インシデント
本日(2025年6月22日)—「Cyber Fattah」運動に関連する脅威アクターが、王国における主要スポーツイベントの一つである過去のサウジ・ゲームズの来場者および選手に関する情報を含む数千件の記録を漏えいしました。盗まれたデータはSQLダンプの形で流出しており、アクターはphpMyAdmin(バックエンド)に不正アクセスして保存されていた記録を持ち出しました。Resecurityは本件を、イランおよびその代理勢力が様々な目的で実施しているより広範な情報作戦(IO)の一部と見ています。
当社の評価では、これはイランがサイバー空間における反米・反イスラエル・反サウジのプロパガンダ活動の一環としてデータ侵害を利用し、主要なスポーツおよび社会イベントを標的としている例です。データ侵害の規模が大きいこと、またイランの代理勢力が主要スポーツイベントを攻撃するという前例が生じたことを踏まえ、Resecurityはサイバーセキュリティ・コミュニティの認知向上と、関係者が実行可能な洞察およびリスク軽減戦略を得られるよう、収集したインテリジェンスを共有します。
漏えいは、米国がイランの核施設に空爆を実施した後、人気SNSであるTruth Socialに対するDDoS攻撃に続いて、Cyber Fattahの公式TelegramチャンネルでPST午後6時27分に告知されました。
イベントの公式サイトによると:
「サウジ・ゲームズは、王国で毎年開催される最大の国内スポーツイベントです。53以上の競技を含む複合型のマルチスポーツ大会で、6,000人を超える選手が参加します。本イベントは、スポーツの卓越性を通じた生活の質の向上、サウジの若者への प्रेर प्रेर(インスピレーション)の提供、才能の発掘と育成、あらゆるスポーツ活動を実践するための場と機会の提供を通じて、国際的なスポーツの場で王国を代表できる新たなスポーツ世代を創出するなど、王国のビジョン2030の複数の目標達成に寄与します。」
注目すべきは、本件がイスラエル—イラン間の緊張の高まりの中で発生している点であり、脅威アクターは地域関係および安全保障におけるサウジアラビア王国と米国の重要な役割を利用しようとしていることです。イラクのヒズボラ関連、ハマス関連、および親イラン系グループも、デジタルメディア・チャネルを通じた標的型プロパガンダ活動と結び付けることで本件を増幅させました。
背景
データは、訪問者、選手、およびそのチームが登録し、プロフィールの追加検証と有効化のために個人情報を共有する、Saudi Games 2024 公式サイトに関連するとみられるデータベースに由来します。アクターはこのイベントを、地域最大級で、国内で大規模に注目され、スポーツを全国的に促進するためにサウジアラビア王国政府が公式に立ち上げたものだと説明しました。標的の選定は偶然ではなく、イランが不安の物語を拡散するために組織した情報作戦(IO)の一部であった可能性が高いです。
最近「Cyber Fattah」チャンネルで告知された後、データはダークウェブ上の著名な地下コミュニティの一つで漏えいしました。『ZeroDayX』という通称で知られるアクターによるものです。同人のプロフィールは最近作成された「捨てアカ(burner profile)」で、投稿は2件のみであり、盗難データをダークウェブ全体に宣伝・配布するために作成された可能性が高いことを裏付けています。大規模なデータ漏えいの背後にいる当事者が、データを公開するために「フロント」役のアクター、あるいはこのケースのように捨てアカを用い、帰属の特定を困難にするのは非常に一般的です。
漏えいデータには複数のデータベースが含まれています:
特筆すべきは、サウジ・ゲームズの侵害に関する最初の非公開の主張が、2025年5月初旬にダークウェブ上で出回り始めたことです。Resecurityは信頼できる法執行機関パートナーにこの活動を通知し、イランの情報源の一つから入手したアーティファクトを共有しました。SQLダンプ作成時刻から、脅威アクターが2025年5月5日に生成したことが示唆されます。
