ディープ&ダークウェブ(DDW)上の関連言及は開戦前比で約3倍に急増
ダークウェブビッグデータ分析AI企業S2W(以下、S2W、代表:徐尚徳 ソ・サンドク)は同社の脅威インテリジェンスセンター「TALON(タロン)」による調査レポート「イラン対イスラエル・米国サイバー戦の詳細分析」を公開いたしました。本レポートでは、2026年のイラン・イスラエル戦争を契機に、サイバー空間での攻撃対象が当事国間の軍事衝突にとどまらず、周辺国や第三国にも広がっている実態を分析しています。
2026年2月28日、米国とイスラエルが「Operation Epic Fury」と呼ばれる大規模空爆を開始し、イラン全域の軍事基地、ミサイル施設、核関連施設を標的としたことで戦争が勃発しました。これに対しイランはミサイルとドローンでイスラエルと中東の米軍基地を攻撃し、ヒズボラなどイラン関連武装勢力も交戦に参加したことで、紛争は中東全域に拡大しています。
こうした物理的な軍事衝突と並行して、サイバー空間においても大規模なサイバー戦が展開されており、企業や公的機関に対する脅威が急速に増大しています。S2Wは、ディープ&ダークウェブ(以下、DDW)とテレグラム上のハクティビスト活動をリアルタイムで監視・分析し、本レポートとして取りまとめました。
サイバー攻撃の標的拡大とハクティビストの活発化
湾岸諸国は、地理的近接性や米軍基地の存在、イスラエルと米国との友好的な関係を背景に、ハクティビストの主要な標的となっています。さらに本レポートでは、企業の国際的な支社やサプライチェーン、軍事・防衛の協力関係に基づき、紛争地域から物理的に離れた友好国の企業や組織であっても、攻撃対象に含まれる可能性が高いと警告しています。
現在、TelegramやX(Twitter)、DDWフォーラムにおいて、親イラン派ハクティビストの活動が急増しています。実際に、Telegram上では少なくとも94の親イラン派ハクティビストグループと、15以上の反イラン派グループが特定されており、開戦以降、多数の新規チャンネルが次々と開設されています。また、イスラエルとイランに関するDDW上での言及数は、開戦前と比較してそれぞれ約3倍に増加しました。
親イラン派による広範な同盟ネットワークの形成
親イラン派ハクティビストグループは、親ロシア派や親イスラム派のグループとメッセージの転送などを通じて、間接的かつ構造的につながる同盟ネットワークを形成しています。この同盟関係により、彼らはイスラエルだけでなく、ウクライナや西側諸国、NATO関連機関などへも攻撃対象を広げています。一方で、親イスラエル派のハクティビストの同盟規模は比較的小さく、主にイランの政府機関やインフラ、企業に標的を絞る傾向があります。
主な概要
1.DDWとテレグラム上の活動が急増
- 2026年3月9日時点で、DDWハッキングフォーラムにおけるイスラエルとイランの言及は、戦争勃発以前と比較してそれぞれ約3倍に増加。
- テレグラム上では少なくとも94の親イラン系ハクティビストグループと15以上の反イラン系(親イスラエル系)ハクティビストグループが確認されており、戦争開始以降も新規チャネルが続々と出現しています。
- DDW上の投稿数は紛争前と比較して約5倍(1日平均21.2件)、テレグラム上のメッセージ数は約3倍(1日平均1,591件)に増加。
2.攻撃標的の範囲が第三国へ拡大
- サイバー攻撃の標的は当事国にとどまらず、湾岸諸国をはじめとする近隣国と第三国にも拡大。
- 地理的近接性、米軍基地の存在、エネルギー・物流ハブとしての役割、イスラエル・米国との友好関係を有する国が主要標的に。
- 企業の本社所在地だけでなく、海外拠点やサプライチェーン上の関連組織も攻撃対象になりやすい傾向。
3.イランのサイバー戦エコシステムの構造
- ピラミッド型構造:APT(高度持続的脅威)グループを頂点に、ランサムウェアグループ、DDW脅威アクター、ハクティビストの4層で構成。上位層ほど少数精鋭で技術的複雑性と破壊力が高く、下位層は参加者数が多い一方で攻撃影響は相対的に低下。
