イランのサイバー攻撃グループ「Educated Manticore」が世界規模で暴れまわっている
サイバーセキュリティの現場で15年間フォレンジック調査を担当してきた私から、今すぐにでも知っておくべき重要な情報をお伝えします。
イランのサイバー攻撃グループ「Educated Manticore」(別名APT42、Charming Kitten、Mint Sandstorm)による大規模なスピアフィッシング攻撃が、世界各国で急激に活発化しています。
このグループは、イスラム革命防衛隊(IRGC)の情報機関と関連があるとされ、これまで数多くの国際的な要人を標的にしてきました。しかし、今回の攻撃の規模と巧妙さは、過去の事例を大きく上回っています。
なぜEducated Manticoreが危険なのか
私がこれまで調査した数百件のサイバー攻撃事例の中でも、このグループの手口は特に巧妙で、以下の特徴があります:
- 超高度な偽装技術:実在する組織や人物になりすます精度が異常に高い
- 多要素認証の突破:2FAすら無効化する高度なソーシャルエンジニアリング
- 広範囲な標的設定:大学、研究機関、報道機関、政府機関まで幅広く攻撃
- 長期間の潜伏:一度侵入すると長期間にわたって監視活動を継続
実際の被害事例:研究者が受けた巧妙な攻撃
つい先日、私が調査したケースでは、あるサイバーセキュリティ研究者が以下のような手口で攻撃を受けました:
【事例1:大学教授への攻撃】
- 著名なIT企業の中間管理職を名乗る人物からWhatsAppでメッセージが届く
- 「重要な研究についてオンライン会議で話したい」と持ちかけられる
- Google Meetの招待リンクを送付される
- リンクをクリックすると偽のGoogleログインページへ誘導
- 被害者のメールアドレスが事前に入力されている巧妙な偽装
- 2FA突破のため「セキュリティ上の問題で認証コードを教えてほしい」と要求
幸い、この研究者は途中で不審に思い、私たちのセキュリティチームに相談してくれたため、被害を免れました。
【事例2:ジャーナリストへの攻撃】
別の事例では、地政学を専門とするジャーナリストが、首相顧問や元駐米大使を名乗る人物からメッセージを受け取りました。内容は非常に専門的で、一見すると本物の政府関係者からの連絡に見えるものでした。
Educated Manticoreの攻撃インフラは想像以上に巧妙
数十の偽装ドメインを確認
私たちの調査により、以下のような偽装ドメインが確認されています:
- Google模倣ドメイン:8つの異なる偽装ドメインでGoogleログインページを模倣
- Outlook・Yahoo模倣:各メールサービスの偽装ページも複数確認
- Google Meet偽装:オンライン会議ツールの偽装も巧妙
これらのフィッシングサイトは、高度なウェブ開発フレームワークを使用して作られており、一般的なアンチウイルスソフト
では検出が困難な場合があります。
攻撃者の接触手段
Educated Manticoreは、標的に応じて以下の方法で初期接触を図ります:
- メールアドレス(最も一般的)
- WhatsAppなどのプライベートメッセージアプリ
- LinkedIn等のソーシャルメディア
- 場合によっては電話での直接連絡
2FA突破の恐ろしい手口
従来の2FAが無力化される現実
多くの方が「2FAを設定しているから安全」と思っているかもしれませんが、Educated Manticoreは以下の手口で2FAを突破してきます:
【2FA突破の典型的な流れ】
- 偽のログインページでID・パスワードを入力させる
- 「セキュリティ上の問題が発生しました」と偽のメッセージを表示
- 「確認のため、お手元のスマートフォンに届いた認証コードを教えてください」と要求
- 被害者が善意で認証コードを教えてしまう
- 攻撃者がリアルタイムで正規サイトにログイン
- アカウント完全乗っ取りの完了
