脅威インテリジェンス

Mandiant、イランによる対諜報活動の詳細を公開

2024年9月30日

Mandiant

執筆者: Ofir Rozmann, Asli Koksal, Sarah Bock

※この投稿は米国時間 2024 年 8 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

このたび、Mandiant は、イラン政府とのつながりが疑われている対諜報活動の詳細を発表しました。これは、海外、特にイスラエルの諜報機関や安全保障機関と協力している可能性のある、イラン人やイラン国内の脅威に関するデータ収集を目的とした活動です。

この活動によって収集されたデータは、イラン政府と敵対しているとみなされる国との協力に関心のある個人を正確に特定するために、イランの諜報機関に利用される可能性があります。また、イランに対して行われている人的諜報（HUMINT）活動を明らかにし、これらの活動への関与を疑われるイラン人を迫害するために利用される可能性もあります。この中には、イランの反体制派、活動家、人権活動家、イラン国内外に住むペルシア語を話す人々が含まれる可能性があります。

Mandiant は、戦術、技術、手順（TTP）、テーマ、標的設定などから、この活動がイラン政府の支援で行われている可能性が高いと判断しています。さらに、この活動と、イラン政府と連携する脅威アクターである APT42（イランの IRGC 諜報組織（IRGC-IO）の代理として活動していることが疑われる）との間には、わずかに重複があることが確認されました。この活動は、イランの IRGC と APT42 が、イラン国内の脅威やイラン政府にとって重要な個人に対して監視活動を行ってきた歴史と一致しています。APT42 との関連が疑われているにもかかわらず、Mandiant は、この活動と、以前に Google の脅威分析グループが報告している米大統領選関連の活動との間には関連性を確認できませんでした。

この活動では、複数のソーシャルメディアアカウントを使用して、35 を超える偽の求人ウェブサイトのネットワークを拡散しました。これには、求人情報に加え、イスラエル国家のシンボル、ハイテクオフィス、主要都市のランドマークの画像といったイスラエル関連のおとりなど、ペルシア語で作成された広範なおとりコンテンツが含まれていました。このサイトに入ると、標的にされたユーザーは、職歴や学歴を含む個人情報を入力するように要求され、これらの情報は攻撃者に送信されるようになっていました。

対諜報活動の疑いのあるこの作戦は 2017 年には開始されており、少なくとも 2024 年 3 月まで続いていました。過去にも、シリアやヒズボラの諜報機関や安全保障機関に所属する人物を標的とした同様の活動がアラビア語で展開されたことがあります。このことは、イラン政府の対諜報活動が自国の安全保障や諜報を担う組織にとどまらず、シリアやレバノンの同胞を支援している可能性を示しています。

Mandiant は、確実にこの活動をブロックして妨害し、脅威アクターのアカウントを停止し、Google Chrome のユーザーや他のブラウザのユーザーを保護するために取り組みました。

攻撃のライフサイクル

この活動では、類似の画像を使用して、イスラエルを拠点とする実在の人材サービスを装い、偽の求人ウェブサイトのネットワークを利用して、ソーシャルエンジニアリングによってペルシア語を話す人物の個人情報を盗むことを目的としていました。ウェブサイトは、偽のソーシャルメディアアカウントなどを介してオンラインで拡散され、その際にはどれも同じようなテンプレートが使用されていました。図 1 は、この攻撃のライフサイクルを表したものです。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig1.max-1500x1500.png

図 1: 攻撃のライフサイクル

この活動はいくつかの段階に分かれています。

ステップ 1: 偽の求人ウェブサイトのリンクを拡散

Mandiant は、イランで一般的に使用されているソーシャルプラットフォーム（X（旧 Twitter）、Virasty など）で、このウェブサイトを宣伝している偽のソーシャルメディアアカウントを複数特定しました。

ある X の投稿には、悪意のあるウェブサイト topwor4u[.]com へのリンクと、以下のようなペルシアから翻訳された説明が含まれていました。

「私たちは、この 1 年間で、情報およびサイバーの分野に精通した専門家を何百人も獲得し、世界レベルで独自の成功を収めることができました。

この分野での実務経験をお持ちの方を募集しています。」

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig2.max-1700x1700.png

図 2: 偽の求人ウェブサイト topwor4u[.]com を宣伝する Twitter のプロフィール、@MiladAzadihr による投稿

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig3.max-1700x1700.png

図 3: 偽の求人ウェブサイト joinoptimahr[.]com を宣伝する Virasty（イランのソーシャルネットワーク）のプロフィール、@A_Soleimani_Far による投稿

