1. HOME
  2. Blog
  3. Blog

Info.

お知らせ

Blog

ラザルス・グループ:"旗"を持つ犯罪組織 のページ写真 1

ラザルス・グループ:”旗”を持つ犯罪組織

2025年9月23日、Christine Barry ラザルス・グループは、朝鮮民主主義人民共和国(DPRK/北朝鮮)と関連する悪名高い国家支援サイバー犯罪組織です。同グループは、同国主要情報機関である偵察総局(RGB)内で活動しています。アナリストらは、ラザルス・グループのメンバーの大半が北朝鮮の平壌を拠点とし、一部は海外の前哨基地やダミー会社を通じて国外で活動していると見ています。海外活動の一例は2018年の米国司法省声明で詳述されています: パク・ジンヒョク(Park Jin Hyok)は、Chosun Expo合弁企業で10年以上勤務したコンピュータープログラマーであり…北朝鮮軍事情報機関の一部である第110研究所と関連している。 …これらの活動を独自に調査したセキュリティ研究者らは、このハッキングチームを「ラザルス・グループ」と呼称した。 ラザルス・グループは少なくとも2009年から活動しており、世界で最も多産かつ多才な脅威アクターの一つとなっています。 ラザルス・グループとは何か? 「ラザルス・グループ」という名称は当初、北朝鮮に関連する単一の脅威主体、あるいは「少数の連携したアクター群」を指していました。現在では、北朝鮮軍情報部内のサイバー作戦を担当する多数のサブグループ(脅威クラスター)を包括的に指す用語となっています。マンディアントの研究者は2024年にこの図表を作成し、北朝鮮の組織構造に関する最善の評価を示しました: ラザルス・グループのクラスターを掘り下げる前に、国家保安省(MSS)とAPT37について簡単に確認しましょう。MSSは国内監視と政治保安活動を担当する民間秘密警察・防諜機関です。同省は国内の情報流通を統制し、北朝鮮国民の忠誠心を監視しています。 APT37は国家保安省の任務を支援するサイバー作戦を実行する。2020年から2021年にかけて、同グループは北朝鮮のパンデミック対策の一環としてCOVID-19研究者を標的にしました。また、北朝鮮脱北者を支援する韓国組織への継続的な標的攻撃も実施しています。APT37は一般的にラザルス・グループの一部とは見なされていません。 ラザルス・グループの脅威クラスターはRGB(偵察総局)内に存在する。研究者は当初、これらのクラスターをRGB内の第5局および第3局に遡及しました(2020年のこの図表の通り): この区別は任務の焦点に基づいています。マンディアント研究者は結論づけました:第5局は韓国及びその他の地域的標的に焦点を当て、第3局は対外諜報を担当。金銭的動機を持つラザルス・グループ・クラスターは第110研究所と関連付けられ、第325局は韓国に対する情報戦及び影響工作を実施しました。 COVID-19パンデミックは北朝鮮のサイバー作戦を混乱させ、海外工作員と平壌の指導部との連絡を断絶させました。海外の脅威アクターは様々な形で協力を開始し、RGBの支援なしにグループ資金調達のためランサムウェアキャンペーンを実行し始めました。その結果、パンデミック後の北朝鮮サイバー作戦は以前とは大きく異なるものとなりました。北朝鮮の地政学的利益が変化するにつれ、局の配置は重要性を失いました。このため、2024年の評価では局の区別を廃止し、ラザルス・グループのクラスターをRGB直下に配置しています。 ラザルス・グループ・クラスター RGB内には複数の活動クラスターが存在し、その多くは複数の名称で追跡されています。これらのクラスターは協力し、インフラやツールを共有し、特定のプロジェクトのために追加のグループに分裂することもあります。ラザルス・グループのアクターは体制の保護と支援の恩恵を受け、北朝鮮情報システム全体から複数の情報源を通じて情報を提供されています。これにより、グループの指導部とオペレーターは新たな機会を迅速に特定し適応することが可能となります。 研究者は通常、プロジェクトベースで出現・消滅するクラスターを含め、同時に5~8つのクラスターを追跡しています。以下の4つのクラスターが主要グループです: TEMP.Hermit(別名:Diamond Sleet、Labyrinth Chollima、Selective Pisces、TA404):このクラスターは世界中の政府機関、防衛機関、通信機関、金融機関を標的とする。「ラザルス・グループ」という呼称は、最も頻繁にこの活動クラスターを指します。 APT43(別名:Kimsuky、Velvet Chollima、Black Banshee、Emerald Sleet、Sparkling Pisces、Thallium):北朝鮮の主要情報収集組織。韓国、日本、米国政府・防衛・学術分野を標的とした高度な諜報活動を実施。 APT38(別名:Bluenoroff、Stardust Chollima、BeagleBoyz、CageyChameleon):北朝鮮における金銭目的の活動で最も活発な脅威。銀行、仮想通貨取引所、DeFiプラットフォームを標的とします。APT38は大規模な仮想通貨窃取活動を通じて制裁を回避しています。 