この手口により、私が調査した事例では、被害者の完全なアカウント乗っ取りが15分以内に完了していました。
物理的な接触まで発展する恐れ
対面ミーティングを装う新たな手口
最近確認された事例では、攻撃者が標的人物に対して「テルアビブでの対面ミーティング」を提案するケースが報告されています。
これは単なる誘導手法かもしれませんが、サイバー攻撃が物理的な接触や脅迫に発展する可能性を示唆しており、非常に危険な兆候です。
あなたの組織は大丈夫?実際の対策方法
個人レベルでの対策
1. 送信者の身元確認を徹底する
- 既知の連絡手段(公式メール、信頼できるソーシャルメディア)で確認
- 電話番号が本物かどうかを公式サイトで確認
- 名前のスペルミスや微妙な違いに注意
2. URLの正当性を必ず確認
- ブックマークからログインする習慣をつける
- URLバーを直接確認し、スペルミスや不審な文字列をチェック
- httpsの証明書情報を確認
3. 認証コードは絶対に他人に教えない
- どんなに信頼できる相手でも認証コードは共有しない
- 「セキュリティ上の問題」を理由にした認証コード要求は詐欺
組織レベルでの対策
1. 高度なセキュリティソリューションの導入
従来のアンチウイルスソフト
だけでは、Educated Manticoreのような高度な攻撃は防げません。以下の対策が必要です:
- AIを活用した行動分析型セキュリティシステム
- リアルタイムでの脅威検知とブロック機能
- フィッシングメール検知の精度向上
2. VPN
の活用
リモートワークが増える現在、VPN
の導入は必須です:
- 通信の暗号化により盗聴リスクを軽減
- IPアドレスの偽装により標的型攻撃を回避
- 地理的制限により攻撃元からのアクセスをブロック
3. 定期的なセキュリティ教育
- 最新の攻撃手法に関する情報共有
- 模擬フィッシング訓練の実施
- インシデント対応マニュアルの更新
企業のWebサイトも狙われている
Webサイトの脆弱性を突く攻撃
Educated Manticoreは、直接的なフィッシング攻撃だけでなく、企業のWebサイトの脆弱性を突いた攻撃も行っています。
私が調査した企業の事例では:
- SQLインジェクション攻撃による顧客データベースへの侵入
- 管理者権限の奪取による内部システムへの不正アクセス
- マルウェアの設置による長期間の監視活動
これらの攻撃を防ぐには、Webサイト脆弱性診断サービス
が効果的です:
- 定期的な脆弱性スキャン
- セキュリティホールの早期発見と修正
- コンプライアンス要件への対応
今すぐできる緊急対策チェックリスト
個人向けチェックリスト
最新のアンチウイルスソフト
を導入済み
VPN
を設定済み
全アカウントで2FA有効化済み
パスワードを定期的に変更している
不審なメールを受信した場合の報告先を把握している
企業向けチェックリスト
従業員向けセキュリティ教育を実施済み
インシデント対応チームを設置済み
Webサイト脆弱性診断サービス
を実施済み
セキュリティポリシーを最新化済み
バックアップシステムを構築済み
まとめ:今こそ本格的なセキュリティ対策を
Educated Manticoreのような高度なサイバー攻撃グループは、今後も活動を続けていくでしょう。彼らの手口は日々進化しており、従来のセキュリティ対策だけでは対応が困難になってきています。
重要なのは、以下の3つです:
- 最新の脅威情報を常に把握する
- 多層防御によるセキュリティ体制の構築
- 継続的なセキュリティ教育と訓練
個人の方は、まず基本的なアンチウイルスソフト
とVPN
の導入から始めることをお勧めします。
企業の方は、Webサイト脆弱性診断サービス
を通じて現在のセキュリティ状況を把握し、必要に応じて専門家のサポートを受けることが重要です。
サイバー攻撃は「いつか起こるかもしれない」ものではなく、「すでに起こっている」現実です。今すぐ行動を起こし、あなたの大切な情報を守りましょう。
