イランの情報省(MOIS)傘下のAPTグループ「Void Manticore」は、ハクティビスト集団「Handala」を偽装し、2026年3月11日にFortune 500企業の医療機器メーカーStrykerにワイパー攻撃を実行した。Check Pointの調査により、MOISのハッカーたちが約1年前からサイバー犯罪エコシステムと直接連携していることが明らかになった。Void Manticoreは商用インフォスティーラーRhadamanthysを攻撃チェーンに統合し、MuddyWaterのマルウェアはMalware-as-a-Serviceツール「CastleLoader」と同一の証明書を使用していた。
2025年10月にイスラエルの病院がQilinによる攻撃を受けたと報告されたが、3週間後にイスラエル国家サイバー総局(INCD)がイランの関与を認定した。Check Pointのセルゲイ・シケビッチは、MOISが今後Initial Access Brokers(IABs)の活用をさらに拡大する可能性があると指摘した。
From: 
Iran MOIS Colludes With Criminals to Boost Cyberattacks
【編集部解説】
今回の報道が示すのは、国家とサイバー犯罪の境界線が事実上消滅しつつあるという、サイバーセキュリティの歴史的転換点です。
従来、イランのMOIS系APTグループの手口は「犯罪者を装う」ことでした。ハクティビストを名乗り、攻撃の主体をぼかすことで、国際社会からの外交的批判を回避してきたのです。しかしCheck Point Researchが明らかにしたのは、その一歩先の話です。今やイランの国家ハッカーは、犯罪者を「演じる」のではなく、実際の犯罪インフラを「使う」側に回っています。
この変化の意味は技術論にとどまりません。たとえば企業のSOC(セキュリティオペレーションセンター)やCISOが、ネットワーク内で「Rhadamanthys」の痕跡を検知したとします。それが市販のインフォスティーラーであるため、担当者は「金銭目的の一般的なサイバー犯罪」と判断してしまうかもしれません。しかし実際には、その背後にMOISが存在し、データ窃取の次に組織を壊滅させるワイパー攻撃が控えている可能性があります。「低リスク」の誤判断が、致命的な対応の遅れを招くわけです。
注目すべきはコスト構造の変化です。シケビッチが指摘するように、MuddyWaterが1年かけてマルウェアを自社開発するより、500ドルでローダーや証明書を購入する方が合理的です。これはサイバー攻撃の「民主化」とも言えます。高度な技術力がなくても、犯罪エコシステムさえ活用すれば、国家レベルの破壊的攻撃が可能になる時代が来ています。
帰属特定(アトリビューション)の困難化も深刻な問題です。2025年10月のイスラエル・シャミル医療センター攻撃では、当初Qilin(東欧系のRaaSグループ)の犯行とみられていました。イスラエル国家サイバー総局がイランの関与を認定するまでに3週間を要しています。この「3週間のズレ」が、現代のサイバー戦において持つ意味は極めて大きいです。攻撃者の特定が遅れれば遅れるほど、適切な対抗措置も遅れます。
地政学的文脈も見逃せません。2026年2月28日に米国とイスラエルがイランに対して軍事作戦(Operation Epic Fury / Operation Roaring Lion)を実施して以降、イラン側のサイバー活動は急激にエスカレートしています。Strykerへの攻撃はその流れの中に位置づけられます。医療機器という極めてセンシティブなインフラを標的にしたことは、純粋な破壊目的だけでなく、民間への心理的圧力という側面も読み取れます。
規制・政策面では、この動向は各国の「サイバー犯罪」と「国家支援型攻撃」の定義を再考させる契機になるでしょう。現行の国際法やサイバー規範の多くは、国家アクターと民間犯罪者を区別することを前提としています。その前提が崩れつつある今、既存の規制フレームワークが実態に追いつかなくなる可能性があります。
長期的な視点では、この「国家×犯罪エコシステム」モデルがイラン固有の現象ではないことに注意が必要です。記事でも触れられているように、ロシア、中国、北朝鮮もそれぞれの形で同様の手法を採用しています。今後、国家とサイバー犯罪の融合はさらに進み、攻撃の帰属特定はより困難になるでしょう。企業のセキュリティ戦略は、「どの組織が攻撃してきたか」だけでなく、「どのような目的と能力を持った攻撃者か」を多角的に判断する体制へのシフトが求められます。
【用語解説】
APT(Advanced Persistent Threat/高度持続的脅威)
特定の標的に対し、長期間にわたって継続的に攻撃を行う、高度に組織化された攻撃グループのこと。国家が支援するケースが多く、単発の攻撃ではなく、侵入・潜伏・データ窃取・破壊といった一連の工程を計画的に実行する。
ワイパー攻撃
標的のシステムやデータを完全に破壊・消去することを目的としたサイバー攻撃。ランサムウェアが「身代金を要求するために」データを暗号化するのとは異なり、復元を不可能にして組織の機能を永続的に停止させることを主な目的とする。
ハクティビズム(Hacktivism)
政治的・社会的な主張や抗議活動を目的として行うハッキング活動。「ハッカー(Hacker)」と「アクティビズム(Activism)」を組み合わせた造語。国家機関がこの形式を偽装として使うことで、攻撃の主体をぼかす効果がある。
