Intellexaのグローバルコーポレートウェブ

注: これは 2026 年 2 月 20 日に軽微な修正を加えて更新されました。

Executive Summary

Insikt Group Intellexa およびその広範な関連会社ネットワークに関係する複数の個人およびエンティティを特定しました。 これらのつながりは、バックエンド開発、インフラストラクチャのセットアップ、会社の設立など、技術、運用、企業の役割にわたります。Insikt Group輸出入データを使用して、Intellexa製品の顧客への出荷を促進した、以前に報告されたチェコのクラスターにリンクされた1つの を特定しました。 少なくとも 1 つの事例では、エンド ユーザーへの直接配送が行われ、カザフスタンとフィリピンの追加の が製品の輸入に関与していたようで、ネットワークの足跡が拡大していることを示しています。 広告部門におけるさらに2つの は、「アラジン」広告ベースの感染ベクトルに関連している可能性があります。このベクトルは、2022年に漏洩した請求書を通じてチェコのクラスターと以前に関連付けられていました。 さらに、Recorded Future の独自の情報により、イラクでの配備に関する新たな証拠を含む、複数の国で Predator スパイウェアの活動が継続していることが明らかになりました。

Predator などの傭兵スパイウェアが国内で継続的に使用されていると、世界中でプライバシー、法律、物理的なセキュリティに重大なリスクが生じます。公に記録されているほとんどの事件では依然として民間社会が主な標的となっているが、最近の証拠によれば、経営幹部や、かなりの情報価値を持つその他の著名人も、ますます標的にされていることが分かっている。 Predator のライセンス モデルは高額なため、オペレーターは Predator の導入を価値の高い戦略的ターゲットに限定する傾向があり、政治家、ビジネス リーダー、機密性の高い役割を担う個人のリスクが高まります。一方、政治的反対勢力に対するスパイウェアの広範かつおそらく違法な使用は、ポーランドやギリシャを含むいくつかの欧州連合（EU）加盟国で引き続き調査中の緊急の問題となっている。

Insikt Group企業が地政学的な境界線に沿って分裂し、バルカン化が進むなど、いくつかの主要な傾向がスパイウェアのエコシステムを形成していると評価しています。制裁を受けた の中には、買収を通じて新たな正当性を求める企業もあれば、監視が弱い地域に移転する企業 も あります ( 1、2 )。それにもかかわらず、促進者の中核ネットワークが業界の運営を支え続けています。さらに、高価値のエクスプロイト技術をめぐる競争の激化と秘密主義の高まりにより、汚職、内部者による漏洩、スパイウェアベンダー自身への攻撃のリスクが高まっています。標的は従来の民間団体の人物を超えて、企業のリーダーや民間部門の個人にまで拡大しており（ 1、2 ） 、公に見える事例は、はるかに大きく隠された地球規模のエコシステムのほんの一部に過ぎないことを示唆している。

主な調査結果

• Insikt Group は、特に前述のチェコのクラスター内で、Intellexa のより広範な企業ネットワークに関係している可能性が非常に高い追加の企業を発見しました。これらの の少なくとも 1 つは、Intellexa 製品を顧客に出荷するために使用されていたようで、Intellexa のグローバルなビジネス構造に関するさらなる洞察を提供します。
• 新たに特定された 2 つの企業は広告業界で事業を展開しているようで、以前報告された「アラジン」として知られる広告ベースの感染ベクトルに関連している可能性があります。このベクトルは、2022 年に漏洩した請求書を通じてチェコのクラスターと以前に関連付けられており、そのクラスターにリンクされている個人への概念実証の支払いが示されています。
• 輸出入データベースの分析により、新たに特定された企業の 1 つが、直接または仲介業者を通じて Intellexa 製品を最終顧客に配送するために使用されていたことが判明しました。この調査では、カザフスタンとフィリピンに所在する 2 つの追加エンティティも明らかになりました。

背景

Predator は、Android と iPhone の両方のデバイスをターゲットとする高度な傭兵スパイウェアであり、少なくとも 2019 年から活動しています。当初は Cytrox によって作成され、現在は Intellexa 関連の企業のより広範なネットワークを通じて管理および配布されていると思われる Predator は、適応性とステルス性を考慮して設計されており、情報漏洩 / 侵害デバイスにほとんど証拠を残さず、その悪用に関する外部の調査を複雑にしています。 Predator を導入すると、デバイスのマイク、カメラ、連絡先、メッセージ、写真、ビデオなどすべてのデータに完全にアクセスできるようになります。モジュール式の Python ベースのアーキテクチャにより、オペレーターはデバイスを再利用することなくリモートで機能を追加できます。

プレデターは、「1 クリック」および「ゼロ クリック」攻撃ベクトルを通じて配信される可能性があります。「1 クリック」攻撃は、ユーザーの操作を必要とする悪意のあるリンクを含むソーシャル エンジニアリング メッセージに依存します ( 1 、 2 、 3 )。一方、「 Predator Files 」で説明されている「ゼロ クリック」攻撃では、ネットワーク インジェクションや近接ベースの方法など、ターゲットからのアクションを必要としないTTPsが使用されます。 しかし、NSO Group Pegasus で見られるような、ユーザーの介入なしにメッセージング アプリを通じてデバイスに情報漏洩 / 侵入できる、完全にリモートの「ゼロクリック」エクスプロイト ( FORCEDENTRYやBLASTPASSなど) を Predator が使用したという確認された事例はありません。