Andariel(別名APT45、Silent Chollima、Onyx Sleet DarkSeoul、Stonefly、Clasiopa):防衛・航空宇宙・原子力分野に対するサイバー諜報活動と、医療機関に対するランサムウェア攻撃を両立させる二重目的クラスターです。ランサムウェア攻撃で得た資金は諜報活動に充てられます。 ラザルスグループの活動には二つの主要任務があります。諜報・破壊活動に加え、同グループは政権のための資金獲得も担っています。北朝鮮経済は長年国際的な制裁に直面し孤立しているため、この不正収益に依存しています。サイバー犯罪は比較的低コストでありながら、政権が自由に使用できる確実な(現時点では)制裁回避資金を供給します。専門家は、この資金が兵器開発プログラムに流用されていると疑っています。2024年国連報告書より: 調査委員会は、2017年から2023年にかけて朝鮮民主主義人民共和国(DPRK)が暗号通貨関連企業に対して行ったとされる58件のサイバー攻撃を調査中です。被害総額は約30億ドルと推定され、これらが同国の大量破壊兵器開発資金に充てられていると報告されています。 DPRKは、利益が得られる限り、また国際制裁が継続する限り、これらのサイバー攻撃を継続するでしょう。ラザルスグループの金融犯罪活動は、北朝鮮国家経済の基盤的かつ不可欠な構成要素です。 とはいえ、情報収集活動も同様に重要です。パンデミック期間中、同グループは機密性の高いCOVID-19ワクチン研究をファイザー、アストラゼネカ、その他複数の製薬企業や保健省から窃取していたことが判明しています。また、ロシア侵攻開始で当局の注意が逸れている隙にウクライナ政府機関を標的としました。 カスペルスキーの研究者は、ラザルス・グループの脅威クラスターが、諜報活動と金銭目的のサイバー犯罪を分離・保護する構造を有すると結論づけました。この構造により、RGB(ラザルス・グループ)は各クラスターに最も関連性の高い情報のみを提供できますが、あくまで推測です。これらのクラスターはマルウェアやサーバー、その他のインフラ、さらには人員まで共有していることが確認されており、全てが同一のRGB情報にアクセスしている可能性もあります。 起源 北朝鮮のサイバー能力は1990年、情報技術戦略の主要機関として朝鮮コンピュータセンター(KCC)が設立されたことに端を発します。1995年と1998年には当時の最高指導者金正日が、朝鮮人民軍(KPA)に対しサイバー能力の追求を指示しました。 KPAの規模は韓国軍のおよそ2倍であったが、装備と能力が不足していました。金正日は、軍事力の格差を埋める有効な武器としてサイバー作戦を認識しました。専門家は「サイバー戦争」が1998年に軍事領域として正式に確立され、2000年までにこの専門分野の訓練が開始されたと見ています。 ラザルス・グループが脅威主体として台頭したのは2000年代後半、国連が北朝鮮の2006年核実験を理由に制裁を発動した直後のことでした。現在の最高指導者金正恩が権力を掌握し、その政権が軍事力とデジタル戦力の示威を優先するにつれ、制裁はさらに強化されました。こうした環境下で、ラザルスは経済窃盗と世界的なランサムウェア攻撃を基盤とする国家収入源へと成長しました。 ラザラス・グループに帰属する最初の作戦は「オペレーション・トロイ」であり、2009年に米国および韓国政府ウェブサイトに対する分散型サービス拒否(DDoS)攻撃の波として開始されました。これらの攻撃は2013年まで継続し、諜報活動や情報窃取を含む高度な作戦へと発展しました。作戦終盤には標的に破壊的なワイパー型マルウェアが投入されました。 2011年3月、ラザルス・グループはTen Days of Rain(十日間の雨)として知られるキャンペーンを開始。韓国国内の侵害されたコンピューターから発動された、高度化を続けるDDoS攻撃の波が、韓国メディア、銀行、重要インフラを襲いました。2年後、同グループはDarkSeoulワイパー攻撃を実行し、3大放送局、金融機関、ISPをダウンさせました。 ラザルス・グループは2014年11月24日、ソニー・ピクチャーズエンタテインメントへの侵入により、高度なグローバル脅威としての存在感を示しました。同グループは数テラバイトに及ぶ内部データを窃取・公開。これには電子メール、従業員情報、未公開映画や脚本が含まれていました。ソニーのワークステーションもマルウェアに感染し使用不能に陥りました。この攻撃は北朝鮮指導者暗殺を題材としたコメディ映画『ザ・インタビュー』への報復でした。北朝鮮は関与を否定していますが、研究者や米国当局者はラザルス・グループによる攻撃と確信しています。 攻撃開始時にソニー社内のコンピューターに表示されたと思われる「頭蓋骨」スプラッシュページの画像。投稿者は元ソニー社員を名乗り、現ソニー社員から画像を受け取ったと主張。この画像は最初にRedditに投稿された。Wired経由 金融に関する攻撃 ラザロ・グループは2015年頃から金融犯罪を加速させた。同グループはエクアドルのバンコ・デル・アウストロ銀行から1200万ドル、ベトナムのティエンフォン銀行から100万ドルを盗んだ事件に関与したとされています。これらは2016年2月のバングラデシュ銀行強奪事件の前兆であり、ラザロはSWIFT銀行ネットワークを悪用して8100万ドルを盗み出す前に発見され阻止されました。 2017年、ラザルス・グループはワナクライランサムウェアワームを拡散させ、世界中に広がり数十万台のコンピューターデータを暗号化しました。