脅威への対応:2022 FIFAワールドカップ・カタール大会に対するサイバー、影響力、物理的脅威

脅威への対応:2022 FIFAワールドカップ・カタール大会に対するサイバー、影響力、物理的脅威

insikt-group-logo-updated-3-300x48.png
編集者注:これはレポート全文の抜粋です。文末脚注付きの分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

このレポートでは、2022年11月20日にカタールで開催される2022 FIFAワールドカップを前に、脅威の状況を分析しています。 分析される脅威には、国家が支援するサイバー作戦、金銭的な動機によるサイバー脅威、影響力作戦、物理的なセキュリティ脅威が含まれます。 このレポートは、2022 FIFAワールドカップの開催、運営、スポンサーに関与する組織、およびトーナメントに参加または参加する予定の個人にとって最も興味深いものです。

Executive Summary

2022年FIFAワールドカップ・カタール大会に対するあらゆる脅威は、米国(US)、ヨーロッパ、中国、イランなどの大国と良好な関係を築いているという、論争の的となる世界舞台におけるカタールのユニークな地政学的位置によって大きく左右されます。

2022 FIFAワールドカップ・カタール大会を標的とする既知の 持続的標的型脅威(APT) グループ、その主催者、スポンサー、関連インフラに関連する、国家が支援する差し迫った、計画された、または進行中のサイバー作戦は確認されていません。 中国、イラン、北朝鮮は、カタールとの関係、大会の計画と実施への関与、またはその他の国家的優先事項のためにモチベーションが不足しているため、大会に対して破壊的な攻撃を行う可能性は低いです。 それにもかかわらず、外国の情報収集を任務とする国家主導のAPTグループは、2022 FIFAワールドカップを、外国の高官やビジネスパーソンに対するサイバースパイ活動や監視のための標的が豊富な環境と見なしている可能性が高い。

ロシアは異例の人物であり、ウクライナの領土保全を支持する国々の連合に 味方 したカタールを開催国として恥ずかしく思いたい、ロシアが大会への参加 を禁止 されたことへの報復など、2022 FIFAワールドカップを狙う強い不満と動機を持っている可能性が非常に高いです。 ロシアが主要なスポーツイベントに対してサイバー攻撃を行った歴史的な前例がありますが、ロシアのAPTグループはロシアのウクライナに対する戦争に気を取られている可能性が非常に高いため、2022年のFIFAワールドカップに対して破壊的な攻撃を行う可能性は低いでしょう。 しかし、ロシア政府が、ロシアのナショナリズム的なハクティビストグループやランサムウェアオペレーターによるこのような攻撃を奨励したり、暗黙のうちに承認したりする可能性を排除することはできません。

大規模な国際スポーツイベントも、金銭的な動機を持つサイバー犯罪者にとって魅力的な標的です。 トーナメント関連のフィッシング攻撃では、いわゆるチケットプレゼント、試合を観戦するための無料ストリーミングサービス、偽のベッティングWebサイト、ビザや 旅行、ホテル、レストランの予約などのトーナメント関連アイテムなど、さまざまなルアーが使用されます。 その他のサイバー犯罪の脅威には、マルウェアを配布してユーザーデータを収集できるイベント周辺の偽のモバイルアプリケーションが含まれますが、これらに限定されません。ダークウェブマーケットやショップで、偽造チケットや侵害された認証情報を販売すること。また、上記のように、ランサムウェア攻撃は、アクセスのしやすさ、機会、多額の身代金を支払う能力などの要因に基づいて、被害者を日和見的に標的にしようとする可能性があります。

2022年のFIFAワールドカップをめぐるイラン、中国、ロシアの影響力活動は、カタールとの二国間関係を強調し、推進する国営メディアを通じて主に行われています。 イランとロシアはまた、カタールの人権問題からカタールでの大会開催に批判的なカタールと西側諸国との間の分裂を強調し、緊張を悪化させようとしている。 同様に、2019年5月にシチズン・ラボが 特定 したイランの「エンドレス・カゲロウ」影響工作には、2017年6月のカタール外交危機に続くカタールと他のアラブ諸国との間の地政学的緊張を悪化させようとした2022年FIFAワールドカップをめぐる偽情報の事例が含まれていた。

カタールは、2022年のFIFAワールドカップ中に、次のようなさまざまな要因に基づいて、大きな物理的安全保障上の脅威に直面する可能性は低いです。イラクとレバントのイスラム国(ISIL)やアラビア半島のアルカイダ(AQAP)など、トーナメントを標的にする可能性が最も高いテロリストグループの能力の低下。米国、英国、フランス、イタリア、トルコ、パキスタンなどの国々からの安全保障支援によって強化されたカタールの安全保障態勢の強化。そしてカタールの地理的な向き。