過去2年間で、Insikt Group 、アンゴラ、アルメニア、ボツワナ、コンゴ民主共和国、エジプト、インドネシア、カザフスタン、モンゴル、モザンビーク、オマーン、フィリピン、サウジアラビア、トリニダード・ トバゴ など、10か国以上でプレデターの疑いのある運営者を特定しました（ 1、2 ）。さらに調査を進めると、ギリシャ、スーダン、ベトナムなど、他の多くの国でもプレデターが配備され、オペレーターが活動している証拠が明らかになりました(図 1 を参照)。特にギリシャでは、ジャーナリスト、政治家、実業家、その他の著名人に対するプレデターの使用（「プレデターゲート」スキャンダルとして知られる）により、複数の調査と法的手続きが行われており、現在も継続中です。

図1：プレデターの配備とオペレーターの活動の証拠がある国（情報源： Recorded Future ）

プレデターは公式にはテロ対策や法執行機関での使用を目的として販売されていますが、調査により、ジャーナリスト、活動家、政治家などの民間社会の人物に対して一貫したパターンで使用されていることが 明らか になりました (1、2、3、4) 。プレデターなどの傭兵スパイウェアの広範な蔓延、最近のiPhoneオペレーティングシステムのアップデートによってさらに悪化した検知の難しさ、そして被害者のサポートと認識の限界を考えると、以前の報告書で記録された事例は、全体の悪用のほんの一部に過ぎないと考えられます。 国境を越えた標的攻撃のリスクを強調することが重要です。その例として、ベトナムと関係のある攻撃者が EU 職員や欧州議会議員を標的にしたとされる Predator や、Pegasus などの他の傭兵スパイウェアが挙げられます。最後に、スパイウェアベンダーはそれぞれ異なる制御メカニズムを実装している可能性があるが、Memento Labs の CEO の発言により、その有効性に疑問が生じている。同社の顧客の 1 社が、廃止されるはずだった製品を使い続けていたと報じられているためである。

Predator のインフラストラクチャとTTPsに関する公開レポートが増加し、Intellexa の企業構造への注目が高まっているにもかかわらず、Predator の活動は継続していますが、その活動の全容は依然として不明です。 この傾向は、米国の制裁措置、 EU の決議、Intellexa 関連会社に対する米国のビザ禁止、ポール・モール・プロセスの開始などの措置の後も続いており、特に iPhone に対するエクスプロイト コストは高くなる可能性が高い。これは、特に輸出規制、継続的な技術革新、制裁や帰属の特定を妨害するために設計されたますます複雑な企業構造（フロント企業や無知な取締役など）に直面している国々における、スパイウェアの需要の高まりを反映していると考えられます。

注目すべきは、実際の支払いや条件は不明瞭であるものの、iPhone などのスマートフォンのエクスプロイト チェーンの価格は数百万ドルに達することが多いことです。たとえば、ロシアのゼロデイ ブローカーは、最新の iPhone や Android デバイスに対するゼロデイ リモート コード実行 (RCE) に対して最大 2,000 万ドルを提示しているとの報告や、アラブ首長国連邦 (UAE) を拠点とするスタートアップ企業 Advanced Security Solutions が、SMS で配信されるスマートフォン ハッキング ツールに対して最大 2,000 万ドルを提示しているとの報告があります。

結局のところ、Intellexa のような企業が独自のエクスプロイトを開発しているのか、それとも他社から入手しているのか（もしそうなら、コストと条件はどの程度か）は不明であり、他に誰がこれらのプロバイダーと連携しているのかも不明です。2024年の報告書では、ロシアが支援するグループAPT29（Insikt GroupはBlueBravoとして追跡）がIntellexaやNSOと同じエクスプロイトを使用した可能性があると指摘されており、この問題がなぜ注目に値するのかを強調し、いくつかの重要な疑問を提起しています。

Intellexaの企業Webと活動状況のマッピング

Intellexa のような傭兵スパイウェアベンダーの企業構造をマッピングすることは、大きな課題を伴います。図2に示されているように、これらの は通常、複数の管轄区域にまたがるダミー会社とフロント会社の複雑なネットワークを通じて運営されています。 彼らは所有権構造を頻繁に変更し、曖昧さを利用し、さまざまな難読化を使用して違反を回避します。 その結果、Intellexa の組織概要に関する情報は不完全で不透明になり、急速に時代遅れになることがよくあります。

図 2 : Intellexa に関連する企業の所在地 (情報源: Recorded Future ; Amnesty International )

このレポートは、Intellexa の企業 Web の構造と運用に関する新たな洞察を提供することで、既存の知識ギャップの一部を埋めることを目指しています。このレポートでは、Intellexa と関係があると疑われる従業員に焦点を当て、フロント ベンダーとして機能した、または現在も機能している可能性のある追加の企業 (AdInt 関連の攻撃ベクトルに関連している可能性のある 2 社を含む) を特定し、Intellexa 関連企業が製品をエンド ユーザーに出荷する方法の詳細を示します。