この攻撃は全世界で約40億ドルの損害と英国医療システムに1億ドル超の混乱をもたらしたと推定されます。グループが回収した金額は約16万ドルに過ぎず、多くの研究者はワナクライは典型的な身代金要求スキームではなく実力示威だったと考えるに至りました。 同時期、ラザルスは仮想通貨取引所、銀行、フィンテック企業への攻撃を開始。2018年9月までに、グループはアジアの5取引所から約5億7100万ドル相当の仮想通貨を窃取。うちコインチェック(日本)からは約5億3000万ドルが盗まれました。 2020年には、アプリケーション管理プログラムWIZVERA VeraPortに対するサプライチェーン攻撃を実行。このプログラムは韓国政府が採用するセキュリティ機構の一部であり、政府機関やインターネットバンキングサイトを保護する役割を担っていました。その後2023年にはVoIPソフトウェア提供企業3CXへの攻撃が発生。両攻撃は、ソフトウェア供給網に対する多段階のステルス攻撃を実行する同グループの能力を明らかにしました。 偽の求職者詐欺 同グループの現行戦略の一つは、偽の求人広告や従業員を装った詐欺による企業への潜入です。これらの手口は広く「オペレーション・ドリームジョブ」として知られ、主に米国、イスラエル、オーストラリア、ロシア、インドの防衛、航空宇宙、政府部門を標的としています。 この攻撃の一形態では、脅威アクターが有名企業の採用担当者を装います。偽採用担当者はオンラインプロフィールやオープンソースインテリジェンス(OSINT)を活用し、暗号通貨、フィンテック、防衛、ソフトウェア開発などの業界で働く個人を標的にします。「採用担当者」はLinkedInやメールで候補者に連絡し、高給職への応募を提案します。標的が関心を示せば、脅威アクターはマルウェアを仕込んだ文書である職務内容説明書や雇用契約書を送付します。この攻撃はAxie Infinityのエンジニアに対して成功し、同社に5億4000万ドルの損失をもたらした。 第二の攻撃手法では、脅威アクターがIT技術者やフリーランサーを装います。数千人の北朝鮮技術者が海外に派遣され、韓国・日本・欧米のフリーランサーを偽装しています。これらの工作員は偽名でグローバル企業のソフトウェア開発や暗号通貨関連業務に従事するほか、ラップトップファームを介して活動し脅威アクターの真の出所を隠蔽しています。 これらの北朝鮮労働者の一部は、RGB(朝鮮労働党)への収入獲得を任務としています。他には内部アクセス権の取得を命じられ、資金の横領、知的財産の窃取、あるいは将来のラザルス攻撃を支援するためのマルウェアの埋め込みを行います。 こうした偽労働者詐欺は、企業の採用活動を攻撃ベクトルに変えます。他の脅威グループも同様の攻撃を行いますが、ラザルスグループ関連のものほどの成功や影響力を持つものは存在しません。 感染経路と好まれる戦術 ラザルスグループはシステムへのアクセス獲得に以下の一般的な戦術を用います: 標的型フィッシングメール:ラザルスは標的を絞ったフィッシングメールを送信することが確認されています。これらは政治的・金融関連のメッセージを装い、受信者に悪意のある添付ファイルやURLへの操作を促します。一般的なソフトウェアのゼロデイ脆弱性を悪用する場合もあります。これは依然として同グループの主要な初期アクセス手法です。 ソフトウェア脆弱性の悪用:ラザルスはゼロデイ攻撃手法を利用・開発し、公知の脆弱性を極めて迅速に兵器化する能力を持ちます。 ウォーターホール攻撃と戦略的ウェブ侵害:同グループは標的層への到達手段としてこれらの戦術を用います。ある攻撃では、ラザルスグループがポーランド金融規制当局のサイトに悪意あるコードを注入し、銀行従業員を悪意あるダウンロードで感染させました。また正規のソフトウェア更新サイトを侵害し、改ざんされたインストーラーを配布した事例もあります。 サプライチェーン攻撃:前述の攻撃例が示す通り、ラザルスはサプライチェーン侵害に長けています。 ソーシャルエンジニアリングと偽装人物:従業員詐欺以外にも、ラザルスは潜在的なビジネスパートナーや投資家などの偽装身分を作成。例えば、暗号通貨スタートアップへの投資に関心を持つベンチャーキャピタリストを装い信頼関係を構築した後、マルウェアを仕込んだ「デューデリジェンス文書」を共有する手口があります。 ラザルス共謀者によるマルウェアの埋め込み: 外国企業に潜入する「偽の労働者」はシステムにマルウェアを配置し、ラザルス・グループのオペレーターに侵入経路を開きます。 ラザルス・グループのソーシャルエンジニアリングを伴わない攻撃は、完全なAPT攻撃チェーンを示します。スピアフィッシングメールや脆弱性悪用による初期アクセスから始まり、ネットワーク内部に侵入すると脅威アクターはマルウェアを配置し、簡易バックドアを開設してコマンドアンドコントロール(C&C/C2)サーバーとの接続を確認します。感染マシンがドメインコントローラーやその他の機密デバイスであるとグループが判断した場合、攻撃を継続します。 この段階でラザルスグループはターゲットシステムに完全なツールキットをインストールします。これにはキーストロークロガー、ネットワークスキャナー、マシンを完全に制御可能な第二段階バックドアといった高度なツールが含まれます。これらのペイロードは検出回避のためレジストリに隠蔽されるか、正当なファイルとして偽装されます。...