- 国家支援型APTの活動:2026年3月6日、イラン情報機関MOISと関連するAPT「Seedworm」が米国の銀行、空港、非営利団体、ソフトウェア企業を攻撃した証拠が確認される。
4.主要な攻撃手法
- DDoS(分散型サービス妨害)攻撃が最多。技術的障壁が比較的低く、多数の参加者を動員できる特性からハクティビストキャンペーンで最も多用。
- その他、ウェブサイト改ざん(Website Defacement)、データ漏えいと販売、脆弱性・マルウェア関連活動、OT(運用技術)・産業制御システムへの攻撃試行も観測。
5.ハクティビストの連携ネットワーク
- 親イラン系ハクティビストチャネルは、メッセージ転送・同盟宣言を通じて構造的に連結されたネットワークを形成。親イラン、親ロシア、親イスラム系グループが複数の中核チャネルを介して間接的に連携。
- 特定グループが攻撃キャンペーンを開始すると、類似の攻撃が短期間で同盟チャネルへ拡散する傾向を確認。
- 親イスラエル系は同盟ネットワーク規模が比較的小さく、イラン政府機関・企業・インフラなど直接関連対象に集中する傾向。
主要な攻撃手法と推奨されるセキュリティ対策
ハクティビストによる攻撃手法の中では、技術的な障壁が低く多くの者が同時に参加可能なDDoS攻撃が最も大きな割合を占めています。次いで、データの漏洩・販売、ウェブサイトの改ざん、と脆弱性やマルウェアを悪用した活動が広く用いられていることが確認されています。また、一部のケースでは、OT(運用技術)や産業制御システムへの攻撃試行も観測されており、注意が必要です。
S2Wは、現在のサイバー脅威に対抗するため、企業や組織に対して以下の対策を実施するよう推奨しています。
- 漏洩データのリスク評価: 攻撃の成果が誇張されたり、偽データが再配布されたりするケースが多いため、漏洩したデータに実際の機密情報が含まれているかを事前に検証・評価する必要があります。
- 外部露出の管理: Admin、Dev、Git、DBなどの重要な内部サービスが外部に露出していないかアタックサーフェス(攻撃対象領域)を確認し、アクセス制御の強化や脆弱性パッチを迅速に適用することが推奨されます。
- 多要素認証(MFA)の強制:DDW上で漏洩した情報を用いた不正ログインを防ぐため、SSOやVPNなどの主要アカウントに対するMFAの強制と、レガシー認証のブロックが必須です。
- 全体的なセキュリティシステムの点検: ウェブサイトの改ざんやデータ漏洩などの追加攻撃に備え、ウェブサービスの脆弱性管理を含む包括的なセキュリティシステムの点検を実施してください。
なお、本レポートは https://s2w.inc/ja/resource/detail/1035 からダウンロードいただけます。
■会社概要
商号 :S2W
代表者 :代表 徐尚徳 ソ・サンドク
設立 :2018年9月
公式サイト:https://s2w.inc/ja
2018年9月に設立されたS2Wは、2023年に世界経済フォーラム(WEF)の「最も有望なテクノロジーパイオニア100社」のうちの1社に選定されたダークウェブビッグデータ分析AI専門企業です。
2020年に「国際刑事警察機構(ICPO)」のパートナー企業に選定されて以降、国際社会の安全保障強化のための捜査協力を続けており、2024年7月からマイクロソフト(MS)の「セキュリティコパイロット(Security Copilot)」にデータを提供し、機関や企業に向けた技術協力を続けています。また2025年10月には、ICPOが主導する官民協力プログラム「Gatewayイニシアチブ」の世界12番目のパートナーとして、韓国から初めて選定されました。
製品情報:
●XARVIS(ザービス):公共部門・政府機関向けサイバー犯罪捜査ビッグデータソリューション
●QUAXAR(クェーサー):民間企業・機関専用サイバー脅威インテリジェンスソリューション
●SAIP:産業用生成AIソリューション
公式フェイスブックページ