ステップ 2：偽の求人ウェブサイトでイスラエル関連のおとりコンテンツを提示

ウェブサイトに入ると、ユーザーには偽の人材サービスの目的である「イランの諜報組織や安全保障組織の従業員や役員の採用」についての情報が表示されます。

偽の求人ウェブサイトでは、「Optima HR」や「Kandovan HR」といった人材サービスを装って、テンプレートやコンテンツが共有されます。
ウェブサイトにはペルシア語で書かれた精巧な説明文があり、この人材サービスは「国際的な情報および安全保障 / サイバーコンサルティング、リサーチの分野で世界的に躍進している」と紹介されています。
ウェブサイトには、以下のような偽の人材サービスとの「協力条件」がペルシア語で説明されています。

「関連する機関や組織における情報およびサイバー分野の経験と経歴があり、それを文書にて証明できること（必須）。

あなたのプライバシーを保護することは私たちの最優先事項です。厚遇を保証します。

当センターまでお申し込みください、他にない特別なプロジェクトがあなたを待っています。

私たちと一緒に、世界にインパクトを与えましょう。あなたのプライバシーを守ることは私たちの義務です。」

Mandiant は、ウェブサイト beparas[.]com のデスクトップ版とモバイル版の両方で、イスラエルの国旗や主要都市のランドマークなど、イスラエルに関連する類似のコンテンツや誘い文句が表示されていることを確認しました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig4.max-600x600.png

図 4: 2024 年 1 月から 3 月にかけて使用された、偽のウェブサイト beparas[.]com のモバイル版

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig5.max-1600x1600.png

図 5: 2024 年 2 月に使用されたウェブサイト beparas[.]com のデスクトップ版とモバイル版、左側のウェブページには応募フォームと Telegram の連絡先リンクがある

ウェブサイトには、「IL」（イスラエル）という文字を含むハンドルネームを使用した Telegram の連絡先リンクがあり、この活動にイスラエルが関与しているという印象を強めます。次に例を示します。

hxxps://t[.]me/PhantomIL13

hxxps://t[.]me/getDmIL

いくつかの偽の求人ウェブサイトには、Telegram チャットに参加するための以下のようなリンクも含まれていました。

hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw

beparas[.]com ドメインをさらに調査したところ、このウェブサイトの WordPress ユーザーのデータが公開されており、ユーザー名「miladix」と、このユーザーに関連していると思われる Gravatar の URL がリストされていることがわかりました（以下のスクリーンショットを参照）。Gravatar のドキュメントによると、Gravatar の URL の「b7e2f4a5bc67256189e6732fbce86520」は、このユーザーの電子メールの SHA-256 の値です。
「Miladix」というニックネームは、この活動で使用されている前述の X アカウント名「Milad Azadi」に関連している可能性があります。また、「Milad」はペルシア語の名前であることから、この活動とイランとの結びつきがより強く感じられます。
Mandiant は、イランのソフトウェアデベロッパーと提携しているドメイン miladix[.]com を調査しましたが、この活動と miladix[.]com やその運営者との関連性は見つかりませんでした。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig6.max-1100x1100.png

図 6: beparas[.]com の WordPress ユーザーの URL のスクリーンショット

ステップ 3: 標的となったユーザーがフォームに入力した個人情報や職歴などの詳細を攻撃者に送信

偽の求人ウェブサイトには、氏名、生年月日、メールアドレス、自宅住所、学歴、職歴などを入力するフォームが用意されています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig7.max-1400x1400.png

図 7: 個人情報を取得する偽の入力フォーム

「抵抗の枢軸」: シリアとヒズボラを標的とした過去の作戦

偽のウェブサイト「Optima HR」を詳しく調べたところ、以前にも「VIP Human Solutions」という別の人材サービスを装ったウェブサイトのネットワークが存在していたことが明らかになりました。ウェブサイトは、ペルシア語話者に加え、シリアやレバノン（ヒズボラ）に関与するアラビア語話者を標的としていました。

