米連邦捜査局(FBI)は2026年3月19日、メリーランド州連邦地方裁判所に対してドメイン名の差し押さえ令状を申請し、裁判所はこれを承認しました。対象となったのは以下の4ドメインで、いずれもイランの情報・安全保障省(MOIS)と関連するサイバー攻撃グループが運営していたとされています。
目次
押収したドメインとハッカーグループ
BIは宣誓供述書の中で、これら3つのグループは同一のイランMOIS系アクターによって運営されており、実質的に同一の脅威アクター集団の異なる「ペルソナ」であると断定しています。
| 押収されたドメイン名 | 関連するグループ名(ペルソナ) |
| justicehomeland.org | Homeland Justice / Justice Homeland |
| handala-hack.to | Handala Hack |
| karmabelow80.org | Karma Below |
| handala-redwanted.to | Handala / Redwanted |
背景:2022年アルバニア政府へのサイバー攻撃
今回の捜査の発端となったのは、2022年7月15日および同年9月9日に発生した、アルバニア政府の複数のコンピューターシステムへの大規模なサイバー攻撃です。
FBIの技術分析によると、攻撃者は2021年5月頃にインターネット公開されたMicrosoft SharePointサーバーの脆弱性を悪用してアルバニア政府のネットワークに初期アクセスを取得。その後14か月以上にわたってメール内容等のデータを窃取し続けました。2022年7月には、ランサムウェアとディスク消去ユーティリティを組み合わせた破壊的攻撃を実行しています。
攻撃の動機は、アルバニア政府がイラン反体制組織「ムジャーヒディーン・ハルク(MEK)」を支援する決定を下したことへの報復とみられており、盗まれたデータにはアルバニア政府当局者と米国政府当局者の間の外交・安全保障・情報関連の通信内容が含まれていました。
複数グループは「同一MOIS部隊」各社の追跡名称とTTP
本件のアクター集団は、各サイバーセキュリティ企業が独自の命名規則のもとで追跡しています。
| セキュリティ企業 | 独自の追跡名称 |
| Check Point | Void Manticore |
| Microsoft | Storm-0842 |
| KELA Cyber | Banished Kitten |
| 複数社共通 | Dune、Red Sandstorm |
各グループに共通するTTP(戦術・技術・手順)として、FBIは以下を挙げています。
-
共有インフラ: 各ペルソナのリークサイトおよびTelegramボットが、同一のバックエンドサーバーおよびイランのIPレンジに紐付けられていた。
-
破壊的ツール: 「BiBi Wiper」と呼ばれるカスタムマルウェアを共有。イスラエルのネタニヤフ首相の名前にちなんで命名された破壊ツールである。
-
心理的工作: 盗み出したデータをリークサイトに公開し、被害者への嫌がらせや社会的威圧を目的とした「フェイクティビスト(偽のハクティビスト)」型情報操作を展開。大量のSMS送信(SMSボミング)も実施。
-
地域特化: Homeland Justiceはアルバニアのインフラを標的とし、Karma BelowおよびHandalaはイスラエルの政府・軍・民間高価値目標を標的としている。
2025年3月:FBIが「Homeland Justice」からデータを潜入し購入
FBIは2025年3月4日、メリーランド州で潜入捜査を行うエージェントを通じて、「Homeland Justice」ペルソナからデータベースを購入しました。
このデータベースには数十万件のアルバニア国民IDナンバー、氏名、生年月日、住所その他の個人情報(PII)が含まれており、2022年のアルバニア政府へのサイバー攻撃で窃取されたデータと符合する特徴を持つものでした。
Telegramを通じた交渉の結果、e-albaniaデータベースが0.05 BTC、アルバニアIDカードデータが0.01 BTCで売買されています。
2026年3月:米医療企業への攻撃とメリーランド病院への影響
