イランと関係があるとされるAPTグループ「Infy(別名 Prince of Persia)」が、数年にわたる目立った活動停止期間を経て、再びサイバー攻撃活動を行っている可能性があると報告されています。同グループは長期的かつ限定的な標的監視を特徴とし、最新の調査では新しいマルウェア手法や通信インフラの更新が確認されたとされています。過去の事例とあわせ、再評価が求められる状況です。
The Hacker News:Iranian Infy APT Resurfaces with New Malware Activity After Years of Silence
この記事のポイント
影響のあるシステム
- Windows 環境(個人端末・業務端末)
- 標的型フィッシングメールを受信する利用者
- Telegramなどのメッセージアプリを利用する端末
推奨される対策
- 不審なメール添付やリンクを開かない運用の徹底
- エンドポイントにおける不正プロセスや通信の監視
- Telegramなどのアプリに対するアクセス権限の見直し
- 長期潜伏型マルウェアを想定したログの定期的な点検
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- APT(Advanced Persistent Threat):特定の標的に対し、長期間にわたり潜伏・活動する高度な攻撃者や攻撃手法を指します。
- Infy(Prince of Persia):イランと関連があるとされるAPTグループの通称です。
- C2(Command and Control):マルウェアが攻撃者から指示を受け取るための通信基盤です。
- DGA:多数の通信先ドメインを自動生成し、追跡や遮断を困難にする仕組みです。
Infyの活動再開と想定される被害シナリオ
調査によると、Infyは無差別な攻撃ではなく、特定の個人を長期間監視することに重点を置いた活動を行ってきたとされています。今回確認されたキャンペーンでも、標的型メールを起点としてマルウェアを侵入させ、端末内部の情報を継続的に収集する動きが見られたと報告されています。特に、メッセージアプリの内容や利用状況が監視対象となる点が特徴で、通信が暗号化されていても、端末上で直接情報を取得する手法が用いられているとされています。これにより、被害者が長期間にわたり気付かないまま情報を収集される可能性があります。
技術的背景とマルウェアの進化
最新の分析では、Infyが使用するマルウェア「Foudre」および第2段階ペイロード「Tonnerre」の新バージョンが確認されています。これらは、従来のマクロ付き文書を用いた手法から進化し、実行ファイルを文書内に埋め込む形で配布されているとされています。また、C2通信にはドメイン生成アルゴリズム(DGA)が利用され、さらにRSA署名を用いて正規の通信先かどうかを検証する仕組みが確認されています。こうした設計により、インフラの遮断や追跡が難しくなっている点が指摘されています。
国内組織・個人が直ちに確認すべき点
今回の観測ではイランや周辺国、カナダ、欧州などが標的とされていますが、日本国内においても、研究者、活動家、特定分野の専門家などは同様の標的となるリスクを考慮する必要があります。組織としては、不特定多数向けの防御策だけでなく、個人を狙った長期監視型攻撃を想定した対策が求められます。具体的には、エンドポイントの挙動監視や、不審な外部通信の検知体制を整えることが重要です。また、過去に侵害されていた場合でも、長期間潜伏している可能性があるため、直近の感染兆候だけでなく、過去ログの再点検を行うことが有効と考えられます。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
最新の投稿
2026.01.27Coolifyで11件の重大欠陥が判明、自己ホスト環境に全面的なリスク
2026.01.26小さな設定ミスが大きな被害に──ThreatsDayが示す最新セキュリティ動向
2026.01.25中国系とされる攻撃グループ、通信事業者を狙いLinuxマルウェアと中継ノードを展開
News2026.01.24WhatsAppを悪用したワーム型攻撃、ブラジルで銀行情報窃取マルウェアが拡散
