FBI、イラン系攻撃者のTelegramボットC2悪用を警告——反体制派・記者を狙う“正規トラフィック”隠れ蓑型オペレーションの現在地

今日の深掘りポイント

• 正規メッセージング基盤（Telegram）をC2に転用することで、ネットワーク監視をすり抜ける設計思想が前面に出ています。可視化は「アプリの有用性」と「トラフィックの怪しさ」の綱引きになります。
• 初期侵入は人の信頼を踏み台にする接触（既知の連絡先・ITサポート偽装）で、端末側はユーザー実行トリガー依存です。技術的対策だけでは届かない領域をどう埋めるかが勝負どころです。
• 収集機能はファイル、スクリーンショット、会議音声（Zoom）まで網羅と報じられています。エンドポイント・アプリ権限・オーディオ入出力の三位一体での監視が肝になります。
• 日本組織にも波及しうる「越境弾圧」型の標的選別が背景にあります。国内拠点に所属する海外出自の研究者・記者・市民団体構成員は、企業の“高リスク人権プロファイル”として明示的に保護対象に組み込むべきです。
• スコア指標全体からは、確度・即時性・行動可能性が高い反面、手法の新規性は中程度という読み筋です。いま必要なのは「ブロック一辺倒」ではなく、運用で勝つための観測・分離・例外管理の整備です。

はじめに

「安全なメッセージング」は防御側にとっても心強い味方のはずですが、攻撃者はその“正規性”を逆手に取ります。FBIは、イラン政府系と見られるアクターがTelegramボットをC2に据え、反体制派やジャーナリストからの情報窃取に用いていると警告しています。連絡の皮を被った接触から、ユーザーの手でマルウェアを呼び込み、以降の操作・持ち出しはTelegramトラフィックに沈み込ませる——防御側にとって嫌なツボを押してくる手口です。

本稿では公開報道に基づき事実関係を整理しつつ、日本のCISO/SOC/Threat Intelが明日から運用を変えられる視点に落とし込みます。ブロックか許可かの二択ではなく、観測できるように設計し直すことが、今回のような“正規トラフィック隠れ蓑”型に対する最短距離だと考えます。

参考：FBIの警告を報じるテックメディアの一次報道は以下です。

• TechCrunch: “FBI says Iranian hackers are using Telegram to steal data in malware attacks”［2026-03-23］（英語）https://techcrunch.com/2026/03/23/fbi-says-iranian-hackers-are-using-telegram-to-steal-data-in-malware-attacks/

深掘り詳細

事実関係の整理（公開情報ベース）

• 攻撃の流れは、標的への直接接触（既知の関係者やITサポートを偽装）→悪性リンクの受容→ユーザー実行型のインストール→Telegramボット経由の遠隔操作、という段取りです。
• 機能面では、ファイル窃取、スクリーンショット取得、Zoom通話の録音が可能と報じられています。遠隔C2はTelegramのボット機能を介して実施され、正規のトラフィックに埋没しやすい点が指摘されています。
• アクターはイランの情報機関と関係する可能性が示唆され、最近の攻撃は「Handala」と呼ばれるグループと関連する可能性にも触れられています（いずれも報道ベースの言及であり、技術的帰属の確定とは限らない前提です）［出典：上掲TechCrunch］。

インサイトと示唆（編集部の分析）

• TelegramボットC2という設計は「検出を難しくするために、検出可能性が高いC2を避ける」という近年の常道に沿っています。組織がTelegramを業務利用していないなら出口の封鎖は有効ですが、記者・研究者・在外コミュニティと接する部署では業務上の必要性が残りやすく、完全遮断は現実解になりづらいです。
• 初期アクセスが“人をだます”工程に強く依存していることは、逆に言えば「高リスク人材の保護設計」でリスクを大きく削れることを意味します。たとえば、対象者の対外コミュニケーションをセキュア・ミドルボックス（検査可能なチャネル）へ誘導したり、未知のファイル実行を物理的に分離した検証環境でのみ許可する運用にするといった、運用設計で勝つアプローチが効きます。
• Zoom音声の“録音”はアプリ機能の悪用ではなく、OSレベルのマイク入力や画面取得APIの乱用である可能性が高いです（ここは仮説です）。従って、アプリ設定だけを厳しくしても回避されやすく、EDRの権限利用・スクリーンキャプチャ・マイクアクセスの振る舞い監視が要になります。
• 正規クラウド/メッセージングを用いるC2は、SOCの「トラフィックを捨てない」方針を試します。TLS復号の是非は組織方針に依存しますが、最低限SNI/ドメインベースの監視とプロセス単位のネットワーク相関（どのプロセスがapi.telegram.orgへ出ているか）を取れないと、検出の母数すら作れないです。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って想定した仮説シナリオです。具体のサンプルや変種により細部は異なりますが、運用設計のための「当たり」を付ける目的で提示します。

• シナリオ1：国内報道機関の記者端末

  • 想定: 海外情報源になりすました連絡チャネルで悪性ドキュメントや“通話録音用の補助ツール”を装ったインストーラを配布。記者の個人PCやBYODが踏み台になり、取材メモや未公開音源が流出。
  • ATT&CK仮説:
    • Reconnaissance/Resource Development: 偽アカウント作成・関係者偽装
    • Initial Access: スピアフィッシング（リンク/サービス経由）
    • Execution: ユーザー実行
    • Persistence: スタートアップ登録やスケジュールタスク（一般論）
    • Defense Evasion: 正規署名ツール悪用、難読化（一般論）
    • Collection: スクリーンキャプチャ、マイク入力収集、ファイル収集
    • Command and Control: Webプロトコル/正規Webサービス（TelegramボットAPI）経由
    • Exfiltration: Webサービス経由の持ち出し