主な判断

国家が支援するサイバー脅威

オリンピックやワールドカップなどの大規模な国際スポーツイベントは、サイバー犯罪者や国家が支援するAPTグループにとって、金銭的、破壊的、またはスパイ活動の目的で魅力的な標的となっています。 このようなイベントは、多くの場合、何年もかけて作成され、数十億ドルのインフラストラクチャへの投資を伴い、開催国に国際舞台でかなりの名声をもたらし、政府高官やビジネスマンを含む幅広い観客を引き付けます。 その結果、イベントの混乱は開催国政府や主催者にとって恥ずかしいものとなる可能性がありますが、ターゲットが豊富な環境を考えると、従来の情報収集に焦点を当てたサイバースパイ活動や監視活動は儲かる可能性が高いです。 このリスクを軽減するために、2022 FIFAワールドカップのためにカタールを訪れる旅行者は、可能な限り暗号化された通信アプリケーションを使用すること、未知の公共Wi-Fiネットワーク(ホテルを含む)に接続する際には注意を払うこと、旅行中は個人や企業のデバイスではなくバーナーデバイスの使用を検討するなど、デジタル通信に関する追加の予防措置を講じる必要があります。

この記事の執筆時点では、2022 FIFAワールドカップ・カタール大会を標的とする既知のAPTグループ、その主催者(FIFAや欧州サッカー連盟(UEFA)など)、そのスポンサー、または関連インフラに関連する、国家が支援する脅威活動が差し迫っている、計画されている、または進行中であることを認識していません。 これには、破壊的または破壊的な性質を持つ可能性のある攻撃(分散型サービス拒否(DDoS)攻撃やワイパーマルウェアなど)や、よりスパイ活動に重点を置いた作戦が含まれます。 さらに、ワールドカップまたはその関連組織や参加者に対するコンピュータネットワーク運用を促進することを目的とした国家支援のAPTグループに起因するネットワークインフラストラクチャの確立は観察されていません。 同様に、この記事の執筆時点では、スピアフィッシング攻撃に使用するための武器化されたおとり文書は見つかりませんでした。

このセクションでは、国家が支援するAPTグループが2022 FIFAワールドカップを標的にする動機として考えられるものについて、中国、ロシア、イラン、北朝鮮に関連する最も著名な国家支援の脅威アクターに焦点を当てて検討します。 全体として、ロシア政府がこの事件に対して破壊的な攻撃を行うことに最も強い動機を持っていると評価していますが、むしろウクライナに対する戦争を支援することにリソースを集中させている可能性が非常に高いと評価しています。 イラン、中国、北朝鮮はいずれもそのための技術的能力を持っている可能性が高いが、カタールとの関係や大会自体の計画・実施への関与、その他の国家的優先事項によるモチベーションに欠けているため、大会に破壊的な脅威をもたらす可能性は低い。

中国

中国の国家支援を受けたAPTグループが、ワールドカップを混乱させる目的でワールドカップとその関連組織を標的にする可能性は低いでしょう。 それにもかかわらず、外国の諜報情報の収集を任務とするグループ、特に中国の主要な民間情報機関である国家安全部(MSS)の管轄下にあるグループは、ワールドカップをサイバースパイ活動や外国の高官やビジネスパーソンに対する監視のための標的が豊富な環境と見なす可能性が高い。 MSSに関連するサイバースパイグループには、APT10、APT17、APT27、APT40、APT41、TAG-22、RedBravo、RedDeltaなどが含まれますが、これらに限定されません。

近年、中国とカタールはますます 緊密な関係 を築いており、北京とドーハは、北京の主要な国際開発プロジェクトである 一帯一路構想(BRI) へのカタールの 関与 を含め、防衛、エネルギー、経済開発における多くの地域的および世界的な問題に関する協力を発表している。さらに、カタールでは中国企業が大きな存在感を示しており、2016年には中国鉄路建設公司(Chinese Railway Construction Corporation)がワールドカップ最大の会場である ルサイルスタジアム の建設 を勝ち取り 、2020年に完成しました。

重要なのは、中国の脅威活動グループが主要な国際スポーツイベントやスポーツ団体を標的にした歴史的な前例はなく、中国は一般的に広範囲にわたる破壊的および破壊的な攻撃を行うことにおいて、他の国と比較してより抑制的な姿勢を示していることです。 したがって、中国のAPTグループは、重要な会議に先立って特定の組織や政府 を定期的に標的 にしており、中国政府が国内外の民族的および宗教的少数派をサイバー的に監視していることは 十分に文書化されていますが、中国が2022年のFIFAワールドカップに破壊的な脅威をもたらす可能性は低いです。 中国が同大会を支えるインフラ整備に直接関与しており、円滑な展開を確保することに既得権益を持っていることや、中国政府がこの地域の主要な戦略的パートナーとしてドーハとの関係を強化し続けたいという願望を持っていることから、この可能性はさらに低くなっています。

ロシア

ロシア政府は、2022年のFIFAワールドカップ・カタールを目標に、強い不満を抱いており、それゆえに動機を持っている可能性が非常に高い。 この大会を標的としたロシアの活動は、本質的に破壊的である可能性が高いか、FIFA、UEFA、または公的および私的な国際スポンサーなど、大会の開催を担当する国際機関に恥をかかせようとする可能性があります。