Intellexaの従業員と企業分断のリスク

Insikt Group は、独自の Recorded Future データを使用して、部分的に特定された複数の従業員に関するより深い洞察を獲得しました。そのうち3人はギリシャに、1人は北マケドニアに拠点を置いているとみられる。入手可能な情報によると、これらの個人は、少なくとも部分的には、インフラストラクチャ、開発、法律、および IT サポート関連の活動に関与しているようです。

• 最初の人物はギリシャに拠点を置き、物流およびコンサルティング分野にわたる IT 管理の専門的経歴を持ち、Intellexa にリンクされた複数の関連会社の電子メール アドレスを使用しており、さまざまな技術プラットフォームを通じて IT インフラストラクチャへの関与の証拠を示しています。
• 2 人目の個人は、Intellexa のインフラストラクチャ チームの一員であると評価され、Intellexa にリンクされたアカウントを通じて、1 人目と同じシステムから IT 管理サービスにアクセスします。
• 3 人目の人物の電子メールは、Intellexa と関係のある複数の の企業記録に記載されており、いずれも複数の国際法務およびビジネス分野に携わるギリシャ人弁護士が代理人を務めています。
• 4人目はスコピエを拠点とするバックエンド開発者で、過去には地域の通信会社、Cytroxと関係のある「ステルスモード」企業、その後は別の欧州のサイバーセキュリティ企業で勤務し、開発プラットフォームやリポジトリにリンクしたオンライン活動を行っていた。

インテレクサ関連作戦におけるギリシャの役割

注目すべきことに、2023年のプレデターファイルでは以前、アテネがインテレクサの活動の中心地になったと報告されていた。調査によると、プレデターの開発を担当したインテレクサの子会社サイトロックスの元従業員は、アテネにプレデターオペレーターの訓練センターが設立されたと証言した。この施設は当初スコピエに計画されていたが、「ギリシャ系キプロス人」と呼ばれる人物によって監督されていたと伝えられている。漏洩した2021年の商業提案に基づき、包括的なトレーニングと24時間体制のリモート運用・技術サポートが以前に議論されていた。

2025年11月に発表された報告書によると、Intellexaがギリシャのセキュリティ請負業者Krikelのオフィス内で秘密のトレーニングセッションを実施していた疑いがあることが明らかになりました。同社はギリシャでプレデタースパイウェアの入手や使用の促進に関与していたとみられ、これが最終的に「プレデターゲート」として知られる事件の一因となった。盗聴スキャンダルに関する継続中の捜査の一環として、ギリシャ警察のサイバー犯罪課がインテルクサとクリケル両社のギリシャ事務所を捜索した。本稿執筆時点では、「プレデターゲート」に関連する法的手続きは継続中です。

2024年4月のInside Storyの報道によると、Intellexaの元従業員数名は、従業員の報酬の仲介役を務めていたとされるIANUS Consulting、Remote Greece、ADDAPP Technologiesと関係があったとされている。これらの企業とIntellexaの関係の正確な性質は不明ですが、Inside Storyは、コメント要請に対するADDAPP Technologiesの回答が、Apollo TechnologiesやHermes Technologiesなど、Intellexa傘下の が使用しているのと同じ税務上の住所および事業所住所サービスプロバイダーから発信されたと報じました。

傭兵スパイウェアエコシステムにおける企業分裂のリスク

傭兵スパイウェアのエコシステム内、そしてより広い意味では監視業界内の企業の断片化は、構造分析を複雑にするだけでなく、最終的にはエンド ユーザーに影響を及ぼす可能性のある、独特の運用上およびセキュリティ上のリスクをもたらします。これらのリスクは、主に次の 3 つのカテゴリに分類できます。

• セキュリティの脆弱性の増大:企業構造が細分化され、合理化されなくなると、ネットワークの強化は大幅に困難になります。Intellexa のようなケースでは、この複雑さにより、サイバー攻撃やセキュリティの欠陥に対する脆弱性が高まる可能性があります。傭兵スパイウェアベンダーは、少なくとも部分的には、顧客の業務に対する可視性を保持しているように見えることから、これは特に懸念される。このリスクは、以前 NSO グループによって例示された。
• 制裁と秘密作戦による作戦上の制約:制裁と秘密または半秘密作戦の必要性により、これらの 組織が特定の技術や技術支援を入手することがより困難になります。 この制限により、ユーザーは個人のデバイス、サードパーティのプロバイダー、または非公式のチャネルに頼らざるを得なくなり、セキュリティ リスクにさらされる可能性が高まります。
• 従業員関連の露出リスク:前述の個人の例で示したように、Intellexa などの企業に関係する従業員は、二次的な契約や契約業務を通じて、機密情報や情報共有の可能性がある環境を含む外部ネットワークにアクセスする可能性があります。このような重複により、意図せずしてデータの漏洩や情報への不正アクセスの経路が生まれてしまう可能性があります。

