Flashpoint分析：脅威アクターが絵文字を「作戦言語」に——検知をすり抜ける新手口の全貌

脅威インテリジェンス企業Flashpointは2026年4月9日、脅威アクターがTelegram、Discord、地下フォーラムなどで絵文字を通信の隠蔽・調整・難読化に利用していることを分析レポートで報告した。

パキスタンと関連するAPTグループUTA0137は、Discordを通じて絵文字をコマンドに変換する「Disgomoji」マルウェアを使用した。カメラ絵文字でスクリーンショット撮影、炎の絵文字でファイル窃取、ドクロ絵文字でプロセス終了といった操作が実行される。絵文字はキーワードフィルターの回避、多言語環境での連絡、金融詐欺・認証情報・ツール提供の告知などに用いられる。

一方、絵文字の使用パターンは反復する傾向があるため、脅威アクターの追跡・帰属特定にも活用できるとFlashpointは述べている。

From: Threat Actors Get Crafty With Emojis to Escape Detection | Dark Reading

【編集部解説】

「絵文字なんて、かわいいアイコンでしょ」——そんな認識は、もうサイバーセキュリティの世界では通用しません。Flashpointが2026年4月6日に公開したレポートは、絵文字がすでにサイバー犯罪者の「作戦言語」として機能していることを、体系的に証明したものです。

この話題が今注目される背景には、TelegramやDiscordといったプラットフォームの爆発的な普及があります。これらのサービスは暗号化通信と匿名性を売りにしており、犯罪コミュニティにとって理想的な活動拠点となっています。そこへ絵文字という「テキストではないが意味を持つ記号」が組み合わさることで、従来のキーワードベースの検知システムに大きな死角が生まれています。

特に注目すべきは、Disgomoji マルウェアの事例です。このマルウェアはVolexityが2024年に発見したもので、パキスタンを拠点とすることが強く疑われる脅威グループUTA0137によって、インド政府機関を標的に使用されました。Discordのチャンネルを通じて絵文字を送信するだけでマルウェアを遠隔操作できる仕組みで、Volexityは9種類の絵文字コマンドを確認しています。ネットワーク管理者の目には、それは単なるチャットアプリの通信にしか見えないという点が、この手法の最大の脅威です。

セキュリティ側の検知がいかに困難かも、理解しておく必要があります。現在の多くのセキュリティシステムはテキストベースのキーワード検知を主体としています。絵文字は画像データとして処理されるため、従来のフィルターでは「クレジットカード」という文字列の代わりに💳が使われた場合、見逃してしまいます。さらにスラングや略語、多言語フレーズと組み合わさることで、解読難度は飛躍的に上がります。

一方で、このレポートにはポジティブな示唆も含まれています。絵文字の使用パターンは、脅威アクターを追跡するための新たな「指紋」になり得ます。同じ絵文字の組み合わせ、同じフォーマットスタイル——こうした繰り返しのクセは、エイリアスを変えても追跡を可能にします。防御側がこのアプローチを取り入れれば、脅威インテリジェンスの精度は格段に向上するはずです。

長期的な視点で見ると、この問題はさらに複雑になる可能性があります。2024年時点で3,664種類以上の絵文字が存在し（現在はさらに増加中）、その意味は使用するコミュニティやプラットフォームによって異なります。🔥が「高価値の標的」を意味するグループもあれば、「活発な議論」を意味するグループもある。AIによる文脈解析なしには、大規模な監視は現実的ではありません。

規制の観点では、この動向はプラットフォームへの圧力を強めることになるでしょう。TelegramやDiscordに対し、絵文字を含むコミュニケーションのモニタリング強化を求める声は、各国の当局から今後より強まることが予想されます。しかし表現の自由との兼ね合いもあり、規制の設計は容易ではありません。

絵文字が「かわいい装飾」から「サイバー作戦の言語」へと変貌した——この事実は、私たちが日常的に使うデジタルツールそのものが、攻撃者にとっての武器庫であることを改めて示しています。

【用語解説】

脅威アクター（Threat Actor）
サイバー攻撃を行う個人・グループ・国家を広く指す用語。国家支援型のAPTグループから金銭目的の犯罪組織まで多様な主体を含む。

APT（Advanced Persistent Threat）
「高度持続的脅威」と訳される。国家や大規模組織の支援を受け、特定の標的に対して長期間にわたって継続的に攻撃を仕掛ける高度な攻撃者・攻撃グループのこと。

C2（コマンド＆コントロール）
攻撃者が侵害したシステムを遠隔操作するための通信インフラ。C2サーバーを通じてマルウェアに指令を送り、データ窃取やさらなる攻撃を実行する。

難読化（Obfuscation）
悪意ある通信やコードを検知されにくくするために、内容を意図的に読みにくく・分かりにくくする技術的手法。絵文字による置き換えはその一形態である。

カーディング（Carding）
盗まれたクレジットカード情報を不正利用する犯罪行為。地下フォーラムやTelegramの闇コミュニティで売買・共有されることが多い。

帰属特定（Attribution）
サイバー攻撃の背後にいる脅威アクターを特定するプロセス。使用するツール、インフラ、手法のパターンなどから攻撃者を追跡・識別する。

脅威インテリジェンス（Threat Intelligence）
サイバー攻撃に関する情報を収集・分析し、組織が脅威を予測・対処するための知見に変換する活動・情報全般を指す。

フィッシング（Phishing）
信頼できる機関や人物を装い、メールや偽サイトを通じて認証情報や個人情報を詐取するサイバー攻撃手法。

【参考リンク】

Flashpoint（外部）
脅威インテリジェンス企業。ダークウェブや地下フォーラムを含む広範なデータを収集・分析し、企業や政府機関向けのサイバー脅威情報を提供する。本記事の一次情報源。

Volexity（外部）
米国のサイバーセキュリティ調査会社。2024年にDISGOMOJIマルウェアを発見・分析し、UTA0137によるインド政府機関への攻撃キャンペーンを詳細に報告した。

Discord（外部）
ゲーマー向けに発展したコミュニケーションプラットフォーム。テキスト・音声・ビデオチャットに対応。DISGOMOJIはこのサービスのAPIをC2通信に悪用した。

Telegram（外部）
強力な暗号化機能を持つメッセージングアプリ。匿名性と大規模チャンネル機能により、脅威アクターの主要な連絡・取引プラットフォームとなっている。

【参考記事】

The Language of Emojis in Threat Intelligence | Flashpoint（外部）
本記事の一次情報源。絵文字が金融詐欺・認証情報・ツール提供など複数カテゴリで脅威アクターの通信に使われていることを体系的に分類・解説している。

DISGOMOJI Malware Used to Target Indian Government | Volexity（外部）
Volexityが2024年6月に公開。UTA0137によるDISGOMOJIマルウェアの詳細な技術分析。9種類の絵文字コマンドやC2構造を詳述している。

New Linux Malware Is Controlled Through Emojis Sent From Discord | BleepingComputer（外部）
Volexityの報告をもとに詳述。クロック絵文字＝処理中、チェックマーク＝完了という絵文字C2プロトコルの仕組みを具体的に説明している。

Emojis Control the Malware in Discord Spy Campaign | Dark Reading（外部）
Dark Readingが2024年に掲載。炎の絵文字＝特定ファイル形式の窃取、ドクロ絵文字＝プロセス終了など具体的なコマンド対応を明記している。

Emojis Are To Express Emotions, But CyberCriminals Using for Attacks | GBHackers（外部）
2024年8月時点で3,664種類の絵文字が存在するという数値の出典元。フィッシングやロマンス詐欺など多角的な絵文字悪用事例を紹介している。