動員の多くが、主流のプラットフォーム上で公然と行われていることだった。司令塔としてのポジションは、Telegram が首位を占め、それに続くのが X (旧 Twitter) となっている。

Kaspersky による発見は、サイバー脅威の発生源に関する従来の常識に疑問を投げかけるものだ。高度な国家支援型アクターが、ステルス性と技術的な複雑性を重視するのに対して、ハクティビストたちは可視性/到達範囲/実行容易性を優先している。

彼らの作戦は、秘密裏での潜入ではなく、社会的な影響の最大化を目的として設計されているため、Telegram のような公開プラットフォームは、分散型攻撃の調整や政治的メッセージの拡散に最適な拠点となっている。

Distribution of social media references in posts published in 2025.
Distribution of social media references in posts published in 2025.

この調査で焦点となったのは、中東および北アフリカを標的とするグループであるが、ハクティビスト活動の範囲はこれらの境界をはるかに超えている。

その被害は複数の大陸にまたがり、欧州/米国/アルゼンチン/インドネシア/インド/ベトナム/タイ/カンボジア/トルコなどの組織が影響を受けている。

このグローバルな標的パターンが浮き彫りにするのは、現代のハクティビズムの本質的な特徴である。つまり、キャンペーンには地理的な制約はなく、注目度と到達範囲の拡大が重視されている。こうした活動を主導/支援する主体を理解する上で重要なのが、”ハクティビスト” という概念である。この用語が示すのは、攻撃を開始するコミュニティ管理者と、キャンペーンに参加する脅威アクターたちである。

これらの政治的な動機を持つ脅威アクターは、技術的な洗練よりも可視性を重視しており、また、技術的な熟練度よりも最大限の露出を目的とした戦術を採用している。今回の調査は、このような行動様式を分析するために、中立性を基盤としたサイバー・セキュリティの観点から実施されている。その結果として明らかにされたのは、サーフェスウェブおよびダークウェブの両チャネルにおける、攻撃手法/公的警告/表明された意図のパターンなどである。

ハッシュタグが攻撃を協調させる

ハクティビストのコミュニケーションにおける特徴は、ハッシュタグを作戦ツールとして戦略的に活用する点にある。これらのタグは、政治スローガンとして機能するだけではなく、メッセージの拡散や活動の調整に加えて、攻撃を主張する役割も担っている。

この調査で確認されたのは、2025年に流通した固有ハッシュタグ 2,063 個のうち、新たに出現したものが 1,484 個もあったことだ。これらの新規タグの分析により、共通のテーマとして浮上するのは、政治的声明/グループ名/特定の国や都市などへの地理的言及などである。

ハッシュタグ分析により、同盟のパターンとキャンペーンの勢いが明らかになった。それらのタグの大半は2ヶ月ほどアクティブであるが、人気のあるタグは同盟グループにより拡散され、より長く存続するという。その一方で、チャネルの凍結によりハッシュタグは減少するが、同盟のマーカーが絶えず進化するため、動的なエコシステムが形成され続けるという。

オペレーション面に目を転じると、ハッシュタグ付きコンテンツの 58% が攻撃完了を報告している。また、報告された作戦の 61% を、分散型サービス拒否攻撃 (DDoS) が占めているという。DDoS の特質として、実施の容易さと目に見える影響力があるため、依然として主要な攻撃手法とされている。

脅迫的な言説の急増が、攻撃の増加に結びつくものではないが、両者間のタイミングは重要である。通常において、公開された脅威情報は、1ヶ月以内に計画されている行動を示しているため、リアルタイムな監視とオープン・チャネルでの早期警告が重要となる。

防御側への推奨事項

セキュリティ研究者たちが推奨するのは、拡張可能な DDoS 緩和策とプロアクティブな防御策の優先的な適用である。一般的に、ハクティビストの警告は差し迫った行動を示唆することから、公開されている脅威については、長期的な予測ではなく短期的な指標として扱うべきだ。

さらに、Telegram および関連エコシステムを継続的に監視することで、同盟宣言/脅威投稿/攻撃の証拠となる主張を迅速に発見できる。

重要なのは、地政学的な紛争地域外で活動する組織であっても、潜在的なリスクを想定する必要があることだ。ハクティビストのキャンペーンは、絞り込んだ標的パラメータよりも到達範囲と注目度を優先している。つまり、ハッシュタグが脅威環境に提供するのは、背景ノイズから実用的なシグナルを抽出するための有用なレンズとなる。

ハクティビストたちのコミュニケーション・チャネルが、ダークウェブ・フォーラムから公開プラットフォームへと移行し、その司令塔としての役割を Telegram などが担っているとのことです。可視性と拡散力を優先し、ハッシュタグで動員/宣言を行うことで、DDoS などの実行が容易になり、また、標的化が効率化していると、この記事は指摘しています。よろしければ、Telegram で検索も、ご参照ください。