2022年2月下旬のロシアによるウクライナ侵攻を受けて、FIFAとUEFAは、侵攻に抗議して、ロシアのサッカークラブが来たるワールドカップを含む大会から全面的に禁止 令を出しました 。 その後、ロシアサッカー連盟は4月上旬に決定に対する控訴を突然 取り下げ 、その結果、出場停止処分は継続された。

ロシアの国営APTグループは、2016年という早い時期に国際的なスポーツ組織やイベントを標的にしてきた歴史があり、これはおそらく、一連の ドーピングスキャンダルにより、オリンピックなどの主要な国際イベントへの選手の参加が同様に禁止されたことに対する報復である可能性が高い。 このような組織を標的としたロシア国家主導の過去の活動には、以下のようなものがあります。

モスクワとドーハは外交的にも経済的にも 互いに関与 しているが、特にロシアのウクライナ侵攻以降、関係に大きな緊張の兆しが見られる。 何よりもまず、カタールは、ウクライナと、国際的に認められた国境沿いの国の領土保全への支持 を表明し ています。 しかも、アメリカは、2022年3月に、カタールを、"主要な非NATO(北大西洋条約機構)同盟国"に正式に指定したが、これは、カタールが、モスクワではなく、NATOと、ワシントンと長期的な戦略的連携をしていることを示していると解釈される可能性が非常に高い。 その結果、クレムリンはカタールに対して特に強い不満を持っている可能性が高く、ワールドカップをカタール政府を困らせる機会と見なす可能性がある。

それにもかかわらず、ワールドカップとカタールに対してこのような破壊的な攻撃を行う動機があるにもかかわらず、ロシア政府はウクライナでの戦争に気を取られている可能性が非常に高いです。ウクライナの厳しい武装抵抗に直面して、モスクワが戦略的目標を達成するために、国家の資源をできるだけ多く集める必要がある厳しい紛争に変わりました。 したがって、ワールドカップのような国際イベントの混乱を任される可能性のあるロシアのAPTグループ、特にAPT28やSandwormのような軍事情報と連携している組織は、過去の活動に基づいて、ウクライナでの戦争努力を直接支援する作戦を優先する任務を負っている可能性が非常に高いです。

したがって、ロシアの国家支援を受けた既存のAPTグループがワールドカップに対してこのような破壊的な作戦を行う可能性は低いと評価していますが、ロシア政府が、KillNetやXakNetなどのナショナリズム的なロシアの「ハクティビスト」グループやランサムウェアオペレーターによるそのような攻撃を奨励したり、暗黙のうちに承認したりする可能性を排除することはできません。 このような集団は、金銭的な動機によるものであれ、政治的な動機によるものであれ、時折、ロシア政府の戦略目標を推進し、もっともらしい否定を提供する有用な代理勢力である。

イラン

イランの国営APTグループは、 破壊的な キャンペーンや スパイ活動に焦点を当てたキャンペーンの両方で、中東全域の公的機関や民間団体を頻繁に標的にしていますが、国際的なスポーツ連盟に対してハクティビストのような攻撃を実行することでは知られていません。 さらに、両国間の強固な貿易・外交関係、イランがワールドカップの出場禁止を求める声にもかかわらず参加していること、そして イラン国内の不安定さから、イランがサイバー攻撃を使って試合を妨害しようとする可能性は低く、そうすることで政権に明らかな利益はもたらさず、カタールの主要な地域パートナーを動揺させるリスクがあるためです。

これは、情報保安省(MOIS)やイスラム革命防衛隊(IRGC)に関連する国内でのスパイ活動を排除するものではありませんが、主に著名な外国のゲーム参加者や、イラン政権の反体制派や批判者に対して向けられた可能性が高いです。 APT34 OilRig、APT35、APT39、APT42、MuddyWaterなどのグループは、テヘランの経済的、政治的、軍事的目標を支援するために、中東および西側諸国の政府や民間企業に対して日常的にスパイ活動を行っていることが知られている。 APT35は 、戦略的 戦術的な 情報を求めていると報じられており、IRGCの要請により、 国際会議 やミュンヘン安全保障会議やサウジアラビアのThink20サミットなどの関連組織に対する攻撃など、 防諜 活動も行っていると報じられている。APT39は、政権を守ることを目的として 、防諜 活動や 長期的なスパイ 活動に重点を置いているとも報じられています。

イランとカタールは、後者が湾岸協力会議(GCC)地域ブロックのメンバーであることを考えると、異常に緊密な関係にあり、ドーハは、アメリカとの同盟と、テヘランとの経済・安全保障関係とのバランスを慎重に取っている。 こうした関係は、2017年のカタール 外交危機 で、ドーハが、同国に対する禁輸措置を発動した伝統的な貿易相手国を、イランとトルコからの輸入に置き換えようとした際、そしてその後、強化されていった。 カタールのペルシャ湾における地理的位置と、世界最大の 天然ガス田 をイランと共有していることが、カタールが、この地域最大の アメリカ軍基地 、アル・ウデイドを受け入れていることに対するイランの不快感にもかかわらず、両国はより緊密な関係を築くことになっている。 イランとカタールの関係は、イラン沖合の リゾート地キシュ島で開催されるワールドカップに何十万人もの訪問者を受け入れるための支援をイランが提供し、カタールも受け入れるほど友好的になっているため、イランはオリンピックの成功に経済的、政治的な利害関係を持つようになった。