インフォスティーラー(Infostealer)
感染した端末から、パスワード・クレジットカード情報・セッショントークン・暗号資産ウォレット情報などを窃取するマルウェアの一種。近年はダークウェブ上でサービスとして販売される形態(Infostealer-as-a-Service)が主流になっている。
RaaS(Ransomware-as-a-Service)
ランサムウェアをサービスとして提供するビジネスモデル。開発者がランサムウェアのインフラや管理ツールを整備し、「アフィリエイト」と呼ばれる実行役がそれを使って攻撃を行い、身代金収益を分配する仕組み。国家ハッカーがアフィリエイトとして参加することで、攻撃の追跡を困難にできる。
IAB(Initial Access Broker/初期アクセスブローカー)
企業や組織のシステムへの不正アクセス手段を確立し、それをダークウェブ上で他の攻撃者に販売することを専門とする犯罪者のこと。攻撃者は標的への侵入という最も手間のかかる工程を省略でき、購入後すぐに攻撃を展開できる。
アトリビューション(Attribution/帰属特定)
サイバー攻撃を「誰が行ったか」を特定するプロセス。使用されたマルウェア、インフラ、戦術・技術・手順(TTP)などの痕跡を分析して行われる。国家ハッカーが犯罪ツールを使うことで、この特定を意図的に困難にすることができる。
SOC(Security Operations Center)
組織のセキュリティ監視を24時間体制で行う専門チームまたは施設。ネットワークやシステムのログを常時監視し、脅威の検知・分析・対応を担当する。
CISO(Chief Information Security Officer)
最高情報セキュリティ責任者。組織全体の情報セキュリティ戦略の策定・実行・監督に責任を持つ役職。
【参考リンク】
Dark Reading(外部)
サイバーセキュリティ専門のニュースメディア。脅威インテリジェンス、脆弱性、インシデント分析など幅広い情報を提供している。
Check Point Research(外部)
イスラエル発のサイバーセキュリティ企業Check Pointの脅威リサーチ部門。今回の報道の根拠となったレポートを公開している。
Stryker(外部)
米国ミシガン州に本社を置くFortune 500の医療機器大手。2026年3月11日にワイパー攻撃を受けた企業。
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)(外部)
MuddyWaterをイランMOISの一部と公式認定した勧告を発出している米国の政府機関。
Recorded Future(外部)
米国の脅威インテリジェンス企業。CastleLoaderとMuddyWaterの関連性解明に貢献した分析を公開している。
【参考記事】
Iranian MOIS Actors & the Cyber Crime Connection|Check Point Research(外部)
今回の報道の一次ソース。Void ManticoreによるRhadamanthysの利用、MuddyWaterとCastleLoaderの証明書共有、2025年10月のイスラエル・シャミル医療センターへのQilin経由攻撃など、MOISとサイバー犯罪エコシステムの融合を複数の具体的事例で詳述している。
Cybercrime isn’t just a cover for Iran’s government goons|The Register(外部)
Check Pointレポートを独自視点で解説。2025年11月にRhadamanthys運営者のサーバー1,025台が国際捜査で押収された事実も補足している。
Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran|Unit 42(外部)
2026年2月28日の軍事作戦後、イランの利用可能なインターネット接続が1〜4%に低下した状況を記録。ハクティビストグループが最大60組織規模で活動しているとの推計を示している。
Iranian Use of Cybercriminal Tactics in Destructive Cyber Attacks: 2026 Updates|Halcyon(外部)
UAE・バーレーンのAWSデータセンターへの攻撃、Sicarii Ransomwareの暗号化欠陥によるデータ永久破壊の問題、MuddyWaterによるOperation Olalampoの詳細を報告している。
Iran-Linked MuddyWater Hackers Target U.S. Networks With New Dindoor Backdoor|The Hacker News(外部)
MuddyWaterが米国の銀行・カナダの非営利組織・防衛航空宇宙産業向けソフトウェア企業を標的に新型バックドア「DinDoor」を展開した事実を詳述している。
【編集部後記】
「サイバー犯罪」と「国家の諜報活動」、この二つはこれまで別の話として語られてきました。でも今、その境界線は静かに、そして確実に溶け始めています。
私たちの身近な医療機器メーカーが攻撃を受けたこの事案、みなさんはどう受け止めますか?地政学とサイバー空間の交差点に、ぜひ引き続き注目してください。