「VIP Human Solutions」のサイトは、図 8 のように「Optima HR」と非常によく似た画像とテーマを使用しており、イスラエル関連のおとりコンテンツを使用して安全保障や諜報関連の仕事を募集すると称していました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig8.max-1000x1000.png

図 8: VIP Human Solutions のロゴ（左、2020～2023 年）と Optima HR のロゴ（右、2022～2024 年）

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig9.max-1300x1300.png

図 9: dreamy-jobs[.]com、2022 年に使用された偽のウェブサイト「VIP Human Solutions」

「VIP Human Solutions」のウェブサイトのコンテンツ、テンプレート、個人情報入力フォームは「Optima HR」のウェブサイトとほぼ同じであり、見出しは以下のようなものでした。

「VIP ジョブセレクションは、イランの安全保障や諜報活動を担う組織や機関の尊敬される人材や従業員のためのリクルートセンターです。」

以前の「VIP Human Solutions」の活動と現在進行中の「Optima HR」の活動の間に重複する部分が多くあることから、これらは同じ脅威アクターによって展開されていると Mandiant は考えています。「VIP Human Solutions」の活動は過去に公に言及されており、イスラエル諜報特務庁との関連が疑われていました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig10.max-900x900.png

図 10: 2021 年 1 月に投稿された「VIP Human Solutions」に関するツイート

Mandiant は、前述の Telegram グループチャットが少なくとも 2021 年から現在までアクティブであり、2 つの集団によって使用されていることを確認しました。

hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw

同じリンクが複数の「VIP Human Solutions」のウェブサイトに埋め込まれており、イスラエルの電話番号（+972）や別の Telegram アカウントが埋め込まれていることもありました。

hxxps://t[.]me/DreamyJobs_com

hxxps://t[.]me/wazayif_IL

「wazayif」は、「仕事」を意味するアラビア語（وظايف）を英字表記にしたものです

「VIP Human Solutions」の求人ウェブサイトは、少なくとも 2018 年から 2023 年まで使用されていたと考えられます。ペルシア語のウェブサイトに加えて、この集団は同様のテンプレートを使ったアラビア語のウェブサイトも使用していました。

アラビア語のウェブサイトのタイトルは以下のようなものでした。

「VIP Recruitment は、尊敬される軍人のためのリクルートセンターです。シリアやレバノン（ヒズボラ）の軍隊、安全保障機関、諜報機関の仕事を見つけることができます。」

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig11.max-1500x1500.png

図 11: wazayif-halima[.]com、「VIP Human Solutions」のアラビア語ウェブサイト、シリアやヒズボラの諜報要員をターゲットに 2021～2022 年に使用

Mandiant はまた、このウェブサイトの別バージョンがあることを 2023 年に確認しました。このサイトには、アラビア語のダミーテキストが含まれていたことから、このウェブサイトの最新版が運用に至らなかったことを示している可能性があります。テンプレートには、シリアの国旗と地図、イスラエルの電話番号（+972）、Telegram の連絡先リンク（hxxps://t[.]me/DreamyJobs_com）が含まれていました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig12.max-1000x1000.png

図 12: 2023 年 7 月に確認された wazayif-halima[.]com の最新版

「VIP Human Solutions」ドメインは 2020 年に登録されていましたが、Mandiant は、この活動が少なくとも 2018 年から存在していたことを示唆するさらなる歴史的証拠を見つけました。

それは、2018 年 11 月に「Alireza Ebrahimpoor」によって作成された「VIP Human Solutions」という YouTube チャンネルでした。このチャンネルには「VIP Jobs Global」による 1 本の動画が含まれており、偽の求人ウェブサイトとよく似た「イランの安全保障や諜報活動を担う組織や機関の退職者や従業員のためのリクルートセンター」という説明がペルシア語で紹介されていました。この脅威アクターが管理する YouTube チャンネルは現在利用できません。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig13.max-1700x1700.png

図 13: YouTube チャンネル「VIP Human Solutions」: hxxps://www[.]youtube[.]com/@vipjobsglobal1819