最後に、イランはここ数カ月、国内の不安定さと、警察に拘留中の マフサ・アミニ 氏の死に続く広範な抗議行動に揺さぶられてきた。 過去10年間で最大規模の抗議行動は 暴力的になり、その結果、政府は国内の情報環境を封鎖し、インターネットを外部から 遮断 するとともに、騒乱を鎮圧するために 致死的な武力 を行使する権限を与えられた治安部隊を配備した。 体制を維持するためには、国内情勢を維持し安定させることが、近い将来、イランの諜報・治安機関の主要な任務になる可能性が非常に高い。 このことは、ワールドカップ期間中、イランに必要な動機があったとしても、外部志向のサイバー作戦にはほとんど資源が割かれない可能性が高いことを示唆している。

北朝鮮

北朝鮮の国営APTグループが、来たる2022年カタールワールドカップに対して破壊的または破壊的な攻撃を行う可能性は低い。

国際的なスポーツイベントや組織を標的とする北朝鮮関連のAPTグループに対する優先権は非常に限られています。 これが観測された1つの事例では、2018年に韓国の平昌冬季オリンピックの前後にオリンピック関連組織 を標的とした ファイルレスマルウェア「Gold Dragon」を使用したキャンペーンでは、キャンペーンは情報収集に重点を置いていたと思われ、これは北朝鮮が国家主導で韓国に対して行ったサイバーキャンペーンの大部分と一致しており、日常的な作戦の一部であった可能性があります。

さらに、北朝鮮が過去に国家主導したAPTキャンペーンの大部分は、世界市場へのアクセスを制限する厳しい国際制裁の下で低迷し続けている平壌の政権の 収益創出 に焦点を当ててきた。 これらの攻撃は、主に 金融機関の侵害、 ATMのキャッシュアウトスキームまたは暗号通貨の盗難で構成されています。 ランサムウェアやWannaCryキャンペーンなどの他の形態の恐喝攻撃を除けば、破壊的または破壊的な攻撃は収益化が困難であるため、政権にとって関心や優先順位が低い可能性があります。

2022年のワールドカップに関して、北朝鮮はオリンピックに対して破壊的または破壊的な活動に従事する政治的動機を欠いている可能性が高い。 北朝鮮は2021年5月にCOVID-19への懸念からワールドカップ予選を 自主的に撤退した が、ロシアとは異なり、組織団体が正式に参加を禁止されたことはない。 さらに、カタールは、少なくとも2019年末に発効した最近の国連(UN) 制裁 が課されるまでは、何千人もの北朝鮮人移民労働者を受け入れてきた。 これらの労働者の多くは、中国企業が建設した前述の ルサイルスタジアム を含む、次のワールドカップゲームの会場 の建設 に不可欠でした。全体として、カタールは多くの政府よりも北朝鮮との直接的な関係を何らかの形で継続する意欲があることが証明されており、北朝鮮がワールドカップに対する破壊的なサイバー攻撃を通じて関係を悪化させることに利益をもたらす可能性は低い。

サイバー犯罪の脅威

前述したように、2022年のFIFAワールドカップのような大規模な国際スポーツイベントは、金銭的な動機を持つサイバー犯罪者にとって魅力的なターゲットです。 2022 FIFAワールドカップに対するサイバー犯罪の脅威には、トーナメント関連のフィッシング攻撃、マルウェアを配布してユーザーデータを収集できるイベント周辺の偽のモバイルアプリケーション、ダークウェブマーケットや偽造チケットのショップでの販売、ランサムウェアの脅威が含まれますが、これらに限定されません。

フィッシングと詐欺

サイバー犯罪者は、2022 FIFAワールドカップをフィッシング攻撃やその他の詐欺行為の誘惑として利用しています。 サイバー犯罪者は、2022 FIFAワールドカップに関連する詐欺的なWebサイトを作成していることはほぼ確実で、フィッシングキャンペーンで使用して、被害者から支払いカードの詳細などの財務情報を含むPIIを収集したり、マルウェアを配布したりする可能性があります。

2021年10月31日から2022年10月31日の間に、以下のことが確認されました。

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_1.png

図1:正規のqatar2022[.]品質保証 他の疑わしいWebサイトにリダイレクトされるWebサイト(出典:qatar2022[.]プロ)