「チェコクラスター」の追加要素の解明

Insikt Group は、追加の企業調査を通じて、チェコ共和国で以前に報告された Dvir Horef Hazan に関連する企業群を通じてそのつながりをたどり、Intellexa との関連が非常に高い新たな企業群を特定しました (図 3を参照)。

図3 : PredatorインフラストラクチャとFoxITech sro間の接続(情報源: Investigace.cz; Recorded Future ）

新たに特定された およびこのチェコのクラスターに関連する以前に報告された企業の両方が図 4に示されています。 これらの企業は、より広範な Intellexa ネットワーク内で異なる運用上の役割を果たしているように見えますが、これについては次のセクションで説明します。注目すべきは、以下で説明する 4 つの新しいエンティティに関連付けられたドメインが、2024 年 3 月 8 日から 26 日の間に立て続けにアクティブになったことです。

図 4 : チェコのクラスターにリンクされた Intellexa の企業 Web のさらなるマッピング (情報源: Recorded Future )

PULSE FZCO — サイバーセキュリティコンサルティング

PULSE FZCO社は、ドメインpulse-fzco[.]comに関連付けられています。IPアドレス173[.]236[.]243[.]198でホストされていた(DREAMHOST-AS、米国 [AS26347]) 少なくとも 2024 年 3 月 10 日から本稿執筆時点まで。このIPアドレスは、 shilo[.]euなどの他のIntellexa関連ドメインもホストしています。そしてthalestris[.]ch 、また、このレポートで説明されている新たに特定された企業にリンクされているその他のドメインも含まれます。PULSE FZCO は、アラブ首長国連邦 (UAE) のドバイ国際フリーゾーン庁 (DIFZA) に登録されており、同社の Web サイトによると、「サイバー脅威、データ侵害、不正アクセスからデータを保護するお手伝いをします」と主張しています (図 5 を参照)。

図 5 : PULSE FZCO にリンクされた Web サイト (情報源: URLScan )

Insikt Group が分析した輸出データに基づくと、PULSE FZCO は、Intellexa の顧客に直接、または現地の輸入パートナーを通じて、製品の出荷を容易にするフロント企業として運営されている可能性があります。これについては、 「輸出データによる以前に特定された Intellexa の顧客の追跡」のセクションでさらに詳しく説明します。

興味深いことに、Pulse FZCO の Web サイトには、SefuTech という会社がパートナーの 1 つとしてリストされています。

ゼラスアナリティクス

Zelus Analytics社は、zelus-analytics[.]comというドメインにリンクされています。これは、PULSE FZCO にリンクされたドメインと同じ IP アドレスでホストされていました。ドメインは、少なくとも PULSE FZCO のドメインが登録される 2 日前の 2024 年 3 月 8 日から、その IP アドレスへの解決が停止した 2025 年 10 月 28 日まで、この IP アドレスに解決されていました。Zelus Analyticsのウェブサイトによると、同社は「テキスト、音声、画像、場所、カレンダー、連絡先のメタデータなど、複数の情報源と多様な形式からの大量のデータを処理し、インテリジェンス調査の目的で完全かつ総合的なインテリジェンスイメージを提供するように設計された独自のデータ分析システム」を提供していると主張しています（図6を参照）。 このシステムは TCDA (Target Centric Data Analytics) と呼ばれます。

図6 ：ZelusにリンクされたWebサイト（情報源： Recorded Future ）

特に、ギリシャ神話のゼーロスは献身、競争、羨望、嫉妬、熱意を体現したダイモンであり、「アポロ」や「ヘルメス」など、以前のいくつかのカンパニーもギリシャ神話からインスピレーションを得ていたことを考えると、これは注目に値する詳細です。

Zelus Analytics Web サイトのドキュメント オブジェクト モデル (DOM) 内に、@dvir-horefhazan7938 によってアップロードされた YouTube ビデオに解決されるリンクが見つかりました。このアカウントは、Dvir Horef Hazan に属する可能性が非常に高いです (図 7を参照)。興味深いことに、同じビデオへのリンクがウェブサイトapollowebtech[.]comでも見つかりました。IPアドレス173[.]236[.]243[.]198でホストされている少なくとも2024年3月13日以降。

図7 ：apollowebtech[.]comでホストされているウェブサイトのDOM(情報源: URLScan )

apollowebtech[.]comのウェブサイト、これは、上で述べたIntellexa関連の企業として知られているApollo Technologiesと関係があると思われるが、「世界中の法執行機関や諜報機関への大手プロバイダー」であると主張している（図8を参照）。

図8 ：apollowebtech[.]comにリンクされたウェブサイト(情報源: URLScan )

YouTube ビデオは短く、図 9に示すように、「ソーシャル ネットワーク」のズームイン シーケンスを示しています。その正確な目的は不明ですが、このビデオはウェブサイトに正当性を与えることを意図していたか、単にプレースホルダー要素として機能していた可能性が高いと評価されています。

図 9 : Dvir Horef Hazan にリンクされた YouTube ビデオ (情報源: YouTube)

