イランのスパイがシリコンバレーに潜入、Googleから企業秘密を窃取した事件も

インテリジェンス

投稿日時: 更新日時:

イランのスパイがシリコンバレーに潜入、Googleから企業秘密を窃取した事件も

2026年2月19日、米国カリフォルニア州北部地区連邦大陪審がイラン系エンジニア3名を起訴しました。容疑はGoogle・Qualcomm・Intelからプロセッサのセキュリティと暗号化技術に関する企業秘密を組織的に窃取し、イランへ転送したというものです。正規の就労ビザ・永住権・市民権という合法的な移民プロセスを経てシリコンバレーの中枢企業に「スリーパー・エージェント」として潜入するこの手法は、経済制裁下にあるイランが技術的劣勢を覆すための長期的HUMINTキャンペーンの一端として機能していたと分析されています。

この産業スパイ事件と並行して、2026年2月28日に開始された米・イスラエル共同軍事作戦「Operation Epic Fury」への報復として、イランの国家主導サイバー部隊とそのプロキシ・グループが米国の主要テクノロジー企業(Apple・Google・Microsoft・Oracle等)および重要インフラに対して大規模なサイバー報復を宣言・実行に移しています。

このハイブリッド戦争の余波は日本にも直接及んでいます。中東エネルギーへの構造的依存と米国同盟国としての役割が交差する中、日本企業のOT(オペレーショナル・テクノロジー)環境はこれまでになく深刻なサイバー脅威にさらされています。

▶ 関連記事:ホルムズ海峡封鎖危機:日本に対するサイバー・ハイブリッド脅威インテリジェンス分析

▶ 関連記事:フーシ派参戦でイラン紛争が拡大|紅海・ホルムズ海峡封鎖と日本の原油への影響

▶ 関連記事:米陸軍参謀総長をイラン戦争中に解任|ヘグセス長官の軍粛清と日米同盟への影響

シリコンバレー中枢への物理的浸透:DOJ起訴状が示すスパイ活動の実態

起訴された3名のプロフィールと標的企業

サンノゼに居住する3名のエンジニアは、企業秘密窃取の共謀・窃取および窃取未遂・司法妨害の罪で起訴されました(米司法省、2026年2月19日)。

氏名(年齢) 国籍・在留資格 勤務先(特定・推定) 専門領域
Samaneh Ghandali(41) イラン国籍(2018年頃に米国市民権取得) 元Google → Company 3(Intel推定) モバイルコンピュータプロセッサ技術
Mohammadjavad Khosravi(40) イラン国籍(2019年頃に米国永住権取得) Company 2(Qualcomm推定) ASIC設計エンジニア
Soroor Ghandali(32) イラン国籍(非移民学生ビザで滞在) 元Googleインターン → Company 3(Intel推定) ハードウェアエンジニアリング

出典:米国司法省(DOJ)起訴状(2026年2月)、San Jose Inside、The Hacker News

SamanehとSoroorのGhandali姉妹はいずれもGoogleでの勤務経験を持ち、その後モバイルコンピュータプロセッサ分野の主要企業(恐らくIntelとされる)へ移籍しました。

SamanehのKhosraviはQualcommでSnapdragonプロセッサのASIC設計を担当していました。3名は正規の移民プロセスを経て法的に米国社会に溶け込み、数年をかけて標的企業への正当なアクセス権を獲得した「計算された長期的な信頼の構築」が特徴です。

窃取の標的と最大のインシデント:Snapdagonアーキテクチャの写真撮影

被告らが標的とした技術情報の核心は「プロセッサのセキュリティと暗号化」という現代のデジタルインフラおよび防衛システムの根幹をなす領域です。特に重大なインシデントとして記録されているのが、2023年12月にSamaneh Ghandaliがイランへ出国する直前の行動です。

彼女はイラン本国から、夫Khosraviが管理する職場用コンピュータに対してリモートアクセスし、QualcommのSnapdagonプロセッサのハードウェアアーキテクチャに関連する企業秘密を写真撮影しているところを発見されました

複数のテクノロジー企業から極秘文書を抽出し、無許可の第三者の保管場所・個人デバイス・互いの雇用主に関連する仕事用デバイスへと転送し、最終的にイランへ送付していました。Googleは事件発覚後にシステムの保護措置強化を声明しましたが、正規の権限を持つ内部者(インサイダー)の共謀の前では従来の多層防御(Defense in Depth)がいかに脆弱かを露呈した形となりました