2021年10月31日から2022年10月31日の間に、2022 FIFAワールドカップのフィッシングキャンペーンに関する言及が669件確認されました。 これらのフィッシング攻撃は、組織と個人の両方を標的にしていますが、トーナメントが近づくにつれて、フィッシングの試みは個人を標的にすることに集中する可能性が非常に高いです。 個人を標的としたフィッシング攻撃は、トーナメントのさまざまな要素に関連しています。これには、ゲームのチケット(通常は「チケットプレゼント」と呼ばれるもの。トーナメント開始時の無料ストリーミングサービス。賭けのウェブサイト;ビザや 旅行、ホテル、レストランの予約など、トーナメントに隣接するアイテム。 2021年11月、Kasperskyは、2021年8月15日から10月15日の間に、主に組織を標的としたフィッシングメールを11,000通検出したと 報告 しました。これは、2022 FIFAワールドカップの商品やサービスの提供契約の入札を招き、受信者が参加するための手数料を支払うよう求められていました。

サイバー犯罪者が使用する別の攻撃ベクトルは、カタールのデリバリーとレガシー最高委員会(AppleGoogle Play)が作成した「Hayya to Qatar 2022」モバイルアプリケーションなど、正規のモバイルアプリケーションになりすました詐欺的なモバイルアプリケーションを作成することです。 2022 FIFAワールドカップの公式アプリケーションを装った複数のモバイルアプリケーション を特定し 、数千回もダウンロードされています。 これらのモバイルアプリケーションの分析は行っていませんが、カタールの配信とレガシーの最高委員会やFIFAが作成したような2022 FIFAワールドカップの公式モバイルアプリケーションのみをダウンロードすることを強くお勧めします。

ダークウェブのアクティビティ

2021年10月31日から2022年10月31日の間に、ダークウェブの特別アクセスフォーラムで2022 FIFAワールドカップに関する言及を277件確認しました。 2022 FIFAワールドカップのチケットを販売していると主張する個人や、チケットを購入するために投稿する個人についての議論が観察されました。 また、カタールのドーハに本社を置く国営のグローバルスポーツおよびエンターテインメントネットワークであるbeIN CONNECTの2つのアカウントのログイン情報が侵害された可能性が高いと考えられる情報を共有している人物が、「SAVE FOR WORLD CUP」と記載している人物も確認されました。

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_2.png

図2:2022 FIFAワールドカップのチケット販売を宣伝するダークウェブフォーラムへの投稿例(出典:Recorded Future)

もう1つの注目すべき投稿には、2022年10月4日に「xAcordx」が悪意のある.docを宣伝するCracked Forumへの投稿が含まれます すべてのウイルス対策ソリューションで完全に検出不可能(FUD)であると主張されているファイル、Gmailやその他の一般的な電子メールプロバイダーを介して送信できるファイル、および「実行時に任意のファイルをダウンロードして実行する[原文ママ]」を悪用します。 このファイルは、1つのフルFUDビルドで600ドル、ビルダーで2,400ドルで宣伝されており、毎週の更新で無制限のビルドがFUDステータスを維持できます。 この投稿では、「ワールドカップ」や「ワールドカップ予選」など、さまざまなルアーを宣伝しており、2022 FIFAワールドカップが悪意のあるドキュメントのルアーとして使用されていることを示しています。 脅威アクターは、エクスプロイトの機能を示す概念実証ビデオもリストに含まれています。

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_3.png

図3:xAcordxが宣伝する機能によるエクスプロイト(出典:Cracked Forum)

さらに、 Recorded FutureのIdentity Intelligence Moduleは 、14の一意の*@qatar2022[.]品質保証 クリアネットとダークウェブの両方のソースのメールアドレス(8つの一意のメールアドレスとパスワードが関連付けられているものを含む)。 これらの資格情報の漏洩は、 GoNitro Database DumpCit0day DumpShareThis Data DumpZyngaデータダンプDropbox資格情報ダンプカタール国立銀行データダンプなどのデータベースダンプに含まれていましたが、他の資格情報はVidarなどのインフォスティーラーマルウェアによって盗まれました。 認証情報の漏洩は、脅威アクターが組織への初期アクセスを取得したり、ソーシャルエンジニアリング、スピアフィッシング、ビジネスメール詐欺(BEC)などの追加の不正行為を実行したりするために悪用される可能性があります。 ただし、前述の侵害でメールアドレスに関連付けられたパスワードは、所有者がqatar2022[.]品質保証 別のオンラインサービスのメールアドレスであり、必ずしも所有者のメールアカウントまたは企業ネットワークのパスワードではありません。 オンラインサービスごとに一意のパスワードを使用することで、漏洩した認証情報が脅威アクターによって複数のオンラインサービスにアクセスするために使用されるリスクが軽減されます。

最後に、チケットへの269の参照を特定しました[.]FIFA[.]コム そしてhayyar[.]カタール2022[.]品質保証 ダークウェブショップ、特にRussian Market、Genesis Store、2easy Shopで。 これらの2つのドメインは、それぞれ2022 FIFAワールドカップのチケットの購入とハイヤカードの申請に使用されます。 すべてのトーナメント訪問者は、カタールへの入国、試合スタジアムへのアクセス、および試合日の公共交通機関の無料利用のために、 ハイヤカード が必要です。 Hayyaカードを申請する訪問者は、個人情報 を提供する必要があります 。 以下で説明するように、これらのダークウェブショップは、侵害されたアカウントの詳細とユーザーログのパッケージを販売しています。サイバー犯罪者は、これらのショップやその他のダークウェブショップやマーケットプレイスから侵害されたアカウントの詳細を購入する可能性があり、PIIデータや試合チケットの盗難につながる可能性があります。