パルス広告

Pulse Advertise社は、pulseadvertise[.]comというドメインに関連付けられています。IPアドレス173[.]236[.]243[.]198でホストされていた2024 年 3 月 16 日から開始され、執筆時点ではそのアドレスで引き続きアクティブになっています。PULSE FZCO と同様に、Pulse Advertise はアラブ首長国連邦の DIFZA に登録されています。Insikt Group は、Pulse Advertise が「Aladdin」と呼ばれる攻撃ベクトルに関与している可能性があると評価しています。これについては、「「チェコのクラスター」に関連し、AdInt にも関連している可能性のある企業」というセクションで詳細に調査されています。

注目すべきことに、Pulse Advertise に記載されている連絡先番号 (図 10を参照) は、Hadastech sro に関連付けられている番号と一致しています。ギリシャ警察の報告書によると、この会社は Intellexa から不特定のサービスに対して支払いを受けており、2020 年から 2021 年の間に身元不明のウクライナ企業から携帯電話や「その他のネットワーク機器」とされる 40 件の出荷を輸入していました。

図 10 : Google 検索からの Pulse Advertise の結果 (情報源: Google Search)

モーニングスターTEC

最後に、Insikt Groupは、morningstartec[.]comというドメインに関連付けられている別の会社、MorningStar TECを特定しました。IPアドレス173[.]236[.]243[.]198でホストされていた少なくとも2024年3月8日から本稿執筆時点まで。特に、 zelus-analytics[.]comというドメインは、前述の問題は、同日に解決し始めました。同社のウェブサイトによると、MorningStar TEC は「中東を拠点とする成長促進エージェンシー」であり、「創造性、テクノロジー、顧客向け補完製品のバンドルを活用して、成果重視のマーケティング キャンペーンを実施する」ことに特化しています (図 11 を参照)。

図 11: Google 検索による MorningStar TEC の結果 (情報源: Google 検索)

イスラエルの起業家、レヴィ・エイモス（綴りは異なる場合がある）が、MorningStar TEC の取締役として記載されている。彼は、Intellexa との関連で以前にも言及されています。チェコの調査報道機関Investigace.czの報道によると、2020年12月の船積み申告書によると、イスラエルのAmos Levy Consultant Ltd（一部の文書ではAmos Levi Ltdとも呼ばれる）という会社が、ギリシャのIntellexa SAに「コンピューター部品18パレット」を供給していた。伝えられるところによると、この出荷は、ドヴィル・ホレフ・ハザンと関係のあるハダステック社による調達に続くものだった。MorningStar TECは、shilo[.]euドメインに関連する企業であるShilo sroとリンクしています。Insikt Group は以前、Predator の Tier 5 インフラに関連してこれについて報告していました。

Pulse Advertise と同様に、Insikt Group は、Morning Star Tec も「Aladdin」と呼ばれる攻撃ベクトルに関与している可能性があると評価しています。これについては、以下のセクションで詳しく説明します。

「チェコのクラスター」に関連する企業は感染ベクターに関連している可能性がある

前述のように、Pulse Advertise と MorningStar TEC の 2 つの企業が目立っていました。両社の Web サイトを見ると、両社とも広告分野で事業を展開しているようです。同社のウェブサイトによると、Pulse Advertise は「すべての人にとって価値パスの最適化を保証する、最も強力な広告配信とネイティブに統合された SSP [サプライサイドプラットフォーム]」を提供しています (図 12 を参照)。

図 12 : MorningStar TEC にリンクされた Web サイト (情報源: Recorded Future )

一方、モーニングスターTECのビジネスモデルは、従来の広告ではなく、パフォーマンスベースの成果に重点を置いていると言われています（図13を参照）。特に、MorningStar TEC の Web サイトの特定の部分は不適切にプログラムされているようです。たとえば、「Benefits」タブをクリックすると、Web サイトの HTML ファイルのダウンロードが開始されます。

図13 : morningstartec[.]comのウェブサイト(情報源: Recorded Future )

Insikt Group 、これらのエンティティが広告ベースの感染ベクトル、特に「アラジン」と呼ばれるものに関与している可能性があると評価しています。 「アラジン」は、2022年に漏洩したインテレクサの内部文書に基づき、2024年4月にハアレツ紙によって初めて報じられた。これらの文書には、「アラジン」という概念実証システムについて説明されており、これは悪意のあるオンライン広告を通じて標的のiOSおよびAndroidデバイスを感染させることができるように設計されたものだ。特定の被害者に向けて配置または誘導された広告は、エクスプロイトの配信手段として機能しました。漏洩した資料には、システムがターゲティングのために広告ネットワークをどのように活用しているかを示すデモや技術文書のほか、操作するとエクスプロイト チェーンがトリガーされ、スパイウェアがインストールされるおとり広告 (グラフィック デザイナーや活動家を対象とした偽の求人広告など) の例も含まれていました。「アラジン」は、イスラエルのソフトウェアメーカーInsanetが開発した商用監視機能であるSherlockに似ており、Windows、Android、iOSを実行するデバイスに感染する可能性があります。Insikt Group 、「Aladdin」が実際に使用されていることを示すレポートを認識していません。

