チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
Educated Manticoreと呼ばれるグループが世界規模で標的型攻撃を展開 大学・研究機関や行政、報道機関など各界の要人を狙う巧妙な手口
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、FBI(米連邦捜査局)やDHS(米国土安全保障省)といった機関からイランのサイバー活動への警告が相次ぐ中、Educated Manticoreと呼ばれるイランの脅威グループによる大規模なスピアフィッシング攻撃が再び活発化していることを確認しました。
CPRは、これらの脅威が実際にどのように展開されているかを明らかにするため、過去数日間で確認された最新の事例を公開しています(2025年6月25日現在)。APT42、Charming Kitten、Mint Sandstormなどの名前でも知られるこのグループは、イスラム革命防衛隊(IRGC)の情報機関との関連が指摘されており、世界各国の著名人を標的にすることで知られています。現在、イスラエルの要人を標的に巧妙な手口でログイン情報を盗み出そうとしていますが、実際の攻撃対象は地域的にも業種的にも、はるかに広範囲に及んでいると考えられます。
イランとイスラエル間の緊張が高まっていることを受けて、このグループは活動を激化させており、今回はイスラエルの機関や外交官、IT関係者になりすまして攻撃を行っています。
広範囲かつ高度に標的を絞った攻撃
今回の攻撃は、イランのサイバー作戦がより大規模化していることを示しています。実在する組織に関連した架空の人物を装い、綿密なタイミングで複数の連絡手段を駆使する標的型スピアフィッシングを用いて、認証情報を窃取し、多要素認証(MFA)を回避する手口が確認されています。
主な標的は学術関係者やジャーナリストなど影響力の高い人物
以下を標的とした攻撃が確認されています。
- イスラエルの著名なコンピュータサイエンス研究者およびサイバーセキュリティ研究者
- 地政学や諜報活動を専門に報道する著名ジャーナリスト
最近の活動はイスラエルを標的にしていますが、Educated Manticoreには世界規模で活動してきた長い歴史があります。過去には、The Washington Post(米国)、The Economist(英国)、Khaleej Times(UAE)、Azadliq(アゼルバイジャン)など有名な国際メディアやNGOになりすまし、イランの戦略的利益に関わる地域のジャーナリスト、研究者、地政学的に重要な人物を狙ったフィッシング攻撃を仕掛けてきました。これらの攻撃はいずれも、なりすましによる信頼関係の構築から認証情報の窃取、そして監視活動へと続く同じパターンで実行されています。
攻撃インフラに数十の偽装ドメインを確認
各標的に合わせてカスタマイズされた数十のフィッシングドメインを確認しており、フィッシングページは以下のサービスを模倣しています。
- Googleを模倣した8つのフィッシングドメインに加え、OutlookやYahooユーザーを標的にしたドメインを確認しました
- これらのリンクは既にブロックされ、現在はアクセスできません
- Google Meetなどのオンライン会議ツール
攻撃者のサーバーにリダイレクトする偽の画像
標的に応じて初期接触の手段を変更
攻撃者は以下を含む複数の通信手段を使って接触を図ります。
- メールアドレス
- プライベートメッセージアプリ(WhatsAppなど)
大学教授や研究者を標的にしたスピアフィッシングメール
著名な記者を標的にした、首相顧問および元駐米イスラエル大使になりすました人物からのメッセージ(提供:Mako)
偽のGoogleログインページによるフィッシング攻撃
最初の接触が確立されると、被害者は通常以下のサイトに誘導されます。
- 偽のGoogleログインページ(多くの場合、被害者のメールアドレスが事前に入力されている)
- フィッシング用ドメインでホストされている偽のGoogle Meetの招待
これらのページは、高度なウェブ開発フレームワークを用いて正規のログイン画面を巧妙に模倣しています。
二要素認証(2FA)を突破する高度なソーシャルエンジニアリング攻撃
Educated Manticoreは、フィッシングチェーンの中で被害者を巧みに騙し、二要素認証を共有させることで認証を突破し、アカウントの完全な乗っ取りを可能にしています。
対面ミーティングを装う手口も確認
ある事例では、標的となった人物がWhatsAppで、テルアビブでの対面でのミーティングに招待するメッセージを受け取りました。被害者を急かしてオンライン上での操作を促す目的と考えられますが、この手口はサイバー犯罪が物理的な接触にまで発展する恐れがあることを示しています。
標的に合わせた巧妙ななりすまし:一般職員から政府機関まで幅広く偽装
攻撃者は標的に応じて柔軟になりすます対象を変えており、以下のような人物を装うケースが確認されています。
- イスラエルの大手企業の中間管理職
- 首相官邸のスタッフ
- 有名なテック企業に所属する専門職
メールは文法的に正しく、形式も整っており、AIツールを使用して作成された可能性があります。しかし、名前の微妙なスペルミスなど、わずかな矛盾点から偽装を見破ることができる場合があります。
推奨事項
この攻撃は進化を続けており、大学・研究機関、行政、報道機関に深刻な脅威をもたらしています。一見信頼できる送信元からであっても、依頼していない会議への招待を受け取った際は十分な注意が必要です。
セキュリティリスクの高い業界の方への注意事項
- 送信者や発信者の身元を確認:信頼できるソーシャルメディアアカウントなど、既知の連絡手段を使用して確認する
- URLを必ず確認:機密情報を扱うサイトに認証情報を入力する前に、必ずURLの正当性を確認する
- 二要素認証(2FA)を有効化し、監視を徹底:認証コードの共有を求められた場合は疑ってかかる
- 不審な連絡は速やかに報告:組織のセキュリティチームに通報する
CPRはこの活動の監視を継続し、新たな兆候や手法が発見され次第、最新情報を共有します。チェック・ポイントのHarmony Email and CollaborationおよびZero Phishingは、このような攻撃や標的型フィッシングを検出してブロックする高度なセキュリティサービスを提供します。
このスピアフィッシング攻撃の全容については、CPRのレポートをご確認ください。
本プレスリリースは、米国時間2025年6月25日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog:https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn:https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
本記事はアフィリエイトプログラムによる収益を得ている場合があります