ランサムウェア

2022 FIFAワールドカップを標的にする意図を示すランサムウェアグループによる特定の脅威は確認されていませんが、そのような会話が公にされることは想定していません。 2022年冬季オリンピックへの脅威に関するレポートで説明したように、2022 FIFAワールドカップは、トーナメントに関与する組織がトーナメントをできるだけスムーズに進行させたいと考えているため、大きな利益が得られる可能性があるため、ランサムウェア攻撃の魅力的なターゲットと見なされる可能性があります。潜在的なターゲットには、運輸、メディア、ヘルスケア、物流、セキュリティセクターなど、2022 FIFAワールドカップをサポートする組織が含まれる可能性があります。 しかし、ランサムウェアのオペレーターは、大規模な組織的な攻撃を行うのではなく、アクセスのしやすさ、機会、多額の身代金を支払う能力などの要素に基づいて、日和見的に被害者を標的にしようとする可能性が高くなります。 ランサムウェアファミリー用のハンティングパッケージを多数作成し、ランサムウェアのサンプルや動作を検出するために使用しています。

前述したように、ロシアがウクライナとの戦争やカタールとの緊張した関係を理由に2022 FIFAワールドカップへの参加を禁止された結果、ロシア政府がKillNetやXakNetなどのナショナリズム的なロシアの「ハクティビスト」グループやランサムウェアオペレーターによる破壊的な攻撃を奨励するか、そうでなければ暗黙のうちに承認する可能性を排除することはできません。 このような脅威集団は、金銭的な動機によるものであれ、政治的な動機によるものであれ、時折、ロシア政府の戦略目標を推進し、もっともらしい否定を提供することができる有用な代理勢力である。 ロシア国家とロシアを拠点とするサイバー犯罪者との関係については、以前、レポート「Dark Covenant: Connections Between the Russian State and Criminal Actors」で取りまとめました。

インフルエンス作戦

カタールのユニークな地政学的位置の結果として、2022年のFIFAワールドカップに関わる影響力工作は、二国間関係を強調し促進することでカタールを「勝ち取る」ことを試みる一方で、カタールとインフルエンサーの敵との間の緊張を生み出し、悪化させる可能性が高い。 上述した通り、カタールは イラン中国と良好な関係を維持しており、以前は ロシア とも良好な関係を築いていたが、カタールがウクライナの領土保全を支持する国々の連合に味方した結果、緊張状態になっている。 一方、カタールは 、米国英国ドイツ、その他多くの西側諸国と良好な関係を築いています。 カタールは、ロシアの対ウクライナ戦争中、ヨーロッパがロシア産ガス輸出に依存していた代わりの手段 も提供している

ポジティブな影響

イラン、中国、ロシアが2022年FIFAワールドカップ開催カタールへの支持を強調し、国営メディアを通じて二国間関係を促進する努力をしているのを私たちは見てきました。 例えば:

悪影響

西側諸国( ドイツデンマークフランスなど)は、カタールの人権問題を引き合いに出して、カタールによる2022 FIFAワールドカップの開催に批判的でした。 この批判は、敵対国が分裂を浮き彫りにし、カタールと西側との間の緊張を悪化させる機会を提供します。 中国がこの機会を利用しているのを我々は見ていないが、イランとロシアは、カタールに対する欧米の批判を強調するために、国営メディア組織を利用している。 例えば:

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_4.png

図4:イラン、中国、ロシアの国営メディアによる2022年FIFAワールドカップへの言及のセンチメント分析(出典:Recorded Future)

エンドレスカゲロウ

イランでは、2019年5月にシチズン・ラボが 暴露 した「エンドレス・カゲロウ」影響工作のように、カタールとその国際的パートナーや地域の近隣諸国との間に不和を植え付けるために、影響工作を利用した特に前例がある。 この影響工作は、少なくとも2016年初頭から、サウジアラビア、米国、イスラエルなどに批判的な虚偽で分裂的な情報を広めることで地政学的緊張を増幅するために使われた「イランと連携する偽のウェブサイトとオンラインのペルソナのネットワーク」だった。

