イランハッカー 対イスラエル報復作戦 ― イスラエル諜報機関「Mossad(モサド)」関係者機密漏洩と現場への提言 2026.03 ―
2026年3月21日
一般財団法人 日本危機管理研究所
| キーワード エピックフューリー作戦 / Operation Epic Fury / 米イラン戦争 / US-Iran War / ハンダラ / Handala / モサド / Mossad / ハイブリッド戦争 / Hybrid Warfare / サイバー報復 / Cyber Retaliation / ハック&リーク / Hack & Leak / FBIドメイン差し押さえ / FBI Domain Seizure / 情報心理戦 / PSYOP |
| 本レポートの視点 本稿は、2026年3月中旬にイラン系ハッカーグループHandala(ハンダラ:イラン政府情報保安省の支援を受けた国家連携型サイバー攻撃集団)が行ったモサド(Mossad:イスラエル対外情報機関)元幹部への機密サイバー情報窃取工作を、単独のサイバー事件としてではなく、2026年2月28日に始まった米・イスラエル・イランの全面軍事衝突に連動したハイブリッド戦争(Hybrid Warfare)の一局面として分析する。 本件の核心は「データの真正性」よりも「なぜ今この攻撃が行われたか」にある。Mossadは「無敵」のイメージを抑止力として活用してきた機関であり、その元幹部のメールが侵害されたと主張することは、単なるデータ窃取を超えた心理的ダメージを与える情報心理戦(PSYOP: Psychological Operations)的攻撃である。サイバー攻撃は「到達可能で否認可能な報復手段」として戦略的中核を占めている。現代のサイバー攻撃は物理的インフラの破壊にとどまらず、標的組織・社会の動揺・不信・意思決定の麻痺を引き起こす心理的兵器としての性格を併せ持つ。 なお、現在イスラエルはこの件に関し公式発言していない。しかし沈黙は否定を意味しない。情報機関が侵害を認めないことは世界的な慣例であり、沈黙そのものを根拠に真偽を判断することはできない。 本稿は以上の分析を踏まえ、最終章において政府・安全保障機関・民間企業・サイバーセキュリティ担当者それぞれに向けた実務上の示唆と提言を行う。 |
1. エグゼクティブサマリー/Executive Summary
• 【開戦】2026年2月28日、米・イスラエルがOperation Epic Fury/Operation Roaring Lionを発動。ハメネイ師を含む40名超のイラン高官を暗殺する大規模軍事攻撃を実施した。
• 【サイバー報復開始】イランはその数時間後から多層的なサイバー報復キャンペーンを開始。Handala(イラン情報保安省傘下の国家支援型ハッカーグループ。詳細は第5章)・313 Team・Keymousなど60以上のグループがイスラエル・米国インフラへの攻撃を開始し、現在も継続中である。
• 【本事件の位置づけ】モサド(Mossad)元幹部Deborah Oppenheimer氏ら情報機関関係者のメールアカウントから10万件超の機密メールを窃取・公開したとするHandalaの主張は、戦時下サイバー報復キャンペーンの一環である。単独のハッキングではなく、軍事作戦と連動した情報心理戦(PSYOP: Psychological Operations)的攻撃として理解すべきである。攻撃の目的はデータそのものではなく、情報の真偽が確定しない状態での混乱と動揺の拡散にある。
• 【確認済み最大被害】2026年3月11日、米医療機器大手Strykerへのワイパー攻撃をHandalaが実行。Stryker社はSEC 8-K報告書で公式確認しており、株価は9%超下落した。
• 【FBIの対応】2026年3月19日、FBIはHandalaの主要ドメイン2件を差し押さえた。ただしこれは配信チャネルの遮断にとどまり、攻撃インフラ・能力の排除には至っていない。
• 【信頼性】Mossad(モサド)メール主張の完全な真正性は未確定だが、グループの実績・技術能力・サンプル提示の事実から、完全な偽情報である蓋然性は低い。イスラエルの沈黙は否定を意味しない。
・【現場への提言】 本稿は事実分析にとどまらず、最終章(第8章)において政府・安全保障機関・民間企業・サイバーセキュリティ担当者それぞれに向けた実務上の示唆と提言を行う。
2. 事件の詳細
2-1. Handalaの主張
| 主張日 | 2026年3月中旬 |
| 標的① | Deborah Oppenheimer — Mossad(モサド)元外部関係・協力副部長、現イスラエル国家安全保障機構国際問題部長 |
| 標的② | Sima Shine — Mossad(モサド)元研究部長(10万件超のメールを公開と主張) |
| 標的③ | Laura Gilinski — Mossad(モサド)元計画・戦略副部長 |
| 標的④ | Tamir Hayman少将 — 軍事情報部元部長 |
| 主張内容 | 各人のメールアカウントへの侵入に成功、10万件超の機密メールを窃取・公開 |
| 文書内容(サンプル) | イラン核開発状況・中東米国サミット・シリア電力省・米情報機関からの警告(2018〜2024年) |
2-2. 戦略的意味
