チェック・ポイント・リサーチ、イラン系の脅威アクター「Nimbus Manticore」による欧州企業への攻撃拡大を確認 高度なマルウェアと偽の求人サイトを悪用

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、イラン系の脅威アクター「Nimbus Manticore」によるヨーロッパ企業への攻撃拡大を確認しました。

主なハイライト

  • CPRは、イラン政府の支援を受けた脅威アクター「Nimbus Manticore」を積極的に追跡しています。最新の調査結果によると、彼らはその活動をヨーロッパへと拡大しており、現在は諜報活動を目的として、ヨーロッパの防衛、通信、航空宇宙分野の特定の企業をターゲットにしています。

  • このグループは偽の求人ポータルサイトとスピアフィッシング攻撃を用いて被害者を誘い込み、採用プロセスの一部を装って悪意あるファイルを送りつけます。その際には、国内外の主要な航空宇宙企業などを装っていました。

  • MiniJunkやMiniBrowseなどの進化するマルウェアは、攻撃者が隠密性を保ち、データを盗み取り、長期的なアクセスを維持するのに役立っています。

  • これらのキャンペーンはIRGC(イラン革命防衛隊)の戦略的優先事項に沿って展開されており、地政学的緊張が高まっている時期には、機密性の高い防衛関連のベンダーに対する情報収集に重点を置いています。 


2025年初頭以来、CPRは、イラン政府が支援する成熟した高度標的型脅威(APT)グループである「Nimbus Manticore」の活動を相次いで確認し、追跡しています。同グループは「UNC1549」や「Smoke Sandstorm」とも呼ばれ、以前はイランのDream Jobキャンペーンに関連づけられており、主に中東およびヨーロッパの航空宇宙分野や防衛組織を標的としています。

同グループは、Minibike(別名SlugResin)などを含むカスタムインプラントを配信する標的型スピアフィッシングキャンペーンで最もよく知られています。2022年に初めて報告されたMinibikeは着実に進化を続け、難読化技術、モジュラーアーキテクチャ、冗長なC2インフラを採用しています。

最近の活動では、高度化が大幅に進んでいることが確認されています。プロセス実行パラメータを変更することで代替パスからDLLを読み込む、これまで報告されていない新しい手法を使用しています。「MiniJunk」と呼ばれるこの亜種は、Nimbus Manticoreが検知回避のために絶えずマルウェアを進化させていることを示しています。

本リリースでは、Minibikeが新たな亜種MiniJunkへと進化した経緯、偽求人サイトを使用したマルウェア配信の手法、中東から西ヨーロッパにかけての被害者の分布、そして防衛・通信・航空分野への広範な影響について解説します。

マルウェアの配信ウェブサイト 

感染チェーンは、被害者の偽の求人関連サイトのログインページへと誘導するフィッシングリンクから始まります。これらのサイトには、いくつかの顕著な共通点がみられます。 

  • ブランドのなりすまし:ボーイング、エアバス、ラインメタル、フライドバイといった、ヨーロッパや中東の信頼できる航空ブランド企業を模倣したサイトが存在し、それぞれのサイトは模倣された各ブランドに適したReactテンプレートを用いて構築されています。

  • ドメイン戦略:ドメインは多くの場合「キャリア」をテーマにしたものが使われており、Cloudflareを隠れ蓑として登録され、実際のホスティングインフラは隠ぺいされています。

  • アクセスのコントロール:それぞれの被害者には、事前に固有のログイン情報が付与されています。サイトは、正しい認証情報が入力された場合にのみマルウェアを含んだ悪意あるアーカイブを配信し、攻撃者が個人を追跡したり、望ましくないサイト訪問者をブロックしたりすることを可能にしています。

この被害者ごとに制御されたアクセス方式は、強固な作戦保全と、国家支援型攻撃に特有の説得力のある偽装工作を実証しています。

画像1 - ログイン成功後に悪意あるアーカイブを配信していたウェブサイト


進化するツール群:MiniJunkとMiniBrowse 

Nimbus Manticoreの新しいツール群は、主に2つの目的に焦点を当てています。MiniJunkは攻撃者が被害者のシステムへのアクセスを長期間にわたって密かに維持することを可能にし、一方でMiniBrowseは、注意を引くことなく機密情報を盗むために使用されます。これらのツールは、セキュリティスキャンを回避し、より長期間機能を維持し、攻撃者が標的組織を確実にスパイできるよう継続的に更新されています。

画像2 - 感染チェーン


別の活動クラスター 

CPRはMiniJunkの活動と共に、PRODAFTからも以前報告されていた、並行して活動する別のクラスターも確認しました。このクラスターは、MiniJunkにみられるような高度な難読化を伴わない、比較的小さなペイロードとシンプルな技術を使用しているものの、同じようなスピアフィッシングの手法や偽のリクルーティングサイト戦略を用いていました。言い換えればこの攻撃者は、被害者を騙してアクセス権を譲渡させ、最終的に攻撃対象の企業から機密情報を入手するというまったく同じ目的を、より技術的に複雑さの少ない類似の手法によって達成しようとしています。