エンドレス・カゲロウの影響工作には、2022年のFIFAワールドカップに特化した偽情報の1つの事例、すなわち、アラブの6カ国がFIFAに2022年のFIFAワールドカップを開催するカタールの権利を剥奪するよう求めたというものが含まれていました。 この偽情報は、2017年6月のカタール外交危機後、カタールとアラブ諸国間の地政学的緊張を悪化させようと試み、湾岸諸国や、サウジアラビア、アラブ首長国連邦(UAE)、エジプト、バーレーンや他の国々を含む他のアラブ諸国が、カタールとの外交関係を 断絶 し、カタールを"地域を不安定化することを狙った様々なテロリストや宗派集団を[受け入れている]と非難した。 ムスリム同胞団、アルカイダ、イスラム国、および湾岸諸国内のイランが支援する代理グループを含む。 2022 FIFAワールドカップに関する偽情報の1件は、サウジアラビアとカタールの緊張を悪化させることを目的とした、シチズンラボが 特定 した11件の虚偽の記事の一部でした。

2022年FIFAワールドカップをめぐるエンドレス・カゲロウの偽情報キャンペーンは、2017年7月15日、アラブ6カ国がFIFAに2022年FIFAワールドカップの開催権を剥奪するようFIFAに求めたと主張する偽のThe Local記事の作成に関与していた。 この不正な記事は、telocal-xt3c[.]com、 代わりに thelocal[.]コム。 その後、ロイターは2017年7月16日、本物でないThe Localの記事を引用して、「ボイコット諸国がFIFAに2022年FIFAワールドカップの剥奪を要求し、カタールの2022年FIFAワールドカップ-報告書」という見出しの記事を掲載した。

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_5.png

図5:2022 FIFAワールドカップに関する偽のThe Local記事を引用したロイターの記事(情報源: ロイター)

その後、エンドレス・カゲロウのオンラインペルソナである@Shammari_Tariqが、 Buzzfeed Communityに記事を掲載し、ユーザーが投稿したコンテンツを許可し、記事を増幅し、本物でないThe Localの記事とロイターの記事を引用した。 もう一人のエンドレス・カゲロウのオンライン・ペルソナである@GerouxMは、 Medium に記事を掲載し、主張を繰り返し、本物でないThe Localの記事を引用した。 さらに、ロイターの記事が掲載された後、 グローバルニュースエルサレムポストブリーチャーレポートハアレツ などの他のいくつかのメディアもこの話を報道し、偽情報をより多くの視聴者に急速に広めました。

物理的な脅威

カタールは、2022年FIFAワールドカップの実質的な治安機構と世界的なテロ組織の能力の低下から、2022年FIFAワールドカップ中に大きな物理的安全保障上の脅威に直面する可能性は低い。 外部から発信されたテロ攻撃は、以下に列挙する理由から可能性は低いですが、最も大きな潜在的影響をもたらす可能性があり、無人航空機システム(UAS)は、参加者を標的にしてイベントを混乱させるためのユニークな脅威ベクトルを表しています。 カタールは、防御を強化することでこのリスクを軽減するための措置を講じており、2022年のFIFAワールドカップの期間中、特にUAS攻撃に対する防御のために、複数の国から安全保障支援を受けています。

テロ戦術とUAS

テロ攻撃は通常、型破りな方法を用いて死傷者を出し、社会を混乱させ、経済に損害を与えます。 これらの戦術は、テロリストが活動する環境によって異なりますが、 単独のナイフ攻撃組織的な小火器作戦自爆テロ車両体当たり、いわゆる「自爆ドローン」を含む UASが含まれます。 UASの使用は、多くの国で容易に利用可能な商用の既製技術を利用しており、爆発物のペイロード を配備 したり、標的偵察 を行った りするために変更できるため、テロ作戦における潜在的に重要な進化を表しています。 また、UASは視線 を越えて 操作することもでき、オペレーターは比較的人里離れた場所からUASを制御することができます。 より高度な無人航空機、例えば、イランが、イエメンのサウジアラビア主導連合に対して使用するため、アンサール・アラー(フーシ派)運動に 供給 したと報じられているものなどは、長距離を移動でき、カタール領土に到達できる可能性がある。 2018年12月にロンドンのガトウィック空港付近を飛行し、2016年と2019年にドバイ空港付近を飛行したUASが停止を引き起こしたように、非武装のUASでさえも重要なインフラストラクチャに脅威を与える可能性があります。

近年、カタールは最小限のテロ攻撃に直面している。 米国国務省によると、 2020 年(カタールがそのようなデータを公開した最新の年)または 2019年には、カタールで報告されたテロ事件はありませんでした。 Recorded Futureの地政学的情報モジュールは 、過去3年間にカタールでのテロ攻撃に関する注目すべき言及を特定していませんでした。 また、カタールに対する最近のUAS攻撃も発生していません。 しかし、フーシ派は、過去数年間、近隣のサウジアラビアとUAEの標的に対してUASを使用している。 例えば、フーシ派は2022年の1月と2月にUAEに対してUAS攻撃 を開始し 、石油施設やパイプライン、空港など、サウジアラビアの重要なインフラを定期的に 標的 にしています。 ISILなどのイスラム主義テロリスト集団もUAS を使用しており 、国連のテロ対策担当最高責任者であるウラジーミル・ボロンコフ氏は2022年8月、国連安全保障理事会で、ISILは「イラク北部で報告されているものを含め、過去1年間でUASの使用も大幅に増加した」 と述べた と報じられている。