国家背景:父親とイラン国家機関の接点

Samaneh・Soroor Ghandali姉妹の父親であるShahabeddin Ghandaliがイランの教師投資基金公社(TIFC)の元CEOであることが特定されています

このような政府系・準政府系ファンドのトップは必然的にイランの国家指導部・情報機関・IRGCと密接な関係を持ちます。国家体制の中枢に近い人物の親族が米国の厳格なバックグラウンドチェックを潜り抜け、技術覇権を支える企業へのアクセス権を得ていた事実は、米国の防諜体制に対する根本的な再評価を迫る警鐘です。

この事件が示すのは、イランがサイバー空間からの遠隔攻撃だけでなく、長期的なHUMINT(人的情報収集)資産の育成と配置を並行して行っているという点です。物理的潜入とサイバー活動の融合こそが、イランの対米技術覇権闘争の核心です。

Operation Epic Fury後のサイバー報復:標的リストと攻撃の実態

米国テクノロジー企業を名指しした前代未聞の宣言

2026年2月28日に開始された「Operation Epic Fury」に対し、イランは直ちに非対称戦術へと舵を切りました。イラン国営メディアは攻撃の「正当な標的」としてイスラエルとつながりのある米国テクノロジー企業のオフィスおよびクラウドインフラを明確に名指しし、IRGC名義で「現地時間4月1日午後8時以降にストライキを開始する」と通告しました。

標的リストにはApple・Google・Meta・Microsoft・IBM・Intel・HP・Cisco・Oracle・Palantir・Dell・Tesla・Boeing・Nvidiaが含まれており、現代のデジタル経済と軍産複合体を支えるほぼ全ての主要企業が対象となりました。従業員に対する職場からの即時退避勧告という前代未聞の心理戦と合わせ、この宣言は単なる虚仮威しではなく実際の攻撃と連動していました。イラン側はバーレーンのAWSデータセンターやドバイのOracleデータセンターへの攻撃を主張しており(UAE内務省はOracle被害を否定)、ハイパースケールクラウドプロバイダーが今や国家間紛争の最前線に位置づけられていることを如実に示しました。

主要なイラン関連サイバー脅威アクターの構造と戦術

アクター名 背後組織 主な標的・戦術(TTPs)
Handala Hack(Void Manticore、Karma等) イラン情報・治安省(MOIS) イスラエル防衛・政治機関、米国医療・テクノロジー企業。データ窃取とワイパー(破壊)マルウェアの展開
CyberAv3ngers IRGCサイバー・電子司令部(OFAC制裁対象) ICS/OT環境、上下水道・燃料管理・エネルギーインフラ。PLCやOTデバイスの直接侵害
MuddyWater イラン国家主導 米国金融機関・空港・NGO・防衛関連ソフトウェア企業。新型マルウェア(Dindoor、Fakeset)を利用したアクセス確保
Cotton Sandstorm(Altoufan Team) IRGC関連組織 バーレーン所在の米軍関連施設。地域的イベントに同期した即応性の高い破壊的・DDoSキャンペーン
Cyber Islamic Resistance 親イラン・アンブレラ組織 イスラエル・西側インフラへの同期型DDoS、データ消去(RipperSec、Cyb3rDrag0nzzと連携)
Pay2Key イラン系RaaS事業者 ランサムウェアを装った重要インフラへの攻撃(金銭目的と破壊目的のハイブリッド化)

出典:BeyondTrust Threat Advisory、Palo Alto Networks Unit42、Check Point Research、Industrial Cyber

Handala Hackの詳細分析:ワイパー攻撃・分散型C2・FBIトップへのサイバーテロ

国家主導のペルソナと戦術的自律性

現在の脅威ランドスケープで最も破壊的かつ顕著な活動を展開しているのがHandala Hackです。表向きは親パレスチナのハクティビストを自称していますが、Check Point Researchの詳細分析によりイラン情報・治安省(MOIS)の指揮下にある「Void Manticore」が運営する国家主導のオンライン・ペルソナであることが判明しています。

彼らの作戦は極めて大胆な標的を狙っており、2026年3月には現役FBI長官Kash Patel氏の個人メールアカウントへの侵入に成功したと主張し、私的な写真や文書をオンラインで公開するという米国の法執行機関トップに対する前代未聞のサイバーテロを実行しました。

これを受け米政府はHandalaメンバーの特定につながる情報に1000万ドルの報奨金を設定しています(Times of India)。このほか米国の大手医療機器メーカーStrykerへの破壊的マルウェア攻撃、IDF・イスラエル政府関係者約190名の個人識別情報(PII)暴露、Sanzerハシディズムのユダヤ人コミュニティからの851GBの機密データ窃取なども実行しています。