海外ブログ

メール脅威レーダー – 2025年9月 のページ写真 2

メール脅威レーダー – 2025年9月

2025年9月23日、脅威分析チーム 先月、バラクーダの脅威分析チームは、世界中の組織を標的とした複数の注目すべきメールベースの脅威を特定しました。主な脅威は以下の通りです: Tycoon および EvilProxy フィッシングキット:Microsoft OAuthを悪用し、アクセス権を取得しURLを悪意のあるページへリダイレクト クラウドベースのサーバーレス環境、ウェブサイト作成サイト、ビジュアル生産性ツールなど、より広範なオンラインプラットフォームを悪用してフィッシングページを作成・ホストする攻撃者 概要:Google翻訳の悪用、DirectSend、Google Classroom、Meetを標的とした詐欺 フィッシング集団がMicrosoft OAuthを悪用し、ステルスアクセスを実現 脅威の概要 OAuthは、ユーザーがパスワードを共有せずにMicrosoft 365などのサードパーティアプリケーションにログインできる広く採用された標準です。この利便性が新たな攻撃対象領域を生み出しました。バラクーダを含む業界全体のセキュリティ研究者は、OAuth実装の脆弱性を標的とし、アカウントやデータへの不正かつ持続的なアクセスを得る高度なフィッシング・アズ・ア・サービス(PhaaS)キットを確認しています。 OAuthの悪用により、攻撃者は以下が可能になります: アクセストークンの窃取 ユーザーなりすまし 盗まれた/乗っ取られたクライアント認証情報を使用した、アカウントや個人データへの静かなアクセス 悪意のあるアプリケーションを登録し、信頼性があるように見せかけてユーザーを騙し、アクセス権限や制御権限を付与させる ログイン時やリダイレクト時に使用されるウェブサイトアドレスの脆弱なチェックを悪用 自動ログイン機能を悪用し、ユーザーの知らないうちに認証コードを窃取 広範な事前設定済みAPI権限を付与する.defaultスコープを要求・悪用し、アクセストークンを取得した攻撃者が権限を昇格させ機密リソースにアクセスできるようにする バラクーダの脅威アナリストが確認したOAuth攻撃は、ソーシャルエンジニアリングに基づく大規模・自動化・効率化されたPaaS攻撃である。 攻撃者はMicrosoft OAuth URLを改変して攻撃を実行する。 正規のMicrosoft OAuth URLは以下のような形式です: 各要素は以下の通り分解できます: client_id: Microsoftに登録されたアプリケーションを識別するコード response_type: OAuthサーバーに対し、アクセストークン取得に使用されるセキュアな認証コードフローを開始する認証コードを返すよう指示する redirect_uri: 信頼されたリダイレクトURI scope: 基本情報の要求(本人確認、プロフィール情報、メールアドレス)を示します。 state: リクエスト開始時に特別なコードまたはトークンを生成するようシステムに指示します。リクエストが戻ってきた際にこれを検証することで、攻撃者が設定変更や許可なしのメッセージ送信を企てるのではなく、本人からのリクエストであることを確認します。 prompt: 「select_account」というフレーズは、認証前にアカウント選択を強制し、本当に本人であるか、侵入を試みる攻撃者ではないかを確認します。 悪意のあるOAuth URLは少し異なる 以下の最初の例は、Tycoon 2FA攻撃によるものです。ユーザーはMicrosoftを装ったフィッシングサイトにリダイレクトされ、ログイン認証情報を盗むように設計されています。すべてのリンクは攻撃者が制御する要素にリダイレクトされます。 二つ目の例はEvilProxyを利用し、攻撃者が多要素認証を迂回してセッションを乗っ取ることを可能にします。 EvilProxyリンクでは「prompt=none」が使用されています。これによりログインプロンプトが抑制され、ユーザーが既にサインインしている場合、何の操作もせずに静かにリダイレクトされます。 ユーザーが未サインイン状態、または同意が必要な場合、サーバーはユーザーにプロンプトを表示せずエラーを返します。これによりアプリケーション(または攻撃者)は、ユーザーを中断させることなくトークンの更新やセッション状態の確認が可能になります。 これらの攻撃では通常、攻撃者がEntra ID(Azure AD)テナント内に悪意のあるアプリケーションを登録する必要があります。これらの悪意のあるアプリは、正当なアプリやサービスを模倣するよう巧妙に設計されています。 攻撃者はMicrosoftのOAuthフローを悪用し、メール・ファイル・カレンダー・Teamsチャット・管理APIなど非常に広範な権限(スコープ)に対する自動的なユーザー同意を要求します。 ユーザーが知らずに同意を許可すると、攻撃者はOAuthトークンを介してアクセス権を取得できるため、パスワードや多要素認証を必要とせずにユーザーアカウントにアクセス可能になります。 より深刻なシナリオでは、攻撃者はOAuthフローを完全に迂回し、代わりにMicrosoftの公式サインイン画面を精巧に模倣した偽装ログインページへユーザーをリダイレクトします。ユーザーが知らずに認証情報を入力すると、攻撃者はそれらをキャプチャし、アカウントへの完全なアクセス権を取得する可能性があります。 OAuth環境を安全に保つための対策 信頼できるリダイレクトリンクのみを許可し、ログイン後にユーザーが安全で既知のウェブサイトに送られるようにします。 各ログインリクエストに秘密コードを追加し、正当なユーザーからのリクエストであることを確認することを検討してください。 システムが自動的にアカウントを選択しないようにし、ユーザーにアカウントを選択するよう求めます。 ログイントークンが本物であり、期限切れではなく、あなたのアプリ向けであることを確認し、盗まれた場合に再利用できないよう、有効期限が短いトークンを使用します。 連絡先やファイルなど、必要以上のデータへのアクセスを要求しないでください。 開発者とユーザーにリスクの見分け方とOAuthの正しい使用方法を指導してください。 ログを保持し、不審な場所からのログインなど異常な動きを検知しましょう。 サーバーレスコンピューティングプラットフォーム、ウェブサイト作成ツール、生産性向上ツールを悪用したフィッシングホスティング 脅威の概要 攻撃者が信頼性の高いクラウドコラボレーション、文書管理、オンラインフォームプラットフォームを悪用し、そのアクセシビリティと評判を利用してフィッシングキャンペーンがセキュリティフィルターを回避しユーザーの信頼を得る手口については、以前報告しました。 現在では、コードホスティングやサーバーレスコンピューティングプラットフォーム、ウェブサイト開発ツール、オンライン生産性ツールを悪用し、フィッシングサイトや悪意のあるコンテンツを作成・配布する攻撃者も確認されています。 LogoKitによるJavaScriptサーバーレスプラットフォームの悪用 サーバーレスコンピューティングプラットフォームは、アプリケーション開発者がインフラ投資なしで新規アプリを構築・実行できるように設計されています。アクセシビリティ、導入の容易さ、スケーラビリティといった特長は、正当なドメインを隠れ蓑とするフィッシング集団にも悪用されています。バラクーダの脅威アナリストは最近、LogoKit PhaaS(Phishing as a Service)がクラウド上で小さなJavaScriptやTypeScriptスニペットを実行するサーバーレスプラットフォームを悪用する事例を確認しました。このプラットフォームは公開URLの使用とコードスニペットからの即時デプロイを可能にしており、攻撃者のプロセスをさらに簡素化しています。...