王国に影響を与えた他の複数のデータ侵害にも関与するアクターが、サウジ・ゲームズから盗んだデータを私的に収益化しようとしていました。イラン関連活動に結び付く傭兵、あるいは実際のアクターが「副業」として利益を得ようとした可能性があります。この種の行動は、当社HUNTERチーム(脅威インテリジェンス&調査)の専門家が、イランのアクターを追跡する中で以前にも観測しています。
情報源から収集した情報によれば、外国国家のために攻撃を実施するこれらのアクターはしばしば報酬が十分ではなく、そのため代替の収益化手段を求めますが、特定された場合には一定のリスクを伴います。Resecurityは、計画されたイランの攻撃から組織を防御するのに役立つ機微なインテリジェンスを入手するため、これらのアクターの一部と信頼関係のある連絡網を確立しています。ヒューミント(HUMINT)の関与の結果、Resecurityは完全なデータセットを入手できました。一方、最近ダークウェブのフォーラム経由で漏えいしたものはテキスト記録に限定されていました。
何が漏えいしたのか
この規模の侵害には、来場者および選手の個人識別情報(PII)から、国際銀行口座番号(IBAN)、イベント主催者に共有された健康診断証明書に至るまで、機微情報の宝庫が含まれています。
– ITスタッフの認証情報
– 政府関係者
– 選手/来場者情報
– パスポートおよび身分証明書
– 銀行取引明細、IBAN証明書、その他の記録
– 医療フォーム
最も懸念される問題は、スキャン画像という形で個人文書が安全でない状態で保管されており、それが脅威アクターの標的となった点です。Cyber Fattahは、サウジ国民および王国を訪れる外国人に関連する機微文書を数千件持ち出すことに成功しました。
漏えいで観測されたアーティファクトは、サウジ・ゲームズへの言及を確認しています。
Cyber Fattah:起源とアイデンティティ
Cyber Fattahの活動は、中東におけるハクティビズムのより広い潮流と一致しており、そこではグループが活動の一形態としてサイバー戦を頻繁に行います。場合によっては、国家が支援しているのか、国家がスポンサーとなっているのか、国家が黙認しているのか、あるいは純粋にハクティビズムとして実施されているのかを区別するのが難しいことがあります。最近の動向に基づけば、ハクティビストの活動とイランが推進するナラティブは、共通のイデオロギーとプロパガンダに基づいて重なり合っています。
例えば:
– 親イラン系ハクティビスト・グループが、イスラエルの軍事・政府標的に対して協調攻撃を開始しました。
– Anonymousなど他のグループも、ガザでの紛争中にイスラエルのウェブサイトを攻撃するなど、パレスチナの大義を支持する作戦を実施しました。
– イランの国営メディア資源が、アクターにサイバー攻撃やその他の悪性活動を技術的に指示することで、これらの出来事を増幅させました。
別の観点では、イスラエル—イラン紛争の開始以降、同グループは活動を加速させ、特にイスラエル、サウジアラビア王国、米国を標的としています。 イランは、地域全体に混乱を撒き散らすため、標的型情報作戦(IO)の中で悪性サイバー活動を広範に用いています。
イランの対サウジアラビア・プロパガンダは主として、地域覇権をめぐる競争によって駆動されており、主な側面は以下のとおりです:
– 両国は中東全域で影響力を競い合っている
– イランは複数国でシーア派民兵を支援している
– サウジアラビアはイランの地域的野心に対する脅威と見なされている
反米プロパガンダの大きな要因は、イランの核開発計画をめぐる対立に加え、イスラエルおよびサウジアラビアへの支援に起因しています。
同グループは自らを「Iranian Cyber Team」とも称しており、イスラエルおよび西側のウェブ資源や政府機関に対する攻撃の重要な実績があります。
Cyber Fattahは、イスラエルを標的とするハクティビストの連合体である、いわゆる「Holy League」のメンバーでもあります。過去には、いわゆるイランおよびレバノンのIslamic Cyber Resistance battalionsの支援を受け、イスラエルの太陽光エネルギー企業に対するサイバー攻撃を実施しました。