この動画は、「VIP Human Solutions」の固有のロゴを使用するなど、偽の求人ウェブサイトと非常によく似たコンテンツとテーマで構成されています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/iran-i-spy-fig14.max-2100x2100.png

図 14: 動画「VIP Human Solutions」のスクリーンショット

この動画では以下の連絡先情報も紹介されていました。

メールアドレス: sendcv@vipjobsglobal[.]com（vipjobsglobal[.]com ドメインは 2018 年 3 月に登録済み）。
Facebook ページ: hxxps://facebook[.]com/358690841262928（2017 年 12 月開設、現在は停止中）。

以下の表は、過去の活動と前のセクションで説明した新たな活動を比較したものです。

	「VIP Human Solutions」	「Optima HR」
活動期間	2017～2022 年	2022～2024 年
言語	ペルシア語アラビア語	ペルシア語
対象地域	イラン、シリア、ヒズボラ	イラン
ドメインの例（完全なリストは IoC のセクションを参照）	bilal1com[.]com（ペルシア語） jomehjob[.]com（ペルシア語） dreamy-job[.]com（ペルシア語） damavand-hr[.]me（アラビア語） wazayif-halima[.]org（アラビア語）	optima-hr[.]com joinoptimahr[.]com opthrltd[.]me beparas[.]com darakeh[.]me topwor4u[.]com
連絡先情報	hxxps://t[.]me/DreamyJobs_com hxxps://t[.]me/wazayif_IL hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw +972（イスラエル）の電話番号	hxxps//t[.]me/PhantomIL13 hxxps://t[.]me/getDmIL hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw

見通しと影響

Mandiant は、この活動が、諜報機関や安全保障機関に所属している（または活動に興味がある）個人を特定することを目的としたイラン政府の対諜報活動を支援していると推定しています。

特に、このブログ投稿で紹介した活動は、イラン政府が敵対国とみなす可能性のある国との協力が疑われるイラン人にとっては懸念事項となり得ます。この中には、イランの反体制派、活動家、人権活動家、イラン国内外に住むペルシア語を話す人々が含まれる可能性があります。

この活動は、複数のソーシャルメディアプラットフォームを横断して偽の求人ウェブサイトのネットワークを拡散して広範囲に網を張るものです。これにより、諜報機関や安全保障機関と協力している可能性があり、そのためイラン政府にとっての脅威であるとみなされるペルシア語を話す個人を摘発しようとしています。収集された住所、連絡先情報、職歴、学歴などのデータは、標的となった個人に対する将来の作戦に利用される可能性があります。

Google Cloud をご利用のお客様の保護に関する追加情報

Google Chronicle Enterprise+ をご利用の場合は、新たな脅威ルールパックに Chronicle ルールがすでにリリースされており、このブログ投稿に記載の IoC を利用して、高度な脅威インテリジェンスによって優先順位付けを行うことができます。

セキュリティ侵害インジケーター（IoC）

登録済みユーザーの方は、この投稿で説明した活動に関連する IoC を備えた Google Threat Intelligence コレクションを利用できます。

集団 1: 「Optima HR」、「Kandovan HR」、「Paras IL」、活動期間 2022～2024 年
beparas[.]com	parasil[.]me	darakeh[.]me	kandovani[.]org
topwor4u[.]com	opthrltd[.]me	joinoptimahr[.]com	optimax-hr[.]com
optimac-hr[.]com	optima-hr[.]com	titanium-hr[.]com
集団 2: 「VIP Human Solutions」、活動期間 2017～2023 年
azadijobs[.]me	bilal1com[.]com	damavand-hr[.]me	damkahill[.]com
dream-jobs[.]org	dream-jobs[.]vip	dreamy-job[.]com	dreamy-jobs[.]com
dreamycareer[.]com	golanjobs[.]me	hat-cast[.]com	irnjobs[.]me
jomehjob[.]com	radabala[.]com	rostam-hr[.]vip	salamjobs[.]me
shirazicom[.]com	syrtime[.]me	topiranjobs[.]me	trnjobs[.]me
vipjobsglobal[.]com	wazayif-halima[.]com	wazayif-halima[.]org	wehatcast[.]com
youna101[.]me	younamesh[.]com