本件が通常のハッキングと異なる点は、軍事作戦と連動した情報心理戦(PSYOP: Psychological Operations)的性格にある。Mossadは「無敵」のイメージを抑止力として活用してきた機関であり、同機関の元幹部の個人メールが侵害されたと主張することは、単なるデータ窃取を超えた心理的ダメージを与えることを目的としている。
タイミングも重要である。Operation Epic Fury開始から約3週間のこの時期は、イランが国内インフラの被害を受けながらも対外的に「抵抗の継続」を示す必要があった局面に一致する。同じ時期にクドス・デー(3月14日)に合わせたヘブライ大学攻撃主張と並行して行われていることも、作戦的調整の存在を示唆する。
3. なぜサイバー攻撃が激化しているのか
3-1. 軍事作戦の概要
2026年2月28日、米国とイスラエルはそれぞれ独立した作戦名のもと、イランへの大規模共同軍事攻撃を実施した。
米国:作戦名 Operation Epic Fury
| 開戦日 | 2026年2月28日 |
| 主要目標 | イラン核・ミサイルインフラ、IRGC指揮系統 |
| 主要成果 | ハメネイ師・IRGC司令官パクプール・国防大臣・国家安全保障書記ら40名超を排除 |
| 付随サイバー | イラン国内インフラへのサイバー攻撃により60時間超の国内インターネット遮断(接続率1〜4%に低下) |
イスラエル:作戦名 Operation Roaring Lion
| 開戦日 | 2026年2月28日(米国と同日) |
| 主要目標 | テヘラン市内の革命防衛隊拠点、情報機関施設 |
| 情報収集手段 | テヘランの監視カメラほぼ全台を事前掌握、AI解析で標的を特定 |
| 特記事項 | ハメネイ師の行動把握にAI+監視カメラ映像を組み合わせた高度な情報作戦を実施 |
3-2. イランがサイバーに頼る理由
Foreign Policyの分析によれば、イランは米国・イスラエルに対して対称的な通常兵器による応戦手段を持たないため、歴史的にサイバー作戦と非対称報復に依存してきた。通常兵器能力が破壊されるほどサイバー攻撃へのエスカレーション圧力は高まるという構造的脆弱性が指摘されている。
Unit 42は「イランのインターネットが遮断された状態でも、国家支援型APTグループは事前に海外展開済みのインフラを通じて作戦継続が可能」と評価している。Handalaは国内遮断中もStarlinkのIPレンジから活動を継続したことが確認されている。
3-3. 戦前から準備されていたサイバー作戦
Augur Securityの調査によれば、主要イランAPTグループはOperation Epic Fury開始の6ヶ月前から顕著なインフラ構築活動を行っていた。これは事後報復ではなく、開戦と同時に使用可能な状態に置かれた「事前配備型」攻撃であることを示す。MuddyWaterは開戦数週間前、すでにイスラエル関連の防衛・金融標的に侵入済みであったことが確認されている。
4. 開戦以降のサイバー攻撃タイムライン
| 日付 | 事案 | 詳細 |
| 2月28日 | 開戦当日 | Electronic Operations Room発足。Handala・313 Team・Keymousがイスラエルへの攻撃を即時開始。#OpIsraelキャンペーン始動。 |
| 3月2日 | Panjaki死亡 | MOIS副長官でHandala指揮官とされるSeyed Yahya Hosseini Panjakiが米イスラエル攻撃により死亡(Check Point確認)。Handalaは作戦を継続。 |
| 3月2日〜 | ロシアが参戦 | 親ロシア系NoName057(16)がイランサイバー連合に加入。イスラエル防衛請負企業Elbit Systemsなどを標的に。 |
| 3月6日 | MuddyWater始動 | IRGC系MuddyWaterが事前配備のバックドアを使用開始。通信・石油ガス・政府機関を標的。 |
| 3月11〜12日 | Stryker攻撃(確認済) | HandalaがMicrosoft Intune経由で米Strykerに侵入。同社がSEC 8-Kで公式確認。株価9%超下落。 |
| 3月中旬 | Mossad(モサド)攻撃主張 | HandalaがMossad(モサド)元幹部複数名の機密メール窃取を主張(本レポートの主題)。 |
| 3月14日 | クドス・デー | ラマダン最終金曜に合わせHandalaがヘブライ大学への攻撃を主張(40TB消去と主張、未検証)。 |
| 3月19日 | FBI差し押さえ | 米FBI・DoJがHandalaの主要ドメイン2件(handala-hack[.]to等)を令状に基づき差し押さえ。 |
The Registerの報告によれば、開戦以降サイバー犯罪活動は245%急増。現在60以上のハクティビストグループが活動中であり、親ロシア系グループの参入により攻撃対象は欧州にも拡大している。
5. 攻撃者の特徴:Handala (別名 Void Manticore)
| 正体 | イラン情報保安省(MOIS: Ministry of Intelligence and Security)傘下の国家支援型サイバー作戦部隊の公開向けペルソナ |
| 別名 | Void Manticore / Storm-0842 / BANISHED KITTEN / Red Sandstorm / Dune |
| 活動開始 | 公開ペルソナとしては2023年末。前身クラスターは2008年頃まで遡る可能性 |