海外ブログ

SOCケースファイル:Akiraランサムウェアが被害者のリモート管理ツールを悪用 のページ写真 3

SOCケースファイル:Akiraランサムウェアが被害者のリモート管理ツールを悪用

2025年9月25日、Yuvashree Murugan バラクーダのマネージドXDRチームは最近、Akiraランサムウェア攻撃を鎮静化させ、影響を緩和しました。この攻撃は、既知の攻撃ツールを持ち込む代わりに、標的のインフラ内のツールを悪用して検知を回避し、悪意のある活動を日常的なIT活動に見せかける手法を用いました。 攻撃の経緯 サイバー犯罪者は、汎用性が高く機会主義的なRaaS(Ransomware-as-a-Service)キットであるAkiraランサムウェアを武器に、祝日に乗じて午前4時直前に組織のネットワークを標的としました。 攻撃者はドメインコントローラー(DC)へのアクセス権を獲得しました。DCはファイルやアプリケーションなどのネットワークリソースへのユーザーアクセスを認証・検証する重要なサーバーである。このDCサーバーにはDattoのリモート監視管理(RMM)ツールがインストールされていました。 攻撃者はLiving Off The Land(LOTL)と呼ばれる手法を採用。これは事前インストール済みの正当なツールセットを悪用する攻撃手法です。 彼らはRMMツールの管理コンソールを標的とし、事前にインストールされていた複数のバックアップエージェントと組み合わせて攻撃を実行。新規ソフトウェアインストールや不審な活動に対するセキュリティアラートを発生させずに攻撃を完了させました。 Akira RMM攻撃チェーン 攻撃者はDatto RMMを利用し、そのTempフォルダからPowerShellスクリプトをリモートでプッシュ・実行。PowerShellの組み込み安全チェックを回避する「実行ポリシーバイパス」を適用しました。 このスクリプトはシステムレベルの権限で実行され、感染サーバーを完全に制御可能にしました。 直後にエンコードされたPowerShellコマンドで追加ツールを実行し、複数の未知の実行可能ファイル(バイナリ)を信頼されたWindowsディレクトリに配置して疑いを回避しました。 これらのファイルには偽装スクリプト、ファイアウォールルール操作用スクリプト、非標準ディレクトリ(攻撃者が作成したステージング領域と思われる)に隠されたスクリプトが含まれていました。 攻撃者の隠蔽やセキュリティ機能無効化を目的としたレジストリ変更が行われました。 ファイル暗号化開始の数分前、ドメインコントローラー上でボリュームシャドウコピーサービス(VSSVC.exe)が停止されました。これは日常的なITメンテナンス時にも実施されるが、復元用コピーを排除するため、ランサムウェア攻撃における暗号化の前段階としても利用されます。 午前4時54分、ランサムウェアのペイロードがファイルの暗号化を開始し、拡張子を.akiraに変更しました。 幸い、ドメインコントローラーはBarracuda Managed XDR Endpoint Securityで保護されていました。 最初のファイル暗号化はXDRのカスタム暗号化ルールによって即座に検知され、影響を受けたデバイスの即時隔離と攻撃の終結につながりました。 主な教訓 攻撃者は、即座に警戒を喚起するような高度な新種のマルウェアやツールを展開しませんでした。代わりに、エンドポイントにインストールされた信頼できるツールであるDatto RMMとバックアップエージェントを悪用しました。 同様に、攻撃者の活動は、バックアップエージェントがスケジュールされたジョブ中に正当に行う可能性のある動作と酷似していました。これにより、すべてが通常のIT活動のように見えました。 Akiraは巧妙で独創的なRaaS(攻撃サービス)であり、マルウェア開発者は固定されたプレイブックに従わない。戦術は頻繁に変化するため、既知の攻撃シグネチャと一致せず、攻撃初期段階での検知が困難となりまし。 多様で多機能な攻撃からIT環境を効果的に保護するには、エンドポイント、ネットワーク、サーバー、クラウドなどを横断する完全なXDRカバレッジが不可欠です。これによりSOCチームは攻撃ライフサイクルの可能な限り早い段階で脅威を検知・無力化し、完全な可視性を確保できます。 復旧と回復 脅威が無力化された後、バラクーダ・マネージドXDRチームは顧客と連携し、以下の対策を実施しました: 組織レベルで影響を受けた全デバイスを隔離 組織全体で検出された全脅威に対するロールバックをトリガー 残存するAkira関連アーティファクトを検出するための詳細な侵害指標(IOC)スキャンを実行 ロールバックの成功とエンドポイントの安定性を確認、必要に応じてデバイスを再起動してロールバックを完了 インシデント後のエンドポイントポリシー強化について顧客と協議・実施 SOARプレイブックを通じて全アクションを検証 Barracuda Managed XDRは、このようなインシデントの検知と緩和を支援します。エンドポイントとネットワーク活動を継続的に監視し、予期せぬファイル削除やレジストリ変更などの異常な動作を検知します。マネージドXDRはさらに迅速なインシデント対応機能を提供し、特定された脅威の迅速な封じ込めと修復を保証します。詳細なログとフォレンジック分析により攻撃の起源と範囲を追跡し、将来の戦略的予防措置を可能にします。 エンドポイント検知・対応(EDR)との統合により、マネージドXDRは隔離されたシステムへの可視性を高め、緩和のための実用的な知見を提供します。マネージドXDRが支援するプロアクティブな脅威ハンティングは、攻撃者が持続的なアクセス権を獲得する前に、永続化メカニズムを特定し排除するのに役立ちます。 BarracudaマネージドXDRおよびSOCに関する詳細情報はウェブサイトをご覧ください。BarracudaマネージドXDRの新機能・アップグレード・新検知機能の最新情報は最新のリリースノートをご確認ください。 本攻撃で使用された主なツールと手法 侵害の兆候(IoC) 24時間365日のマネージドサイバーセキュリティで攻撃者に先手を打つ(英語) バラクーダで脅威に対抗 AI搭載サイバーセキュリティプラットフォームにより、企業は保護とサイバーレジリエンスを最大化できます。高度な保護、リアルタイム分析、プロアクティブな対応機能を提供する統合プラットフォームは、セキュリティギャップの解消、運用複雑性の低減、可視性の向上を支援します。主要なセキュリティ機能を統合することで、管理負担を最小化し運用を簡素化できます。サイバーセキュリティ専門家のガイダンスにより、統合サイバーセキュリティプラットフォームのすべての利点を活用できます。 まずは、バラクーダのウェブページにアクセスし、どのようなセキュリティ対策が可能か、そのソリューションをご確認ください。