関連:医療機器 大手 ストライカーがサイバー攻撃で全社的障害-製造 出荷に影響イラン ハッキング グループが犯行主張

攻撃の手順とC2のStarlink利用

Handala Hackの最大の特徴は、高度なゼロデイ脆弱性への依存ではなく既存ツールと手動操作(hands-on-keyboard)による迅速な破壊活動にあります。その具体的な手順は以下の通りです。

  • 初期侵入:漏洩した認証情報を通じた標的ネットワークへのアクセス
  • ラテラルムーブメント:RDP(リモートデスクトッププロトコル)を悪用した水平展開
  • 内部接続の確立:ローカルのウェブブラウザからNetBird(正規オープンソースVPNツール)をダウンロードして環境内の複数マシンにインストール
  • ワイパー展開:少なくとも5台の攻撃者制御マシンから一斉にデータ消去マルウェアを展開し、被害組織の復旧を極めて困難に

使用するマルウェア・バリアントはKeePass.exe・MicDriver.dll・MsCache.exeなどに偽装しており、IC3(米国インターネット犯罪苦情センター)がその詳細を報告しています。

地政学的に特に重要なのが、C2インフラのStarlink利用です。

2026年2月末の空爆以降、イラン国内は27日間連続でほぼ完全なインターネット・ブラックアウト状態に陥りました。それにもかかわらず、HandalaのトラフィックはStarlinkの衛星IPレンジから発生していることが観測されました。IRGCの中央指揮構造が物理的攻撃で機能不全に陥った状況下でも、各サイバー攻撃セルが衛星通信を介して独自のC2能力を維持するという極めて高い分散型作戦能力を証明しています。

ICS/OT攻撃へのシフトとランサムウェアの兵器化

イランのサイバー作戦は情報窃取・DDoS攻撃から、物理的な被害を伴うICS/OTへの攻撃へと明確にシフトしています。OFACが制裁対象に指定したCyberAv3ngersは上下水道施設・燃料管理システム・エネルギーインフラのOTデバイスを集中的に狙っています。米国のエネルギーインフラは7,300以上の発電所と60万マイルの送電線を抱える世界最大級のシステムですが、レガシーシステムの残存と規制構造の細分化によりサイバー攻撃への固有の脆弱性を抱えています。

さらにイランは「Pay2Key」のようなランサムウェア・アズ・ア・サービス(RaaS)をプロキシとして利用し、破壊活動を一般的なサイバー犯罪(恐喝)に偽装して国家としての帰属(アトリビューション)を意図的に曖昧化する手法を常態化させています。

日本への波及

米国との同盟関係の強化は、当然ながら日本をイランのサイバー報復の射程に引き入れます。カナダのサイバー当局(CCCS)が指摘するように、親イランのハクティビストは米国の行動を公に支持する同盟国を標的とするDDoS攻撃・破壊的活動を展開する傾向が強く、日本の政府機関・企業にも同様の危機が迫っています。

日本のOT環境における構造的課題 イラン系アクターの対応する戦術(TTPs) 想定される最悪のシナリオ
IT/OTの境界線の曖昧化・セグメンテーションの欠如 漏洩したIT認証情報からOT領域へのラテラルムーブメント(Handala Hack型) 工場ラインの停止、PLCの誤作動による物理的損傷、エネルギー供給網の一部ダウン
レガシーシステムの残存とパッチ未適用の常態化 既知の脆弱性を悪用したランサムウェアや破壊的マルウェア(Pay2Key型) 復旧不能なデータ消去による長期的な生産停止とサプライチェーン全体の連鎖的遅延
サードパーティ・ベンダーのアクセス権限管理の甘さ 委託先・保守ベンダーのデバイスを経由したインサイダー的アクセス・サプライチェーン攻撃 防衛関連技術や高度製造ノウハウの窃取(シリコンバレー事件と同様の手法)
CISOの権限不足・セキュリティ予算と生産目標の対立 パッチ適用延期を突いたゼロデイまたはNデイ攻撃(CyberAv3ngers型) デュアルユース技術(半導体・素材)の流出と国際的輸出管理体制からの逸脱リスク

出典:Industrial Cyber、Canadian Centre for Cyber Security、CSIS(Iran Conflict Heightens Cyber Threats to U.S. Energy Infrastructure)

