イランの脅威グループEducated Manticore再活発
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の脅威インテリジェンス部門 Check Point Research(以下:CPR)は、イラン関連 APT「Educated Manticore」(APT42/Charming Kitten/Mint Sandstorm と同一系統)が大規模なスピアフィッシング攻撃を再開したと発表した。FBI や DHS が相次いで注意喚起を出す中、同グループはイスラエル要人を筆頭に、大学・研究機関、行政、報道機関など世界各国の著名人を標的に活動を活発化させている。
攻撃の特徴
- 実在組織に紐づく架空人物を装い、メールや WhatsApp で接触
- 綿密なタイミング調整と複数チャネルを併用して信頼関係を構築
- 多要素認証(MFA)バイパスを含む高度なソーシャルエンジニアリングで認証情報を窃取
- 場合によっては対面ミーティングに誘導し、物理的接触へ発展する恐れも確認済み
主な標的
- イスラエルのコンピュータサイエンス/サイバーセキュリティ研究者
- 地政学・諜報分野の著名ジャーナリスト
- 過去には米 Washington Post、英 The Economist、UAE Khaleej Times など多数の国際メディアを装い各国の要人を攻撃
偽装ドメインとフィッシングページ
CPR は Google、Outlook、Yahoo を模倣した数十のフィッシングドメインを特定。偽 Google Meet 招待やログイン画面はモダンな Web フレームワークで作成され、被害者のメールアドレスをあらかじめ入力することで違和感を低減させている。現在、確認済みリンクは遮断済みだが、新たなドメイン生成が続く恐れがある。
MFA 突破手法
被害者が入力したワンタイムコードを攻撃者が即時転送し認証を取得する リアルタイム・プロキシ型フィッシング が確認されている。これによりメールボックスやクラウドストレージを完全に掌握し、監視や追加攻撃の足場を構築する。
推奨対策
- 送信者の身元確認:既知の連絡経路で真偽を二重確認
- URL 検証:機密情報入力前に正規ドメインかチェック
- MFA の厳格運用:コード共有を求める要請を即時通報
- 不審連絡の報告フロー整備:セキュリティチームへの即時エスカレーション
CPR は引き続き活動を監視し、新手口を確認しだい最新情報を共有するとしている。
Educated Manticore は実在組織を装う精巧な“ヒューマン・ハッキング”で研究者や報道関係者を狙い撃つ。多要素認証バイパスや対面誘導など手口は進化しており、標的業界は世界規模に拡大中だ。メール 1 通・招待 1 件でも安易に応じず、組織的な検証と通報の徹底が急務である。
このスピアフィッシング攻撃の全容については、CPRのレポートから確認いただきたい。