大まかに言えば、この概念は次のように機能します。潜在的な被害者が広告スロットを含む Web サイトにアクセスすると、サイトはサプライサイド プラットフォーム (SSP) に広告を要求します。次に、広告取引所はさまざまなデマンドサイドプラットフォーム (DSP) から入札を募り、DSP はターゲティングパラメータに基づいて入札に応答します。広告エクスチェンジは最高額の入札を選択し、落札した広告のコンテンツをウェブサイトに配信します。このプロセスにおける主な課題は、意図されたターゲットを正確に特定し、広告オークションに勝って悪意のあるコンテンツがその個人に確実に配信されるようにすることです。

注目すべきは、2025年8月のVsquareレポートには、2022年7月28日付のDvir Horef Hazan氏の会社の1つに発行された請求書が参照されており、そこには「プロジェクトPOC「Aladin」の支払い」という項目が含まれていることだ。このプロジェクトは、2024年にハアレツ紙が報じたIntellexaの概念実証（PoC）に関連していると考えられている。これは、チェコのクラスターが「アラジン」で役割を果たした可能性が高いことを示唆しているが、その関与の正確な性質は依然として不明である。請求書に名前が「Aladin」と記載されていることは注目に値します。

輸出データを通じて、以前に特定されたIntellexaの顧客を追跡

前述のとおり、前述のリストに掲載されている企業のうち少なくとも1社、PULSE FZCOは、フロント企業として活動している可能性があります。 フロント企業として活動している可能性があり、 Insikt Groupが以前に特定したIntellexaの顧客と疑われる企業に直接、または最終顧客に代わってそのような製品を輸入する仲介業者に、Intellexa関連製品の出荷を容易にするために使用されます。

Botswana

Insikt Group輸入記録に基づき、PULSE FZCOが2023年10月にボツワナの情報安全保障局（DIS）に製品を出荷したことを確認した。 注目すべきことに、この部門は以前にも他の監視関連製品の輸入に関与していたことがある。出荷品は比較的一般的な技術用語で説明されていました。報告された出荷額は比較的低いように見えますが、これは輸入データベースのデータが不完全であること、追加のフロントエンティティが関与していること、または商品自体の性質（完全なプラットフォームではなく特定のシステムコンポーネントなど）を反映している可能性があります。注目すべきことに、この出荷が記録されてから約 1 か月後、Insikt Group はボツワナで Predator クラスターに関連する活動の開始を観察しました (図 14 を参照)。

図 14 : ボツワナにおける捕食者関連の活動のタイムライン (情報源: Recorded Future )

Insikt Group は、インフラストラクチャ分析に基づき、ボツワナは少なくとも 2025 年 6 月までは Predator スパイウェアを使い続け、本稿執筆時点でもまだ Predator を使用している可能性があると評価しています。

カザフスタン

2023年10月、PULSE FZCOはカザフスタンのOOO Seven Hills社に製品を出荷しました（図15参照）。出荷額は約6,463,070,090 KZT（約1,240万米ドル）でした。製品の説明は本質的に技術的なものであり、ソフトウェアとハードウェアの両方を網羅していますが、比較的一般的なものになっています (たとえば、「ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС 'АНАЛИЗ ДАННЫХ」)。 「ハードウェアとソフトウェアの複合体「データ分析」」）。同社はこれまでカザフスタンに代わって監視技術の輸入に携わってきた。たとえば、OOO Seven Hillsは、スイスの企業NeoSoftに関連する製品の輸入に関与していたと報じられている。NeoSoftは、複数の国際モバイル加入者識別番号（IMSI）キャッチャー関連のスキャンダルに関与しており、抑圧的な政権に監視ツールを販売または販売しようとした疑いがある。

図 15 : OOO Seven Hills にリンクされた Web サイト (情報源: Recorded Future )

カザフスタンは2023年後半にプレデターの使用者として特定され、2024年2月にInsikt Groupによって公表されました。 同国には、 NSO Group 、 FinFisher 、 RCS Lab などのサイバー監視ベンダーを利用して活動家や政治家を 標的に してきた 実績 がある。

Insikt Group は、インフラストラクチャ分析に基づき、カザフスタンは少なくとも 2025 年 8 月までは Predator スパイウェアを使い続けると評価しています。

フィリピン

2023年9月、PULSE FZCOはフィリピンに拠点を置くComWorks社に約113,532米ドル相当の製品を出荷しました。この会社は、 comworks-inc[.]comというドメインに関連付けられており、そのウェブサイトによると、「さまざまな市場に多様なモバイルソリューションを提供し、パートナーやプリンシパルに付加価値を提供しています」（図16を参照）。2018年現在、ComWorksはフィリピンのトップ1,000社にランクされています。

図 16 : ComWorks にリンクされた Web サイト (情報源: URLScan )

注目すべきは、ComWorks の CEO が Neo-Tech Asia Distribution でも同じ役職を務めており、Insikt Group はさらに従業員の重複や再販に関する協力の可能性の兆候も確認した。

Insikt Group以前、2023年にフィリピンと関連している可能性が非常に高いと評価されたプレデターの顧客を特定し、2024年2月にこの調査結果を公表しました。 この Predator の顧客が本稿執筆時点で引き続きアクティブであるかどうかは不明です。