CIOおよびCISOへの戦略的対応指針

インサイダー脅威対策:採用・アクセス管理の根本的見直し

シリコンバレー事件が示す教訓は明確です。正規の権限を持つ内部者(インサイダー)の共謀の前では、境界防御型のセキュリティは無力です。対策の優先順位は以下の通りです。

  • 採用時の国際的バックグラウンドチェックの徹底(特にイラン・中国・北朝鮮など制裁対象国との家族的・財務的つながりの確認)
  • 機密プロジェクトへのアクセス権限の最小権限の原則(Least Privilege)の厳格適用
  • 機密データへの不審なアクセスパターンを検知するUBA(User Behavior Analytics)の導入
  • 外部メディアやクラウドストレージへのデータ転送の監視・制御

OT/ICS環境の防衛

CyberAv3ngers型のOT直接攻撃とHandala Hack型のIT→OTラテラルムーブメント対策として次の措置が急務です。

  • IT/OTのネットワークセグメンテーション(Purdueモデルの徹底)とデフォルト遮断のゼロトラスト・アーキテクチャへの移行
  • OT環境に特化したリアルタイム資産可視化プラットフォームの導入によるOTデバイスの完全インベントリ管理
  • RDP・RMM(リモート管理ツール)・未承認VPNのネットワークレベルでの制御
  • 保守ベンダー・サードパーティのアクセス権限の定期的なレビューとPAM(特権アクセス管理)の実装

Handala Hack型攻撃への具体的対策

Check Point Researchが分析したHandala HackのTTPsに基づく具体的な防御策を示します。

  • MFA(多要素認証)のFIDO2準拠ハードウェアトークンへのアップグレード:プッシュボミング(MFA Fatigue)攻撃を無効化
  • 漏洩クレデンシャルの継続的モニタリング(HaveIBeenPwned API等との連携)と検出時の即時パスワードリセット
  • 環境内でのNetBirdや類似ツールの無許可インストール・実行の検知ルール設定
  • KeePass.exe・MicDriver.dll・MsCache.exeなどHandala使用の既知マルウェアバリアントのシグネチャをIDS/EDRに追加(IC3アドバイザリを参照)
  • オフラインおよびエアギャップバックアップの定期的な完全性検証(ワイパー攻撃への最後の防衛線)

FAQ:よくある質問

シリコンバレーでのイランスパイ事件とは何ですか?

2026年2月19日、米国司法省がイラン系エンジニア3名(Samaneh Ghandali、Mohammadjavad Khosravi、Soroor Ghandali)をGoogle・Qualcomm・Intelから企業秘密を窃取した疑いで起訴した事件です。正規の就労ビザ・永住権・市民権を利用してシリコンバレーの主要企業に潜入し、プロセッサのセキュリティと暗号化に関する機密情報をイランへ転送していたとされています。

「Handala Hack」とはどのような組織ですか?

表向きは親パレスチナのハクティビストを自称していますが、実態はイラン情報・治安省(MOIS)の指揮下にある「Void Manticore」が運営する国家主導のサイバー攻撃組織です。漏洩した認証情報による初期侵入→RDPによるラテラルムーブメント→NetBirdによる内部接続確立→ワイパーマルウェアの展開という手口が特徴で、2026年3月には米FBI長官のメールアカウントへの侵入を主張しました。

イランのサイバー攻撃は日本企業にどのような影響を与えますか?

日本は米国同盟国としてOperation Epic Fury支持の姿勢がイランのサイバー報復の射程に入っています。製造業・重要インフラにおけるOT環境のIT/OTの境界線の曖昧化・レガシーシステムの残存・サードパーティアクセス管理の甘さという構造的脆弱性が最大のリスクです。Dragosが2026年4月に日本担当国マネージャーを初めて任命したことはこの危機の深刻さを象徴しています。

日米首脳会談(2026年3月19日)でどのような問題が起きましたか?

高市首相とトランプ大統領の首脳会談ではホルムズ海峡への自衛隊派遣要求が最大の焦点となりましたが、高市首相は憲法・国内法上の制約から直接派遣に慎重な姿勢を示しました。またトランプ大統領が奇襲攻撃の秘密主義を正当化するため日本の真珠湾攻撃を引き合いに出す発言を行い、日本側に大きな当惑をもたらしました。一方で最大730億ドル規模の日米エネルギーインフラ投資枠組みが合意されました。


出典一覧

米国政府・法執行機関

シンクタンク・研究機関

サイバーセキュリティ専門機関・企業

メディア

日本関連