海外ブログ

ランサムウェア攻撃者が繰り返し攻撃を続ける理由 のページ写真 4

ランサムウェア攻撃者が繰り返し攻撃を続ける理由

2025年8月5日、Tilly Travers ランサムウェアは、進化し変化するセキュリティ環境に適応する能力によって強化され、脅威が拡大し続けています。世界中の組織がランサムウェアの被害に遭い続けており、しばしば繰り返し攻撃を受け、その影響は壊滅的なものとなる可能性があります。 私たちは過去12ヶ月間に世界中の組織がランサムウェアをどのように経験したか、そしてこれがセキュリティにとって何を意味するのかを明らかにしようと試みました。新たなランサムウェア・インサイトレポート2025に詳述されている調査結果は、複雑で乱立され、断片化されたセキュリティ防御ツールが組織を攻撃に対して極めて脆弱な状態に置き、攻撃者が素早く悪用しうるセキュリティの隙間を露呈していることを示しています。 多くの被害組織が、管理不可能な数となったセキュリティツールに苦しみながら、結果として、安全を確保できる重要な分野への投資が行われていない現状があります。さらに多くの被害組織は、暗号化されたデータの完全な復元が不可能であるにもかかわらず、攻撃者の金銭要求に応じる以外に選択肢がないと感じ続けています。 本レポートは、米国・欧州・アジア太平洋地域のIT・セキュリティの上級意思決定者2,000名の実態とインサイトに基づいています。調査はバラクーダとVanson Bourneとの共同実施にて行われました。 主な調査結果 ランサムウェア被害者の31%が過去12ヶ月で2回以上被害に遭っている。このうち、74%が「セキュリティツールが多すぎて管理に追われている」と回答し、61%が「ツール間の連携不足により可視性が損なわれ、攻撃者が潜伏できる死角が生じている」と指摘しています。 多くのランサムウェア被害企業は、主要セキュリティ領域で十分な対策を講じていない。例えば、メールセキュリティソリューションを導入していた被害企業は47%未満であったのに対し、被害を受けていない企業では59%が導入していました。これは重要な点です。なぜならメールはランサムウェアの主要な攻撃経路であるからです:メール侵害を受けた組織の71%が同時にランサムウェア被害も受けています。 ランサムウェア攻撃者は3回に1回の確率で身代金支払いを得ることができます。ランサムウェア被害者の32%がデータ復旧・復元のために攻撃者に支払っており、2回以上被害を受けた組織では37%に上昇します。 身代金を支払った組織の41%は全データの復旧に失敗しています。これには複数の要因が考えられます。攻撃者が提供する復号ツールが機能しない、部分的な鍵しか共有されない、暗号化・復号プロセスでファイルが破損する、あるいは攻撃者が身代金を受け取った後で復号ツールを提供しないケースなどです。 ランサムウェア攻撃は多面的です。回答者が経験したランサムウェアインシデントの約4分の1(24%)がデータ暗号化を伴う一方、相当数が攻撃者によるデータ窃取(27%)と公開(同27%)、他の悪意あるペイロードによるデバイス感染(29%)、持続性を目的としたバックドアの設置(21%)などを伴っていました。 成功したランサムウェア攻撃の影響範囲は拡大しており、評判の毀損(41%が経験)から、新規ビジネス機会の喪失(25%)、取引先・株主・顧客への脅迫を含む支払い圧力戦術(22%)、従業員への圧力(16%)といった具体的な事業影響にまで及んでいます。 ランサムウェア耐性(レジリエンス) 2025年においても、ランサムウェアは持続的で収益性の高い脅威であり続け、セキュリティの複雑性とカバー範囲の隙間を容赦なく悪用し、最大限の混乱と金銭的利益を得るための多次元攻撃を実行します。 効果的な防御とは、単に攻撃の成功を防ぐことだけでなく、インシデントを検知し、対応し、復旧できる能力です。それはランサムウェアに対するレジリエンスを獲得することです。 組織は、拡大し続ける攻撃対象領域をサイバー脅威から保護する、統合された多層的なセキュリティを必要としています。これには、効果的なデータ保護とバックアップ、堅牢なアクセス制御と認証、定期的なパッチ適用、サイバーセキュリティ意識向上トレーニング、ネットワークセグメンテーション、高度なメール・アプリケーションセキュリティ、そして定期的に更新・訓練されるインシデント対応計画が含まれるべきです。 何よりも、組織は強力な統合セキュリティプラットフォームを中心とした統一されたアプローチをとることで、複雑性、断片化、セキュリティの乱立(拡散)を低減させる必要があります。このプラットフォームは常に稼働状態を維持し、攻撃者に潜伏場所を与えないものです。 調査方法 バラクーダとVanson Bourneは、米国、英国、フランス、DACH(ドイツ、オーストリア、スイス)、 ベネルクス(ベルギー、オランダ、ルクセンブルク)、北欧(デンマーク、フィンランド、ノルウェー、スウェーデン)、オーストラリア、インド、日本の組織において、ITおよびビジネス部門のセキュリティ分野の上級意思決定者2,000名を対象に当調査を実施しました。フィールドワークは2025年4月および5月に実施されました。 詳細情報および調査結果については、レポートを入手してください。 レポートを入手する

