2026年11月の米中間選挙を前に、選挙を題材にした悪意あるドメインが急増していると報告されています。サイバーセキュリティ企業Check Point Researchは、今年1月以降に5,000件を超える選挙関連ドメインが新規に立ち上がったと指摘しました。フィッシング、偽寄付サイト、大手メディアのなりすましまで、攻撃の手口は多岐にわたります。
ドメイン急増の実態——「election」と「vote」で異なる動き
Check Point Researchによると、1月時点で「election」という単語を含むドメインは1,300件、「vote」を含むドメインはおよそ3,000件確認されています。4月中旬から5月中旬にかけては「election」が約1,140件で横ばいだった一方、「vote」は4,010件まで急増しました。
研究チームは「ボリュームは11月が近づくにつれて増加しており、より有権者と直接接点を持つ用語へシフトしている」と分析しています。ただし、ドメイン登録の数そのものが直ちに悪意ある用途を意味するわけではない点には注意が必要だと説明されています。
- 1月: 「election」1,300件 / 「vote」約3,000件
- 4月中旬〜5月中旬: 「election」約1,140件 / 「vote」4,010件
- 1月以降の累計: 選挙関連ドメインは5,000件超
ロシア発「Doppelganger」が大手メディアを偽装
Check Pointが具体的な攻撃手口として挙げたのが、ロシア発の作戦「Doppelganger」です。この作戦では、Reuters、The Washington Post、Fox Newsといった権威ある報道機関のサイトを複製し、フェイクニュースを掲載する手法が観測されています。
「AIによる偽情報の新時代において、目的は投票結果そのものを変えることではなく、真実そのものを検証することが難しいと有権者に思い込ませることにある場合が多い」(Check Point Research)
研究チームは、攻撃者が狙うのは「票を数える機械」ではなく「票を投じる人間」だと指摘しています。クローンサイトに偽記事を掲載し、他のメディアが詐欺と気づく前に拾い上げて拡散することを期待していると伝えられています。
なお、関与しているのはロシアだけにとどまらず、他の国家主体も同様の活動に関わっている可能性があるとされています。米政府関係者は過去にも、ロシアのプーチン大統領が米大統領選挙に干渉したと非難してきた経緯があり、今回の中間選挙でも同様の構図が懸念されていると報じられています。
攻撃の主な4類型——フィッシングから候補者なりすましまで
悪意あるドメインの典型的な用途として、Check Pointは以下のパターンを挙げています。
| 攻撃類型 | 内容 |
|---|---|
| フィッシングページ | 情報ポータルを装い認証情報を窃取 |
| 偽寄付サイト | 候補者支援を装い金銭を詐取 |
| 候補者なりすまし | 特定候補者の公式サイトを偽装 |
| 偽情報拡散 | 選挙関連の誤情報を組織的に流布 |
これらは目新しい手口ではないものの、選挙シーズン特有の関心の高さが攻撃成功率を押し上げる要因になり得ます。Check Pointは「脅威自体が新しいわけではなく、その背後にある動機と注目度が通常より格段に高いことが問題だ」とまとめています。
セキュリティ担当者が今やるべきこと
Check Pointは、選挙キャンペーン、選挙運営組織、寄付プラットフォーム、およびその周辺領域に関わる組織に対し、今サイクルを「フィッシング、ブランドなりすまし、認証情報窃取攻撃のリスクが高まる期間」として扱うよう推奨しています。
「vote」系ドメインが1月の約3,000件から4月中旬〜5月中旬には4,010件まで増加していることから、有権者と直接接点を持つキーワードを軸にしたドメインの動向が、引き続き警戒対象となる見通しです。
選挙関連のメールやSNSリンクを取り扱う際は、送信元と遷移先のドメインを慎重に確認することが、Check Pointが示すリスク認識にも沿った対応と言えます。
Doppelganger作戦の運用基盤——Aeza Group経営陣の拘束と米財務省制裁
Doppelganger作戦をめぐっては、運用基盤側でも動きが出ています。同作戦のホスティングを担っていたとされるサンクトペテルブルク拠点のAeza GroupのCEOユーリ・ボゾヤン氏は、ロシア当局に拘束されたと報じられています。共同創業者アルセニー・ペンゼフ氏、従業員のマクシム・オレル氏とタチアナ・ズボワ氏も同時期に拘留され、犯罪集団への参加と麻薬密売未遂の容疑がかけられています。
- 米財務省はAeza Groupに対し、サイバー犯罪インフラ提供を理由に制裁を発動しています
- Aezaは情報窃取マルウェア「Lumma」「Meduza」のサーバーもホストしていたと指摘されています
- 闇市場「BlackSprut」の運用への関与も疑われています
- なりすまし標的には独Der Spiegel、仏Le Parisien、英The Guardianなど欧州メディアも含まれています
米国側の防衛体制——CISA選挙セキュリティ支援の縮小に懸念
米国側のサイバー防衛体制にも懸念が指摘されています。上院情報委員会副委員長のマーク・ワーナー上院議員は、米国土安全保障省傘下のサイバーセキュリティ・インフラセキュリティ庁(CISA)の選挙セキュリティ支援が大幅に縮小しているとして警告を発しています。州・地方当局からは、従来CISAから提供されていたトレーニングや脅威インテリジェンス共有、サイバーセキュリティ支援の水準が低下しているとの報告が相次いでいると伝えられています。
トランプ政権の2027会計年度予算案では、CISAの選挙セキュリティプログラムが情報共有事業や選挙セキュリティアドバイザー職を含めて全廃される方向が示されています。米サイバー軍の証言によれば、イランなど外国の敵対勢力は2026年の選挙を標的にする可能性が高く、AIを活用した攻撃の規模と質も従来より高まっているとされています。
「州が独立して、必要な規模とスピードでインテリジェンス、専門知識、リアルタイムのインシデント報告を入手することは不可能だ」(マーク・ワーナー上院議員)
Q&A
Q. 観測された5,000件超のドメインはすべて悪意あるものですか? ドメイン登録の件数そのものが直ちに悪意を意味するわけではないとCheck Pointは述べています。ただし、選挙関連語を含むドメインはフィッシングページ、偽寄付サイト、候補者なりすまし、偽情報拡散などに用いられるケースが多いと指摘されています。
Q. 「Doppelganger」とはどのような作戦ですか? ロシアが関与しているとされる作戦で、Reuters、The Washington Post、Fox Newsなどの大手メディアサイトを複製し、フェイクニュースを掲載する手法です。他のメディアが詐欺と気づく前に偽記事を拾い上げて拡散することを期待しているとされています。
Q. Check Pointはどの組織にリスク警戒を呼びかけていますか? 選挙キャンペーン、選挙運営組織、寄付プラットフォーム、およびそれらに隣接する組織に対し、フィッシング・ブランドなりすまし・認証情報窃取攻撃が高まる期間として扱うよう促しています。詳細は出典元を参照してください。
出典
- TechRadar — Over 5,000 malicious domains targeting 2026 US Midterm elections spotted going live – and they could be used for fraud, phishing, or worse
- The Record from Recorded Future News — Russia arrests CEO of tech company linked to Doppelgänger disinformation campaign
- Defense One — CISA's sharp reductions in election-security assistance could leave midterms vulnerable, senator says