複数の国で継続中のIntellexa事業

2023年以降、 Insikt GroupなどがIntellexaのPredatorインフラストラクチャについてさまざまな出版物を公表したことを受けて、Intellexaはインフラストラクチャの設定を変更し始め、予想どおり、一部の形式の検知を困難にしました。 たとえば、Insikt Group は仮想プライベート サーバーでホストされているドメインを依然として監視していますが、インフラストラクチャを Cloudflare の背後に隠す動きがあります。全体的に、 Insikt Group 2024 年よりも 2025 年のインフラストラクチャが減少していることを観察しており、ドメイン命名規則の変更によりドメインを特定の地域、ひいては顧客に結び付けることが困難になり、活動が鈍化したことを示唆しています。

全体的に、これにより、観測された捕食者クラスターに関連する活動レベルを評価することがより困難になります。Insikt Group 、 Recorded Future Network Intelligenceを使用して、以前に報告されたモザンビーク関連のクラスターが少なくとも2025年6月下旬までは活動を継続していたと判断しました。

さらに、Predator スパイウェアの顧客に関連付けられた他のクラスター内のいくつかの Tier 4 サーバーは、Tier 5 インフラストラクチャとの通信を継続していました (図 18 を参照)。執筆時点では、サウジアラビア、カザフスタン、アンゴラ、モンゴルに拠点を置くと評価される顧客が依然として Tier 5 インフラストラクチャと通信していることが確認されており、アクティビティが継続していることを示唆しています。対照的に、ボツワナ、トリニダード・トバゴ、エジプトの顧客は、それぞれ2025年6月、5月、3月に通信を停止した。これは、これらの がその頃に Predator スパイウェアの使用を中止したことを示している可能性がありますが、インフラストラクチャの設定を変更または移行しただけである可能性もあります。

図 18 : Predator にリンクされた多層インフラストラクチャ (情報源: Recorded Future )

イラクにおける作戦プレゼンスを裏付ける追加証拠

Insikt Group は以前、Predator 関連のドメインには、ターゲットや関連顧客についての洞察を提供できるキーワードや命名パターンが含まれていることが多いことに気付きました。たとえば、この観察に基づき、Recorded Future Network Intelligence と組み合わせて、Insikt Group はイラクにおける Predator の活動を歴史的に評価し、イラク・クルディスタンの Badinan 地域で話されている Badini 方言に関連するコミュニティまたはグループを指す可能性のある複数のドメインを特定しました。注目すべきは、最初のドメインと 4 番目のドメインが同じ日にアクティブになったのに対し、2 番目と 3 番目のドメインもほぼ同時期に稼働したようだということです。「ガルダルール」は、イラク・クルディスタンのクルド人の歴史とバース党政権時代のペシュメルガ戦闘員の生活を探るドキュメンタリーです。

表1 ：イラクに所在するPredatorの顧客に関連する可能性のあるドメインとIPアドレス（情報源： Recorded Future ）

具体的には、 Insikt Group 、2025 年 6 月の Predator に関するレポートで詳細に説明されている Tier 5 Insikt Groupストラクチャと、イラクに地理的に位置付けられたインターネット サービス プロバイダー (ISP) によって割り当てられた静的 IP アドレスとの間のネットワーク通信を観察しました。 通信パターンは、他の Predator 展開における Tier 4 サーバーと Tier 5 インフラストラクチャ間で一般的に観察されるものと一致しました。

さらに、 Insikt Group 、イラクのIP空間から少なくとも1つのプレデターTier 1サーバー、具体的には169[.]239[.]129[.]23に発信された被害者と思われるトラフィックを特定した。 ドメインeppointment[.]ioをホストしていた2024年4月8日。Insikt Group Insikt Groupまだ Tier 1 から Tier 5 までを結ぶ完全な通信チェーンを観察していませんが、イラクに Predator スパイウェアの顧客が存在し、この顧客は 2025 年まで活動を続ける可能性が高いと中程度の確信を持って評価しています。

背景として、イラク当局、特に対テロサービス（CTS）は、漏洩した文書で「イラク政府代表」が同社の電話ハッキングソリューションを「テスト」することを要求したことが明らかになったように、2014年から2015年頃にHacking Teamの「RCS/Galileo」スパイウェアの調達を試みており、直接的な調達の試みを示唆している。漏洩した顧客更新スプレッドシートには、「INTECH-CONDOR K - イラク・クルディスタン」もアクティブ（2015年6月30日更新）として記載されており、再販業者経由でイラク・クルディスタン地域（KRI）に運用展開されていることを示しています。これを裏付けるように、ドイツメディアは「コンドル」というコード名でイラク北部のクルド当局にスパイウェアが提供されたと報じた。クルディスタン政府は、仲介人ベン・ジャミルを通じてなど、他のスパイウェア販売にも関与しているといわれている。