海外ブログ

サイバー犯罪のギグエコノミー のページ写真 5

サイバー犯罪のギグエコノミー

2025年8月8日、Christine Barry 「ギグエコノミー」という言葉を耳にしたことがあるでしょう。これは短期的な仕事(=ギグ)を特徴とする労働市場を指します。これらのギグはプロジェクトベースで、デジタルプラットフォームや非公式なネットワークを通じて手配されます。労働者は必要に応じて仕事を請け負い、デザイナーがFiverrrやFreelancerを通じて仕事を受けるのとよく似ています。ギグエコノミーは機動力、専門性、オンデマンド型協働を基盤としており、ランサムウェアやその他の犯罪活動を展開する脅威アクターにとって非常に効果的に機能しています。 背景 脅威アクターの多くに共通するのは、特定のブランドに固執しない点だ。LockBitのような例外や国家が関与する諜報活動は存在するが、大半のサイバー犯罪者はブランドアイデンティティを持たず、特定のグループへの忠誠心もない。 ランサムウェア・アズ・ア・サービス(RaaS)が登場した時点で、この流れは明らかでした。協力者(加入者)はRaaSのルールに従い、自由に参加・離脱できます。一部のRaaSグループは、初期アクセス用のフィッシングプラットフォーム提供から身代金の交渉・回収まで全てを請け負います。協力者(加入者)は攻撃を成功させるだけです。メディアで攻撃者が名指しされる場合、常にAkira、Medusa、Fog、Rhysidaといったブランド名が使われる。協力者がブランドである場合、その名前が表に出ることもあります。 RaaSモデル以前に、Anglerのようなエクスプロイトキットや、脅威アクターがツールやインフラをレンタルできるSpam-as-a-Serviceプラットフォームが存在したこともある。これらのモデルは、今日見られる大規模なサイバー犯罪サプライチェーンの最初の構成要素でした。RaaSは、アイデンティティ、オペレーション、ブランディングを完全に分離した最初のモデルであり、分散型サイバー犯罪オペレーションの進化を加速させました。 欧州サイバーセキュリティ機関(ENISA)は、2022年ENISA脅威状況報告書において、このモジュール型サービス基盤構造の成長を検証しました。同報告書は「脅威グループの多様化・専門化・特化の進展」と、侵入の各段階に関与する異なるアフィリエイトの「組み合わせ自由」な性質を強調しています。報告書には、犯罪経済がギグエコノミーの原則をいかに採用しているかを示す、多くのインサイトが記載されています。 モジュール化された人材とプロジェクトベースの犯罪 ランサムウェア攻撃チェーンで見られる専門的役割について、例を挙げます。 初期アクセス:初期アクセスブローカー(IAB)、フィッシング・ソーシャルエンジニアリング専門家、コール担当者/交渉担当者、エクスプロイト開発者 発見・横展開(ラテラルムーブメント)・列挙:偵察専門家/侵入オペレーター、マルウェアローダー/ペイロード展開専門家、スクリプト開発者 持続性確保・特権昇格:侵入専門家/ポストエクスプロイトオペレーター 防御回避:セキュリティ回避専門家、難読化エンジニア データ窃取:データ窃取者、窃取専門家 ランサムウェアの展開:ランサムウェア開発者、インフラオペレーター 恐喝・交渉:身代金要求文作成者、交渉担当者/通信専門家、広報/情報漏洩サイト管理者 SafePayとHelloGookieはコール担当者と交渉担当者を利用し、Qilinは弁護士を待機させ、Anubisはデータ窃盗犯と盗んだデータの金銭化専門家を結びつけます。DragonForceは特に他のグループにプロジェクト共同作業を提供します。これらの役割が全て別々の個人によって行われるわけではありませんが、全てのグループが異なる専門性とニッチな才能を稼働させています。 集団とカルテル 現代のサイバー犯罪経済のもう一つの特徴は、脅威アクターがリソースを共有する、緩やかな集団として活動する可能性があることです。その顕著な例として、分散型脅威アクター連合であるDragonForceランサムウェアカルテル(DFRC)が挙げられます。カルテルメンバーは、マルウェア、攻撃管理ツール、ストレージ、そして「信頼性の高いインフラ」といったDragonForceのリソースを活用しつつ、独自のブランド名で攻撃を仕掛けることができます。脅威アクターはこれらのリソースを自由に共有・協働して利用でき、DragonForceの中核オペレーターはサービスの対価として合意された取り分を得ることになります。カルテルとして、DFRCは広報活動も展開し、宣伝を利用して被害者に圧力をかけ、脅威環境における支配権の確立を図ります。 Scattered Spiderは、ソーシャルエンジニアリング、SIMスワッピング、なりすまし(高度な標的型攻撃(APT)と関連付けられる技術)を専門とする分散型アクター集団の別の例です。Lapsus$も同様のグループで、ソーシャルエンジニアリングと多要素認証(MFA)の悪用によるネットワークアクセス取得を専門とします。 両グループは「The Com」(「The Community」の略称)と呼ばれる大規模で緩やかな集合体から派生しました。The Comの仲間は通常、オンラインゲームやその他のインターネット空間を通じて台頭します。Darknet Diariesは2022年にThe Comのメンバーにインタビューを実施しました。ポッドキャストを聴取、またはトランスクリプトを閲覧するにはこちら。 防御側にとっての意義 このギグモデルはサイバー犯罪経済のレジリエンスを高めます。脅威アクターが逮捕されなければ、単に別の領域へ移動するだけです。ITチームはギグ型脅威モデルへの防御策を検討する必要があるでしょう。セキュリティは広範で、行動ベースかつ、多層的であるべきです: 既知の侵害指標だけでなく、振る舞い検知と脅威ハンティングを活用する。 異常なアクセスパターンや権限昇格を監視する。 従業員にフィッシング、ボイスフィッシング、なりすまし戦術の認識を訓練する。 ゼロトラストの原則を適用する——侵害を前提とし、あらゆるアクセス試行を検証する。 新興のアンダーグラウンドツールやサービスに関する脅威インテリジェンスで情報を更新する。 バラクーダで脅威に対抗 AI搭載サイバーセキュリティプラットフォームにより、企業は保護とサイバーレジリエンスを最大化できます。高度な保護、リアルタイム分析、プロアクティブな対応機能を提供する統合プラットフォームは、セキュリティギャップの解消、運用複雑性の低減、可視性の向上を支援します。主要なセキュリティ機能を統合することで、管理負担を最小化し運用を簡素化できます。サイバーセキュリティ専門家のガイダンスにより、統合サイバーセキュリティプラットフォームのすべての利点を活用できます。 まずは、バラクーダのウェブページにアクセスし、どのようなセキュリティ対策が可能か、そのソリューションをご確認ください。