こちらでも攻撃者は人事採用の担当者になりすましますが、このケースでは多くの場合LinkedInやその他の専門プラットフォームを通じて接触してきます。コンタクトが成立すると、彼らはやり取りの場をメールへと移し、被害者をカスタマイズされた求人ポータルに誘導するためのOutlookメッセージを送信します。MiniJunkのキャンペーンと同様、各ポータルはターゲットごとの固有のログイン情報でカスタマイズされており、攻撃者に詳細なコントロールと可視性を提供します。

画像3 – 被害者に送られたOutlookメッセージの例

Check Point Harmony Email & Collaborationは、イスラエルの通信事業者に対して行われたこのような攻撃を1件阻止しており、これによって両方の活動クラスターが同じ詐欺的戦術と幅広いターゲットを共有していることを裏付けています。

被害状況と標的とされている業界 

ヨーロッパへの拡大: 

  • Nimbus Manticoreは一貫して中東、特にイスラエルとアラブ首長国連邦を標的にしていますが、最近の活動では西ヨーロッパ、特にデンマーク、スウェーデン、ポルトガルへの関心が強まっていることが示唆されています。

特定の業界への集中的なターゲティング: 

  • CPRは、マルウェアを配信するウェブサイトの内容と標的となった業界との間に相関関係があることを確認しました。例えば、ある通信会社を装った偽の求人ポータルサイトは、通信業界の従業員や組織をターゲットにしています。

  • 調査結果から、いくつかの主要分野において同様のターゲティングがなされていることが分かっています。その分野とは、通信業界(特に衛星通信事業者)、防衛関連企業、航空宇宙産業、航空会社です。これらの分野は、IRGC(イラン革命防衛隊)による戦略的な情報収集活動の対象とも一致しています。


Nimbus Manticoreに対する防御策 

過去1年間で、Nimbus Manticoreはマルウェアによる攻撃手段、配信方法、ターゲット選定の戦略を進化させてきました。MinibikeからMiniJunkへと進化させ、さらにMiniBrowseを展開して、そのスピアフィッシング技術を洗練させていくことで、この脅威アクターは激しい地政学的紛争の最中でさえも、そのレジリエンスと隠密性を発揮し続けています。

同グループが西ヨーロッパ、特に防衛、通信、航空分野へとその焦点を拡大していることは、IRGCの戦略的優先事項に沿った、イランのサイバー諜報活動の活発化の兆候を示しています。

これらの脅威に対抗するために、組織は攻撃が従業員まで到達する前に阻止するための防護策を必要としています。Check Point Harmony Email & Collaborationは、スピアフィッシング攻撃の試みや偽の求人ポータルサイト、Nimbus Manticoreキャンペーンで使用されたような悪意ある添付ファイルを検知し防止することによって、まさに必要とされている保護を実現します。Harmonyは、メールおよびコラボレーションツールのレベルでこうしたフィッシング攻撃のルアーを阻止することで、組織が侵害を回避し、従業員が最も強固な防御線であり続けることを保証します。

この多層的なセキュリティのアプローチには、以下のものが含まれています。

  • Check Point Harmony Email & Collaborationメールおよびコラボレーションツールレベルで、スピアフィッシング、偽の求人ポータルサイト、悪意ある添付ファイルを検知・防止し、初期の攻撃ルアーを阻止します。
     

  • Harmony Endpoint高度なマルウェアが侵入した際にデバイスを保護し、初期の電子メール防御が回避された場合でも、デバイス防御を提供します。
     

  • Quantumネットワークセキュリティネットワーク境界で悪意あるトラフィックを遮断し、悪意あるファイルのダウンロードやC2通信、データ流出を防ぐためのバリアを構築します。

CPRは、今後もNimbus Manticoreの活動を継続的に追跡し、国家主体の攻撃キャンペーンに対するお客様のレジリエンスを強化するための知見を提供していきます。

詳しくは、CPRによる包括的な技術分析レポートをご覧ください。


本プレスリリースは、米国時間2025年9月22日に発表されたブログ(英語)をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。

ブログ: https://research.checkpoint.com/ 
X: https://x.com/_cpresearch_

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://x.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


会社概要

URL
https://www.checkpoint.com/jp
業種
情報通信
本社所在地
東京都港区虎ノ門1-2-8 虎ノ門琴平タワー25F
電話番号
03-6205-8340
代表者名
佐賀 文宣
上場
未上場
資本金
2000万円
設立
1997年10月