イラン報復で「サイバーゲリラ」急増、世界に波及する脅威

はじめに

2026年2月28日、米国とイスラエルが「エピック・フューリー作戦」としてイランへの大規模軍事攻撃を実施しました。この軍事行動を受けて、物理的な戦場だけでなくサイバー空間でも激しい報復攻撃が展開されています。特に注目すべきは、国家機関ではない民間のハッカー集団、いわゆる「サイバーゲリラ」がイラン側に加勢し、イスラエルおよびその友好国に対する攻撃を急拡大させている点です。

セキュリティ企業の調査によると、攻撃開始からわずか数日で80を超えるハクティビスト集団が活動を開始しました。攻撃対象はイスラエルだけにとどまらず、米国やヨーロッパ、さらにはアジアにまで波及しています。本記事では、このサイバーゲリラの実態と世界への影響、そして日本が直面するリスクについて解説します。

エピック・フューリー作戦とサイバー報復の連鎖

軍事攻撃がサイバー空間に飛び火

2月28日に実施されたエピック・フューリー作戦は、イランの軍事指揮系統やミサイルインフラ、防空システムを標的とした大規模な攻撃でした。この攻撃直後から、サイバー空間では報復の動きが急速に広がりました。

セキュリティ企業CloudSEKの調査によると、2月28日から3月2日までのわずか3日間で、149件のハクティビストによるDDoS攻撃が確認されました。標的は16カ国・110の組織に及び、政府機関、金融機関、航空会社、通信事業者、エネルギーインフラなど幅広い分野が狙われています。

国家と民間ハッカーの境界線が曖昧に

今回の事態で特徴的なのは、国家が支援するAPT（高度持続的脅威）グループと、自発的に参加する民間ハクティビストの境界が極めて曖昧になっている点です。Palo Alto NetworksのUnit 42は、イランの情報安全保障省（MOIS）やイスラム革命防衛隊（IRGC）との関連が指摘されるグループと、純粋に政治的動機で参加するグループが混在していると報告しています。

イランは国家機関だけでなく、政治的に近い立場のハッカーグループやハクティビスト、外部の協力組織など分散したエコシステムを活用しています。この構造が、攻撃の帰属（アトリビューション）を困難にし、対応を複雑化させています。

主要なサイバーゲリラ集団とその攻撃手法

Handala Hack：最も活発な親イラン派ペルソナ

親イラン派ハクティビストの中で最も注目を集めているのが「Handala Hack」です。イランのMOISとの関連が指摘されるこの集団は、2023年後半に出現し、データの窃取やワイパー攻撃、ハック・アンド・リーク（情報窃取と公開）を組み合わせた攻撃を展開しています。

2026年3月11日には、米国の大手医療機器メーカーStrykerに対して大規模なワイパー攻撃を実施したと主張しました。CNNやTechCrunchの報道によると、Handalaは同社のMicrosoft Intuneアカウントに侵入し、79カ国にまたがる20万台以上のデバイスのデータを消去したとされています。この攻撃により、アイルランドの拠点で5,000人以上の従業員が業務を停止せざるを得なくなったと報じられています。

DieNetとKeymous+：攻撃の中心的存在

SOCRadarの分析によると、2月28日から3月2日の間に確認された攻撃活動の約70%は、DieNetとKeymous+という2つのグループによるものでした。これらの集団は大規模なDDoS攻撃を得意とし、イスラエルの決済システムやクウェートの政府ウェブサイト、空港のオンラインサービスなどを標的にしました。

親ロシア派グループの合流

イラン側のサイバーゲリラだけでなく、親ロシア派のハクティビスト集団も攻撃に加わっています。NoName057(16)はイスラエルの自治体や政治機関、通信・防衛関連機関に対するDDoS攻撃を主張しました。さらに、Russian Legionはイスラエルのアイアンドーム・ミサイル防衛システムへのアクセスを主張するなど、親ロシア派と親イラン派が連携する構図が浮かび上がっています。