2025年5月18日 – 「Holy League」サイバー同盟は、ウクライナおよびイスラエルを標的とする関連「サイバー部隊」の宣言を発表しました。
これに先立ち、同グループは、NATO諸国を標的にすることで知られる非アラビア語話者のハクティビスト・グループCyberVolkとの協力を発表していました。
注目すべきは、彼らの改ざん(defacement)の一部に「Liwaa Mohammad」への言及が含まれており、当社はこれを「ZeroDayX」という通称と関連付けました。
同一アクターによる2025年以前の改ざんには、ヒズボラの前事務総長ハッサン・ナスララの画像が含まれていました。
当該アクターは、レバノンで大きな存在感を持つ親ヒズボラ思想の複数グループでも確認されています。
地政学的事象を増幅させるために誤情報を拡散しようとするアクターが関与する、反イスラエルおよび反サウジのプロパガンダの複数のエピソードが観測されました。
Cyber Fattah による複数の投稿は、イラン最高指導者ハメネイを積極的に支持し、反イスラエルのアジェンダを推進しています。
彼らが公開した新たなプロパガンダ・コンテンツは、米国大統領ドナルド・トランプも標的としています。
Cyber Fattahによる本件は、イスラエル中心の悪性活動から、反米・反サウジのメッセージングへとより広範な焦点に移行しているという興味深い変化を示している可能性があります。おそらく、こうした動きは、プロパガンダや悪意あるナラティブを拡散するためにイランが実施する心理作戦と整合しています。
スポーツイベント—次の標的か?
間接的に、脅威アクターは世界中の主要スポーツイベントを標的にし得る懸念すべきメッセージを発しました。
ハッカーが主要スポーツイベントを狙う傾向は、金銭的・政治的・戦略的動機の組み合わせにより強まっています。これらのイベントは、サイバー犯罪者や国家支援アクターにとって、特有の脆弱性と機会を提供します。以下は、ハッカーがこうしたイベントに注目する主な理由です:
1. 金銭的利益
価値の高いデータ:主要スポーツイベントでは、選手、チーム、観客の個人情報や金融取引など、膨大な機微データが扱われます。サイバー犯罪者はこれらのデータを盗み、ダークウェブで販売したり、なりすましや詐欺に悪用したりできます。
ランサムウェア攻撃:ハッカーはしばしばランサムウェアを展開し、チケット販売プラットフォーム、スタジアム運用、放送ネットワークなどの重要システムを暗号化して、アクセス復旧のために多額の金銭を要求します。例えば、過去にはランサムウェア攻撃がスポーツ組織を混乱させ、ITシステムの暗号化やスタジアム運用への影響を引き起こしました。
チケット詐欺:サイバー犯罪者はチケットシステムを標的にし、決済情報を盗んだり偽チケットを販売したりして、イベント入場への高い需要を悪用します。
2. 政治的・地政学的動機
国家支援の諜報活動:国家は、諜報や妨害のために国際スポーツイベントを標的にすることがあります。例えば2018年冬季オリンピックでは、国家関連のハッカーがイベント妨害を目的とした破壊的サイバー攻撃を実施しました。
地政学的メッセージング:オリンピックやFIFAワールドカップのようなイベントは注目度の高いプラットフォームであり、政治的メッセージの発信や、敵対者と見なす相手への報復に悪用され得ます。例えば、ロシアのハッカーは、ロシア選手がオリンピックから締め出された後、世界反ドーピング機関(WADA)を標的にしました。
3. 混乱と妨害
運用妨害:ハッカーは、改札機、CCTVシステム、放送ネットワークなどの重要インフラを標的にして、イベントの円滑な運営を妨害しようとすることがあります。これによりイベントの遅延や中止が生じ、主催者の評判が損なわれる可能性があります。
分散型サービス妨害(DDoS)攻撃:DDoS攻撃は、イベント関連のウェブサイトや配信プラットフォームを過負荷にし、チケット販売、ライブ放送、オンライン賭博システムを妨害する可能性があります。
4. デジタル攻撃面の悪用
相互接続されたシステム:現代のスポーツイベントは、IoTデバイス、決済システム、放送ネットワークなど、相互接続されたデジタルシステムに大きく依存しています。設定ミスのあるデバイスや弱いパスワードが一つあるだけで、ハッカーが侵入口を得てネットワーク全体を侵害する可能性があります。