• シナリオ2：総合大学の中東研究室

  • 想定: 研究協力依頼を偽装した連絡から、共同作業用と称するツール導入を促す。研究データ・教職員/留学生の個人情報が段階的に収集。
  • ATT&CK仮説は上記に加え、Discovery（アカウント/共有リソース探索）とCredential Access（ブラウザ保存資格情報窃取）が加わる可能性があります。

• シナリオ3：中東市場と接点のある製造・エネルギー企業の渉外部門

  • 想定: 海外当局/パートナー名義のITサポート偽装で“暗号化通信用プラグイン”導入を迫る。出張・会議の音声/資料が狙われ、交渉カードを失う。
  • 影響: 渉外/入札/輸出管理の判断に影響を与える情報優位性を相手に与えるリスクが高いです。

全シナリオに共通して、Telegramという“正規の衣”に守られたC2により、プロキシ/ファイアウォールの粗いブロックでは検出機会を失いやすい点が要注意です。逆に、業務上Telegramを使わない組織は「通信自体をイベント化する」ことで、検出の母数を最大化できます。

セキュリティ担当者のアクション

優先度順に、現場でそのまま落とし込める形で整理します。

• 方針決定：Telegramの扱いを“例外管理”に

  • 業務でTelegramが不要な組織は「原則ブロック＋例外許可」を基本線に据えるとよいです。SNI/ドメイン（例：api.telegram.org, t.me 等）単位でのDNS/HTTP CONNECT制御と、例外は人単位・端末単位・時間単位で付与する運用にします。
  • 必要部署が存在する場合は、業務用サブネット/仮想デスクトップへ隔離し、端末ローカルでのTelegram通信を禁止します。通信が必要な人と端末を“見える島”に集約する発想です。

• ネットワーク観測とアラート設計

  • プロキシ/NGFWでTelegram関連ドメインのクエリ・TLS SNI・失敗/成功接続ログを取得し、ビジネス非必須セグメントからの初観測時には高優先度のアラートを上げます。
  • フロー/プロセス相関（EDR/EDR連携NDR）で「どのプロセスがTelegram先へ出ているか」を見ます。組織内でTelegramクライアントが存在しないのにchrome.exeや不明なexeがapi.telegram.orgへ接続していれば、即時トリアージ対象です。

• エンドポイントでの振る舞い検出

  • ユーザー実行をトリガーに、以下のような一連の行為が短時間に連続したらハイシグナルです。
    • 新規実行ファイルの設置→自動起動レジストリやスケジュールタスクの作成
    • 画面キャプチャAPI・マイク/カメラ権限へのアクセス増加
    • ブラウザのCookie/ログインデータへのアクセス
    • 直後にTelegram関連ドメイン/アドレスへの外向き通信
  • 可能なら、Telegramボットトークンの既知パターン（例：特定の接頭辞や長さを持つAPIトークン文字列）をヒントに静的/振る舞い検出の補助シグネチャを用意します（実運用では誤検知回避のため隔離環境での検証を強く推奨します）。

• 高リスク人材の保護運用（ジャーナリスト・研究者・人権擁護者等）

  • 未知リンク・未知実行ファイルは“ワンクッション”を必須化します。たとえば、専用検証用のVDI/使い捨てVMにドラッグ＆ドロップしてからでなければ開けない、という運用ルールを簡便に用意します。
  • 対外コミュニケーションでのなりすまし対策として、重要連絡は二経路確認（別メッセージング/音声）を標準化します。緊急時ほど“二経路”を徹底します。
  • 個人端末と業務端末の役割分担を明確化し、私用メッセージングアプリは業務ネットワークから切り離します。

• アプリ・会議のハードニング

  • Zoom等の会議アプリ側の録音/録画権限設定を厳格化しても、OSレベルの録音は防げません。EDRでのオーディオキャプチャAPI呼び出し監視や、会議時の“高感度モード”（不要プロセス停止、未知バイナリ実行禁止）といった運用的ガードを重ねます。
  • OSのプライバシー権限（マイク・画面収録）に変更が入った際のアラートを有効化し、会議中の権限昇格イベントはSOCで即確認します。

• インテリジェンス運用

  • 報道や公的機関のアラートで公開されるIoC/挙動記述を継続収集し、内部の検知ルールに反映します。Telegram関連通信が絡むケースは、通信先の変化が速いため、シグネチャよりも「プロセス×宛先ドメイン×振る舞い」の相関で維持するのが現実的です。

• インシデント対応の初動プレイブック（簡易版）

  • 端末隔離→メモリ/ディスクの揮発性アーティファクト確保（プロセス一覧/ネットワーク接続/最近の権限同意/スケジュールタスク等）→Telegram関連接続の宛先/DNS履歴抽出→アカウント強制リセット（特にメール/メッセージング）→会議記録/取材メモ等の二次流出評価、の順で走らせます。

最後に、今回のメトリクス全体感から読み解けるのは「確度と即時性が高く、現場がすぐ動けば抑え込みやすい」タイプの案件であることです。一方、Telegramという“日常”に紛れる手法は、検出機会を奪う性質を持ちます。だからこそ、許可/遮断の境界を再設計し、「見える化のための許可」「例外のための分離」「人のためのワンクッション」をセットで用意することが、最短で効く現実解だと考えます。

参考情報

• TechCrunch（英語）: FBI says Iranian hackers are using Telegram to steal data in malware attacks https://techcrunch.com/2026/03/23/fbi-says-iranian-hackers-are-using-telegram-to-steal-data-in-malware-attacks/