Cyber Islamic Resistance：統括組織の存在

「サイバー・イスラミック・レジスタンス」は、複数のハクティビストチームを統括する親イラン派の包括的な組織です。RipperSecやCyb3rDrag0nzzなどの下部グループを調整し、DDoS攻撃やデータ消去作戦、ウェブサイト改ざんを同時多発的に実行する能力を持っています。

日本へのリスクと波及の可能性

過去の日本への攻撃事例

日本も決してサイバーゲリラの攻撃対象と無縁ではありません。2024年10月には、親ロシア派のNoName057(16)とRussian Cyber Army Teamが日本を標的にすることを宣言し、40以上のドメインに対してDDoS攻撃を実施しました。攻撃の半数以上は物流、造船、製造業を標的としており、日本の軍事費増額や日米同盟強化への反発が動機とされています。

イスラエル友好国としてのリスク

今回の中東情勢の緊迫化では、イスラエルの友好国全般がサイバー攻撃の対象となるリスクがあります。実際に16カ国以上の組織が標的となっており、インドやパキスタンなどアジアの国々も攻撃対象リストに入っています。日本が明確に標的として名指しされた報告はまだ限定的ですが、親ロシア派グループが以前から日本を攻撃対象としていることを踏まえると、親イラン派との連携によって攻撃が日本に波及する可能性は否定できません。

重要インフラへの脅威

特に懸念されるのは、ハクティビストの攻撃がSCADA（監視制御システム）や重要インフラを標的にするケースが増えている点です。Rescanaの報告によると、149件のDDoS攻撃の中にはSCADAや重要インフラを狙ったものが含まれており、サイバーゲリラの攻撃が単なるウェブサイト改ざんにとどまらず、実社会に深刻な影響を及ぼす段階に入っていることを示しています。

注意点・展望

サイバー戦争の「新しい形」

今回の事態は、現代の武力紛争においてサイバー攻撃が不可分な要素となっていることを改めて示しています。国家の軍事行動に民間のハクティビストが自発的に加わる「サイバーゲリラ」という形態は、従来の国家間サイバー戦争の枠組みでは捉えきれない新しい脅威です。

また、MuddyWaterのようなIRGC系グループが軍事衝突の前からイスラエル周辺の防衛・金融機関にバックドアを仕掛けていたとの報告もあり、有事に備えた事前のサイバー作戦が常態化していることがわかります。

今後の見通し

サイバーセキュリティ企業Sophosは、米国・イラン・イスラエル間の紛争が続く限り、ハクティビストの活動は拡大し続けると警告しています。カナダのサイバーセキュリティセンターも、イランの報復サイバー脅威に関する警告を発出しており、各国政府がこの脅威を深刻に受け止めていることがうかがえます。

企業や組織としては、DDoS対策の強化、ネットワーク監視の徹底、インシデント対応計画の見直しが急務です。特にイスラエルや米国との取引がある企業は、サプライチェーン経由での攻撃リスクにも注意が必要です。

まとめ

米イスラエルのイラン攻撃を契機に、80を超えるハクティビスト集団がサイバー空間で報復攻撃を展開しています。Handala HackやDieNet、Keymous+といった集団は、DDoSやワイパー攻撃、データ窃取など多様な手法を用いて、イスラエルとその友好国のインフラを攻撃しています。

日本もこうしたサイバーゲリラの攻撃対象となるリスクを抱えており、特に重要インフラや物流セクターへの警戒が必要です。軍事紛争とサイバー攻撃が一体化する「新しい戦争の形」に対して、官民を挙げた備えが求められています。

参考資料:

• Iran vs. Israel & US Cyber War 2026: Operation Epic Fury Threat Intelligence - SOCRadar
• Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran - Palo Alto Networks Unit 42
• Cyber retaliation surges after US-Israel strikes on Iran - Industrial Cyber
• Pro-Iran hacktivist group says it is behind attack on Stryker - TechCrunch
• Hacktivist campaigns increase as conflict intensifies - Sophos
• 149 Hacktivist DDoS Attacks Hit 110 Organizations in 16 Countries - The Hacker News
• Situation Report: Middle East Escalation - CloudSEK
• Escalation in the Middle East: Tracking Operation Epic Fury - Flashpoint