新興技術:5Gや生体認証トラッキングのような技術がスポーツイベントにより統合されるにつれ、ハッカーが悪用できる新たな脆弱性が生まれます。
5. 著名人の標的化
選手とチーム:ハッカーは、パフォーマンス指標、医療記録、独自戦略などの機微データを盗むために、選手、コーチ、チームを標的にすることがあります。これらの情報は、脅迫、恐喝、または競争上の優位性獲得に利用され得ます。
スポンサーと広告主:主要イベントに関与する著名スポンサーや広告主も、重要な金融取引や機微なマーケティングデータを扱うため、サイバー犯罪者にとって魅力的な標的です。
重要性
主要スポーツ大会のハッキングは、サイバーセキュリティ、スポーツの公正性、そして世界の視聴者を含む複数領域にわたり広範な影響を及ぼし得るため、重要です。
サウジ・ゲームズ2025の開催日はまだ確定していませんが、王国は世界中から観客を集める様々な主要スポーツイベントを開催しています。例として:
– イスラム連帯競技大会
イスラム連帯スポーツ協会(ISSA)が4年ごとに開催するマルチスポーツイベント
– Esports World Cup 2025
主要なeスポーツ国際大会の一つ
– 2026年ガルフカップ
王国は今後の世界的サッカー大会を開催します
2036年のオリンピック招致は、サウジアラビアの国家目標および優先事項の一つです。脅威アクターは、サウジ・ゲームズに対する標的型サイバー攻撃を実施することで、同国の取り組みに干渉し、サウジアラビア王国の評判を悪用しようとした可能性があります。
緩和策
Resecurityは、消費者と企業を保護するためにデジタル・アイデンティティ保護ソリューションの導入を推奨します。中東におけるサイバー脅威の増大を踏まえ、ResecurityのIDPソリューションは、サウジ国民のデジタル・アイデンティティを保護する上で重要な役割を果たす態勢にあります。
中東におけるサイバーセキュリティ環境の強化に向けた重要な一歩として、Resecurityは権威あるBlack Hat Middle East & Africaカンファレンスにおいて、最先端のデジタル・アイデンティティ保護(IDP)ソリューションを発表しました。
この戦略的な取り組みは、より安全なデジタル社会の創出と、地域の個人および企業がサイバー脅威に効果的に対抗できるよう支援するというResecurityのコミットメントと一致しています。
IDPサービスは包括的な防御メカニズムを提供し、個人および企業がアカウントと個人データを保護するために、事前に監視し、早期警告通知を受け取れるようにします。
Resecurityのサイバー脅威インテリジェンス(CTI)は、従業員、ベンダー、または顧客の漏えいした個人識別情報(PII)に起因する侵害や攻撃から、組織が能動的に防御できるよう支援します。ResecurityはContext™およびRisk™プラットフォームを活用し、サーフェス/ディープ/ダークウェブをスキャンして侵害データを検出し、機微情報や漏えいした認証情報が特定された際に、リアルタイムのアラートと実行可能な洞察を提供します。予測分析と侵害指標(IoC)の適用により早期の脅威検知が可能となり、企業は迅速に対応して侵害を未然に防ぐことができます。
検知機能に加え、Resecurityはインシデント対応、リスク管理、脅威緩和の支援も提供します。同社のCTIサービスは、封じ込めおよび復旧(リメディエーション)を支援する包括的なインテリジェンス・レポートを提供し、HUNTER™フレームワークは、違法オンライン・コミュニティ内での継続的かつカスタマイズされた脅威ハンティングを可能にします。これらのリソースは、第三者およびサプライチェーン・リスクの評価も支援し、組織のエコシステム全体により広い防御網を確保します。高度な分析の統合、脅威アクターの監視、適時のインテリジェンス提供により、Resecurityは企業が脆弱性を特定・軽減し、漏えいPIIに関連するリスクに対するサイバーセキュリティ態勢を強化できるよう支援します。