パキスタンにおける疑わしい活動

Insikt Group は、パキスタンに関連する Predator スパイウェアの使用に関連している可能性のあるインフラストラクチャ指標を特定しました。しかし、特定された指標に基づくと、これらがパキスタン国内またはパキスタンに関連する標的に対して展開されたのか、あるいは顧客がパキスタンから活動していたのかは不明のままです。特定されたインフラ指標に基づき、Insikt Group は、標的はバロチスタン州に居住または関係のある個人に集中していた可能性が高いと評価しています。

軽減策

• 情報漏洩 / 侵入 (IoC) の指標を活用して、過去または進行中の潜在的な感染を特定し、 Recorded Future Intelligence Cloudを使用して Predator やその他のマルウェアを監視します。
• 自分自身の露出だけでなく、間接的に標的にされる可能性のある同僚、友人、家族の露出についても常に警戒を怠らないようにし、集団安全保障の考え方を取り入れましょう。
• スピアフィッシングの試みに対しては十分な注意を払い、対応する前に予期しないメッセージや添付ファイルを確認してください。
• 不要なアプリケーションの使用を制限して、デバイスの攻撃対象領域を減らし、悪意のあるソフトウェアや情報漏洩/侵入ソフトウェアへの露出を最小限に抑えます。
• 既知のセキュリティ脆弱性を緩和するためにオペレーティング システムとアプリのパッチを速やかに適用することで、モバイル デバイスを完全に最新の状態に保ちます。
• 高度なスパイウェアやエクスプロイトベースの攻撃に対するデバイスの防御を強化するには、ロックダウン モードを有効にします。
• 広告ブロックを使用し、広告追跡識別子を制限することで、悪意のある広告や追跡ベースの攻撃ベクトルによる露出を減らします。

今後の展望

Insikt Groupの最新の調査では、Intellexa の企業ネットワークをより深く調査し、異なる業務目的を果たすと思われる相互接続された のネットワークを明らかにしました。 世間の暴露が高まり、その拡散を制限しようとする国際的な措置が取られているにもかかわらず、Intellexa は依然として活動を続けています。これは、傭兵スパイウェア業界がいかにレジリエントかつ適応力に富んだものになっているかを示しています。 調査結果では、プレデターのような高度なスパイウェアの追跡と分析が、エクスプロイトや配信のTTPs進化だけでなく、そのような活動を可能にし、隠蔽する不透明な世界規模の企業構造のせいで、ますます複雑になっていることも明らかになりました。 これにより、こうした能力がより広範囲に普及し、かつては限定的だった攻撃技術がはるかに広範囲に利用可能になります。世界的な断片化、紛争、権力移行の時代において、個人の活動、思考、創造に関する情報が政治的、経済的、社会的な統制の手段となるにつれ、こうした能力に対する需要は高まり続けています。

将来を見据えて、これには含まれていませんが、いくつかの重要なパターンがスパイウェア エコシステムの軌道を形作っているとInsikt Group評価しています。 バルカン化のプロセスが明らかに進行しており、企業は地政学的な線に沿ってますます分裂している。以前は制裁対象だった 一部企業は買収を通じて正当性と欧米市場へのアクセスを求めており（ 1、2 ） 、他の企業は監視の少ない地域へと目を向けている。 この断片化には、市場の絶え間ない入れ替わりが伴います。新しく設立された企業やブランド名を変更した企業が、制裁を受けた企業や廃止された企業に取って代わり、多くの場合、同じ基本業務のフロント企業または継続企業として機能するため、効果的な脅威調査には企業分析と法務分析がますます重要になります。 こうした変化にもかかわらず、中心となる個人やファシリテーターは依然として存在し、さまざまな企業に再び現れ、業界の永続的な法的、財務的、および物流的バックボーンとして機能しています。一方、業界の課題は深刻化しています。スパイウェア技術、特にその悪用能力の価値の高さと、それを取り巻く秘密性により、汚職や内部情報漏洩のリスクが高まり、さらにはスパイウェア傭兵企業自体への攻撃までもが起こっています。最後に、ギリシャのプレデターやイタリアのパラゴンの事件からも明らかなように 、 標的の範囲はジャーナリスト、活動家、政治家を超えて、企業のリーダーや民間部門の人物にまで広がり続けています（ 1、2 ）。こうした展開は、公に見えるものが、はるかに大きく大部分が隠された地球規模のエコシステムのほんの一部に過ぎないことを示唆している。あまり報道されていない側面として、声を上げることでビジネス関係、情報源の機会（ジャーナリズムなど）、または信頼（セキュリティ コミュニティ内など）が危険にさらされる可能性があるため、被害者が個人的および職業的に大きな損失を被るという点があります。

これらの動向は、傭兵スパイウェア活動が継続的に進化、拡散していることを示唆しており、その世界的な影響を緩和するには、継続的な監視、協調的な政策努力、および技術的および法的対策の改善が必要です。

付録A:侵害、ハッキングの指標(IoCs)

ドメイン:
 badinigroup[.]combirura[.]comgardalul[.]comkeep-badinigroups[.]comIP アドレス:
 5[.]253[.]43[.]9238[.]180[.]54[.]7745[.]86[.]231[.]889[.]150[.]57[.]85

Appendix B: MITRE ATT&CK Techniques