イランと連携するサイバー活動は、高度な侵入能力を必要とせずとも戦略的効果を生み出せる、分散型の戦時圧力システムとしての性格をますます強めています。
単一の指揮系統ではなく、このエコシステムはハクティビストブランド、民兵系ペルソナ、影響力工作用チャンネル、日和見的な外国アクターが混在しており、反米・反イスラエル、そしてより広範な反西側の主張によって結び付いています。
これらのグループはTelegramチャンネル、リークサイト、ソーシャルメディアアカウント、共有ターゲットリスト、市販のDDoS請負サービスを利用し、軍事行動の後すばやく動員をかけます。
犯行声明はしばしば数時間以内に出され、アクターはサービス停止や使い回しのデータ、疑わしい侵害の主張を、より広範なサイバー戦線の証拠として演出することができます。表面化している活動の多くは、技術的には依然として低〜中程度の水準にとどまっています。
DDoS攻撃やウェブサイト改ざん、認証情報を狙った攻撃、ドキシング(個人情報の暴露)、データ漏洩の疑い、恐喝めいたメッセージなどは、独立して検証された破壊的侵入よりもはるかに頻繁に見られます。
米当局は、イラン国家が支援するアクターおよびその関連勢力がDDoS活動を強化し、旧式のソフトウェアやインターネットに露出したデバイス、脆弱あるいはデフォルトの認証情報を悪用する可能性があると警告しています。
したがって、その作戦目的は必ずしも長期的なアクセス確保にあるわけではありません。多くの場合、一般向けサービスを妨害し、対応コストを負わせ、メディアの注目を集め、個人を威嚇し、組織への信頼を損なうことを狙っています。
短時間のサービス停止であっても、プロパガンダや誇張された侵害の主張、組織的なオンライン増幅と組み合わされることで、はるかに大きな心理的インパクトを持つ事件へと変貌します。
Handala、313 Team、Cyber Islamic Resistance、Cyber Fattah、Fatimiyoun/FAD Team、Cyber Isnaad Front、Dark Storm、Keymous+、DieNetといったグループや、ロシア寄りのハクティビストブランドと連携する連合参加勢力は、それぞれ異なる能力を持ち寄っています。
大規模なDDoS作戦に集中するグループもあれば、暴露・恥辱キャンペーンや身元の暴露、インフラへの威嚇、あるいは偵察や認証情報の収集に重点を置くグループもあります。
Handalaは異彩を放つ存在です。多くの妨害中心のグループとは一線を画し、心理的ダメージを狙った作戦を重視している点が特徴です。
報告されている同グループの活動は、侵入や漏洩の主張に、威圧的なメッセージ、個人を狙った標的化、公然たる威嚇戦術を組み合わせたもので、たとえ主張されている侵害の技術的詳細が不明確であっても、評判上の被害を生み出すよう設計されています。
複数の報道では、同アクターがより破壊的なワイパー型の活動とも関連付けられており、DDoS攻撃を主に主張するグループよりもリスクが高いとされています。
イラクを拠点とするIslamic Cyber Resistance(313 Teamとしても知られる)は、広く利用されているデジタルインフラを狙うことの非対称的な価値を示す好例です。
2026年4月末から5月初旬にかけて、同グループはCanonicalおよびUbuntuのウェブサービスを標的としたDDoSキャンペーンの犯行を主張し、セキュリティ関連のリソースを含むUbuntuおよびCanonical関連サービスに障害が及んだとの報告が出ています。
こうした攻撃が深刻な侵害を意味しない場合でも、その影響は過大に見えることがあります。オープンソースのプラットフォームやソフトウェアリポジトリ、アップデートサービス、クラウド上の開発者向けリソースは可視性が高く、広く依存されているためです。
domaintools社は、これらへの妨害はユーザーや企業に運用上の摩擦を生じさせる一方で、攻撃者側には説得力のあるプロパガンダの材料を与えると述べています。
DDoSは、諜報レベルのマルウェアや破壊的な産業攻撃ほどの専門知識を必要としないため、このエコシステムにおいて最も手軽でスケーラブルな手段となっています。
イラン関連の緊張激化に関する脅威レポートでは、ハクティビストおよびイラン寄りの活動における攻撃手法として、DDoSが最も頻繁に報告されるものの一つであると繰り返し指摘されています。
翻訳元: https://cyberpress.org/irans-digital-proxy-warfare/