2026年3月11日、イラン系ハッカーグループHandala Hackは「handala-hack.to」ドメインを通じて、米国の大手医療テクノロジー企業へのハッキングについて犯行声明を投稿し、「抵抗の枢軸(Axis of Resistance)のインフラへの継続的なサイバー攻撃への報復」と主張しました。
この攻撃はメリーランド州全域の病院・救急医療(EMS)サービスに直接的な影響を与えました。
複数の病院が、患者バイタルデータの分析を支援するシステムへの接続を一時停止せざるを得なくなり、臨床医はラジオ通信と口頭による患者情報伝達への切り替えを余儀なくされました。また、攻撃を受けた企業の従業員のコンピューターが消去(ワイプ)される被害も発生しています。
「Heavygram」マルウェアと個人情報暴露による脅迫
FBIは捜査の過程で、Handala Hackが「Heavygram」と呼ばれる多段階型のマルウェアを使用していることを確認しました。このマルウェアは正規プログラム(PowerShellスクリプトやWindowsリモートデスクトップソフトウェア)に偽装して配布され、Telegramを通じた偽ファイル送付によって感染が試みられていました。
さらにFBIの宣誓供述書は、Handala Hackがサイバー攻撃にとどまらず、個人への暴力的脅迫や個人情報公開(ドックス)による心理的工作を組織的に行っていたことを明らかにしています。
-
2024年3月: Telegramチャンネルにおいて、メリーランド州のイスラエル国防関連企業の幹部2名の氏名と勤務先情報を投稿し、職場で標的にするよう扇動。
-
2026年3月6日: イスラエル国防軍(IDF)関係者と主張する約190名の氏名・写真・住所等を公開。「あなたたちの居場所は把握済みだ」と脅迫。
-
2026年3月: 米国在住のイラン反体制派ジャーナリストらに対し死亡脅迫メールを送付。メキシコの麻薬カルテル「CJNG」をパートナーと称し、25万ドルの報奨金で殺害を依頼する旨を明記。
ドメイン購入資金(Litecoin)は、イランの暗号通貨取引所「Ramzinex」等を経由し、資金の出所を難読化して調達されていました。
情報システム部門が見るべきポイント
今回の件は、単に「遠い国のハッカーグループのサイトが閉鎖された」というニュースにとどまりません。技術的なシステム侵害、データ窃取、犯行声明、晒し行為、そして現実世界での暴力的な脅迫(心理作戦)を、攻撃者が一つのインフラで回していたことを米当局が可視化した重要な事案です。
企業や組織のセキュリティ担当者・情報システム部門は、以下の教訓を実務に落とし込む必要があります。
-
リークサイトを「単なる広報ページ」と見なさない
攻撃者のサイトは、単なる犯行声明の場ではなく、二次被害の拡散拠点、標的個人への圧力装置、偽情報や煽動の基盤として機能しています。インシデント発生時は、技術的な復旧だけでなく、従業員や顧客の安全を守るための「物理的な脅威への対応」もBCP(事業継続計画)に組み込む必要があります。
-
攻撃後の情報操作インフラの監視
特に国家支援が疑われる高度な脅威(APT)では、攻撃後にどのドメイン、Telegram、メールアカウント、リークサイトが使われるかまで含めて監視(スレットインテリジェンスの活用)しないと、被害の実態把握が遅れます。
-
サプライチェーンとインフラの保護
医療インフラや防衛産業に対する攻撃が示す通り、自社が直接の標的でなくとも、利用しているシステム(今回であれば患者バイタルデータ分析システム等)が停止することで、事業に甚大な影響が及びます。
差し押さえ手続きと今後
今回の令状執行により、各ドメインのレジストリ・レジストラ(PIR、Namecheap)は対象ドメインを政府指定のサーバーに切り替え、サイトにはFBIによる差し押さえ告知が表示されます。
国家支援型のサイバー攻撃は、情報窃取にとどまらず、重要インフラへの打撃や組織的な心理戦を複合させた多層的な脅威へと進化しています。FBIは今後もMOISとの繋がりが立証された容疑者の特定と、重大な連邦犯罪としての訴追に向けた捜査を継続する見通しです。
(本記事は、2026年3月19日にメリーランド州連邦地方裁判所に提出されたFBI特別捜査官による宣誓供述書をもとに構成しました。文書の多くは捜査上の理由から黒塗りされており、本記事は公開された情報のみに基づいています。)