テロリスト集団

2017年6月、サウジアラビア、アラブ首長国連邦、エジプト、ヨルダン、バーレーンを含むがこれに限定されないいくつかのアラブ諸国は、カタールがムスリム同胞団、アルカイダ、ISILや、サウジアラビア東部のカティーフ州でイランが支援する集団を含む「地域を不安定化することを狙った様々なテロリストや宗派集団」を受け入れていると非難し、カタールとの外交関係 を断絶 した。 この決裂は、 米国議会議員財務省職員外交政策専門家によって表明された同様の懸念が何年にもわたって続いた後に起こった。 カタールと湾岸諸国との関係は2021年1月に回復し始め、米国政府はカタールのカウンターパート と協力して アラビア半島へのテロ資金の流れを 食い止め ており、ドーハがこれらの懸念に対処するための措置を講じていることを示しています。 それにもかかわらず、本報告書の「影響工作」のセクションで論じたように、カタールの独特な地政学的位置、特にイランとの良好な関係が、カタールに影響を与えたテロ攻撃の欠如に貢献している可能性が高い。

2022年のFIFAワールドカップに対する外部からのテロ攻撃はありそうにないが、この出来事は、西側諸国とイスラム教徒が多数派のアラブ諸国との間の世界的な協力と関係を象徴する集会に対する象徴的な攻撃の機会を提供するものである。 ワールドカップへの攻撃は、以下のテロ組織や攻撃者の歴史的な標的目標と一致していることに留意します。

セキュリティ防御

カタールは、2022年のFIFAワールドカップに向けて、自国の安全保障を強化しています。 政府は監視と警備パトロールを強化するために自国のドローン を使用する 予定であり、カタール政府は2022年10月に全国で行われた5日間の治安演習で32,000人の政府治安部隊と17,000人の民間治安部隊を 配備 したと報じられており、カタールの治安防衛の規模を示しています。 さらに、カタールは2022年FIFAワールドカップの期間中、以下のような複数の国から安全保障支援を受けています。

2022 FIFAワールドカップのテロの脅威を減らすもう一つの緩和要因は、カタールの地理的な方向性です。 カタールはサウジアラビアと陸路で国境を接しているだけで、ペルシャ湾の半島です。 サウジアラビアとの国境は孤立しており、平坦な砂漠の地形を持ち、治安部隊が支配するのに十分なほど小さいです。 バーレーンとUAEの国境は、ペルシャ湾を挟んでおよそ10マイルから20マイルしか離れていないが、これらの国々は、サウジアラビア同様、カタールと友好的な関係を築いており、カタールを標的にしようとするテロ集団の主要なインキュベーターではない。 テロ組織がカタールに侵入する機会が不足していることと、上記のカタールの安全保障防御が、2022 FIFAワールドカップに対するテロの脅威を緩和する(ただし、排除するわけではない)。

今後の展望

カタールは、論争の的となる国際舞台で独自の地政学的位置を占めているため、中国、ロシア、イラン、北朝鮮の国家支援を受けたAPTグループが、ロシアが最大の動機を持っているにもかかわらず、2022 FIFAワールドカップに対して破壊的な攻撃を行う可能性は低い。 それどころか、ナショナリズム的なロシアのハクティビストグループやランサムウェアのオペレーターが、トーナメントに対して破壊的な攻撃を行う可能性があり、前述のように、クレムリンにもっともらしい否定を与える可能性があります。

サイバー犯罪者のフィッシング攻撃は、2022 FIFAワールドカップのトーナメント期間中、ほぼ確実に続き、トーナメント終了後に分散します。 トーナメントをテーマにした企業を標的としたフィッシング攻撃が、トーナメントが間もなく始まることを考えると、被害者を招いて契約に入札したり、トーナメントに商品やサービスを提供したりするルアーが引き続き使用される可能性は非常に低いです。

イランとロシアは、カタールで開催される大会に批判的なカタールと西側諸国との間の分裂を強調し、緊張を悪化させ続ける可能性が非常に高い一方で、自国の二国間関係も促進する可能性が高い。 さらに、イラン、中国、ロシアは、西側が他国に「西洋の価値観」を押し付けようとしている例として、将来の影響工作に2022年のFIFAワールドカップを利用する可能性が高い。

最後に、上記の要因に基づいて、カタールは2022年のFIFAワールドカップ中に大きな物理的セキュリティの脅威に直面する可能性は低いです。 イラン、中国、ロシアは、談話を通じてカタールとの二国間関係を強調し、推進しているが、アメリカ、イギリス、フランス、イタリア、トルコなどの国々は、大会のためにカタールに物質的な安全保障支援を提供している。 この安全保障支援は、2022年3月に米国がカタールを「 主要な非NATO同盟国 」に正式に指定したことに加えて、他の 安全保障協力 を基盤としており、カタールと西側諸国との間のさらなる安全保障協力につながる可能性があります。

このレポートで使用されているソースは、Recorded Future® Platform とオープン ソースです。