| 元指揮官 | Seyed Yahya Hosseini Panjaki(米財務省・EU・英国が制裁指定。2026年3月2日に死亡確認) |
| 攻撃手法 | フィッシング・VPN総当たり・Microsoft Intune悪用・カスタムワイパー・ハック&リーク |
| 目的 | 金銭を目的とせず、破壊・情報窃取・PSYOPが主目的 |
| 継続性 | 国内インターネット遮断中もStarlinkのIPレンジから作戦継続(Unit 42確認) |
6. FBIによるドメイン差し押さえ(2026年3月19日)
米司法省は連邦地方裁判所(メリーランド州)の令状に基づき、Handalaの主要2ドメインを差し押さえた。
7. 分析と今後の見通し
なぜイスラエルは沈黙するのか
• 脆弱性の連鎖露呈:侵入経路を公認することは、他のセキュリティ上の欠陥を示唆する
• 抑止イメージの維持:Mossad(モサド)の「無敵」イメージ毀損を認めることは心理的打撃になる
• 被害範囲の未把握:何を取得されたか完全には特定できていない場合がある
• 対諜報・捜査への影響:敵側に「作戦成功」を認知させることになる
イスラエルがサイバー被害を公式に認めたケースはほぼなく、今回の沈黙は標準的対応である。
結論 ー実務への提言
イランハッカーHandalaによるMossad(モサド)関係者メール窃取主張は、孤立したハッキング事件ではない。2026年2月28日に始まった米・イスラエル・イラン間の全面的軍事衝突において、イランが展開するハイブリッド戦争(Hybrid Warfare)のサイバー次元における組織的作戦の一環である。
イランにとって、サイバー攻撃は「到達可能で否認可能な報復手段」として戦略的中核を占めている。通常兵器が破壊されるほど、サイバー攻撃に頼る傾向が強まる。
Mossad(モサド)に対する攻撃主張はその文脈において、軍事的報復と情報心理戦を同時に達成しようとする複合作戦として理解されるべきである。
尚、本分析から得られる実務上の示唆は以下の通りである。
| 対象 | 推奨アクション |
| 政府・安全保障機関 | 現役・退職を問わず情報機関関係者の個人メールアカウントのセキュリティ審査を強化。多要素認証の徹底と定期的な侵害確認を実施。 |
| 防衛・重要インフラ企業 | Microsoft IntuneなどのMDM環境の設定を見直し、横断的なデバイス管理権限の悪用リスクを評価する。Stryker事案のSEC 8-K開示は開示義務の前例となった。 |
| メディア・研究機関 | Handala等の主張は検証なしに報道しない。サンプル文書のメタデータ・真正性の独立鑑定を求めること。 |
| サイバーセキュリティ担当者 | Check Point Research・SOCRadar・Flareの最新レポートを継続的に監視。Void ManticoreのTTPアップデートをSIEMルールに反映する。 |
| 全組織共通 | 未確認のハッキング主張に対して即座に反応・拡散しない。攻撃者の真の目的は混乱と動揺の拡散であり、冷静かつ組織的な対応がPSYOP(情報心理戦)の効果を無力化する最大の防御となる。 |
補足:信頼性について
本レポートの総合信頼度評価「中〜高」は以下の根拠による。
| 評価項目 | 信頼度 | 根拠 |
| グループHandalaの実在とMOIS帰属 | 高 | Check Point・SOCRadar・Unit 42・Flare・Recorded Futureの5機関以上が独立して確認 |
| Strykerへの攻撃 | 高 | Stryker社がSEC 8-K(一次ソース)で公式確認 |
| Mossad(モサド)メール文書の内容・件数 | 中 | CyberNewsがサンプルを確認。独立した第三者鑑定は未実施 |
| 10万件という数字 | これは要検証 | 同グループは過去にも誇張した数字を提示する傾向がある |
| イスラエル当局コメント | なし | 現時点で公式コメントは存在しない。沈黙は否定でも肯定でもない |
参考資料
| Check Point Research | Void Manticore / Handalaの命名・追跡元。最高信頼度。 |
| SOCRadar | イラン・イスラエルサイバー戦のリアルタイム監視レポート。 |
| Palo Alto Unit 42 | イランAPTグループのTTP分析・インフラ調査。 |
| Recorded Future / The Record | 国家レベルAPT追跡・Alexander Leslieによる分析。 |
| Flare | ダークウェブ監視・ドメイン差し押さえ影響分析。 |
| CyberNews | 漏洩サンプル文書の確認・速報報道。 |
| Foreign Policy | 米イラン戦争とサイバー戦の構造的分析。 |
| Augur Security | イランAPTグループの事前インフラ構築活動調査。 |
| Axios / Euronews | Operation Epic Fury関連速報・外交動向。 |
| 米司法省(DoJ) | FBIドメイン差し押さえ公式声明(一次ソース)。 |
| Stryker SEC 8-K報告書 | 被害を公式確認した一次ソース。 |
| The Register | 開戦以降のサイバー犯罪活動245%急増レポート。 |