サイバー攻撃の概要
2026年1月16日、中東地域でGmailとWhatsAppのハイプロファイルユーザーを標的とした大規模なフィッシングキャンペーンが明らかになりました。この攻撃は、イランの活動家であるナリマン・ガリブ氏の報告から始まり、TechCrunchの調査によってその詳細が浮き彫りになりました。
このキャンペーンは、Gmailやその他のオンライン認証情報の窃取、WhatsAppアカウントの侵害、さらには位置情報、写真、音声記録の盗聴による監視を目的としていたと考えられています。イラン全土で過去最長とされるインターネット遮断が続く中で発生しており、イラン関連の活動に関わる人々が特に狙われたと見られています。
攻撃手法の詳細
攻撃は、WhatsAppメッセージを通じて送信されたフィッシングリンクから始まりました。リンクをクリックすると、偽のGmailログインページや電話番号の入力を促すページが表示され、ユーザー名、パスワード、2段階認証コードが窃取されました。
- 攻撃者は、DuckDNSのようなダイナミックDNSプロバイダーを利用してフィッシングページの実際の場所を隠蔽していました。
- フィッシングページは「alex-fabow.online」というドメインでホストされ、「meet-safe.online」や「whats-login.online」など、バーチャル会議室プロバイダーを装った関連ドメインも使用されていました。
- WhatsAppアカウントの乗っ取りには、偽のQRコードが表示されるページが利用されました。ユーザーがこれをスキャンすると、攻撃者のデバイスにWhatsAppアカウントがリンクされ、データへのアクセスを許してしまう仕組みです。
- さらに悪質なことに、フィッシングページは、ユーザーのブラウザに位置情報(navigator.geolocation)、写真、音声(navigator.getUserMedia)へのアクセス許可を求めました。許可された場合、数秒ごとにユーザーの座標を攻撃者に送信し続け、デバイスのカメラで写真撮影や音声録音も行う高度な監視機能を備えていました。
TechCrunchの調査では、攻撃者サーバーがパスワードなしでアクセス可能な状態になっており、850件以上の被害記録が発見されました。これには窃取された認証情報や2段階認証コード、ユーザーエージェント情報などが含まれており、被害が広範に及んでいたことが判明しています。
被害者と標的
この攻撃により、確認されているだけで50人未満の被害者がいます。その中には、国家安全保障研究に従事する中東の学者、イスラエルのドローンメーカーの幹部、レバノンの閣僚、ジャーナリスト、そして米国在住者や米国の電話番号を持つ人々が含まれています。
被害者は、クルド人コミュニティ、イラン系ディアスポラ、中東全域の学術関係者、政府関係者、ビジネスリーダー、その他の有力者など、多岐にわたります。これは、攻撃が特定の高価値ターゲットに絞られていたことを示唆しています。
帰属に関する考察
このサイバー攻撃の背後に誰がいるのかは、現時点では不明です。しかし、複数の可能性が指摘されています。
- 政府支援の組織:Citizen Labのセキュリティ研究者ゲイリー・ミラー氏は、被害者の国際的な範囲、認証情報の窃取、WhatsAppのような人気メッセージングプラットフォームの悪用、ソーシャルエンジニアリング技術などから、イランのイスラム革命防衛隊(IRGC)に関連するスピアフィッシングキャンペーンの「特徴」が見られると指摘しています。イランの政情不安の最中であることから、情報収集を目的とした国家によるスパイ活動の可能性も考えられます。
- 金銭目的の犯罪者:DomainToolsの脅威研究者イアン・キャンベル氏は、使用されたドメインがサイバー犯罪と関連しており、金銭目的の可能性も示唆しています。ただし、位置情報やデバイスメディアへのアクセスを重視する点は、一般的な金銭目的の攻撃とは異なる特徴です。
イラン政府がサイバー攻撃を犯罪ハッキンググループにアウトソーシングする事例も知られているため、両者の複合的な動機も排除できません。
セキュリティへの影響と推奨事項
このキャンペーンは、少数の被害者ではあるものの、重要な認証情報を盗み出すことに成功しており、同様の攻撃が再び発生する可能性があります。ユーザーは、知らない送信元からのWhatsAppリンクなど、不審なリンクをクリックしないよう、細心の注意を払う必要があります。このような予期せぬリンクは、常に高いリスクを伴う危険な行為であると、専門家は警告しています。