海外ブログ

生成AIの急速な普及がセキュリティ課題を生む のページ写真 6

生成AIの急速な普及がセキュリティ課題を生む

2025年8月5日、Mike Vizard 昨今、サイバーセキュリティチームは、生成型人工知能(生成AI/GenAI)ツールの導入ペースに追いついておらず、特にシャドーAIサービスの利用が増加し続ける中、今後数週間から数ヶ月でデータ侵害インシデントが急増する可能性が高い。 ManageEngineの調査によると、IT意思決定者(ITDM)の70%が組織内で無許可のAI使用を確認しており、従業員の60%が1年前よりも承認されていないAIツールを頻繁に使用している。91%がポリシーを導入しているが、明確で強制力のあるAIガバナンスポリシーを実施し、生成AIツールの無許可使用を積極的に監視しているのはわずか54%である。 また85%が「従業員のAIツール導入速度がIT部門の評価速度を上回っている」と報告。従業員の32%が会社の承認を確認せずに機密クライアントデータをAIツールに入力しており、37%が社内の非公開データを入力した。過半数(53%)が「業務用AIタスクへの個人端末使用が組織のセキュリティ態勢に盲点を生んでいる」と指摘している。 Harmonic Securityの別レポートによれば、生成型ツールへの従業員プロンプトの8.5%に機密企業データが含まれている。入力データのほぼ半数(48%)が顧客データであり、機密従業員データを入力したケースは27%だった。 データ漏洩以外にも対処すべき潜在的なサイバーセキュリティ問題として挙げられるのは、悪意のある出力を生成したり機密データを抽出したりするプロンプトインジェクション攻撃、AIモデル訓練用データの意図的な汚染、AIインフラやAIモデル構築に用いられるソフトウェアサプライチェーンを標的としたサイバー攻撃、そしてAIモデルそのものの盗難である。 現時点で生成AIツールの使用を禁止することは現実的ではないため、多くのサイバーセキュリティチームは、避けられないこれらの侵害を待つのではなく、生成AIの使用状況を積極的に検知・監査・監視する方向へ動いている。こうした知見を武器に、サイバーセキュリティチームが審査した認可済み生成AIツールとワークフローのセットを基盤としたガバナンスポリシーの定義が可能となる。 生成AIツールやプラットフォームの普及に伴い発生するあらゆるインシデントを防止することは不可能かもしれないが、追加トレーニングを少し施すことで、重大な侵害の数を劇的に抑制できると期待される。 もちろん、サイバーセキュリティ専門家が「門が閉まった後で馬を追う」ような状況に陥るのは今回が初めてではない。多くの点で、生成AIツールやプラットフォームの採用は、単に最新のシャドウクラウドコンピューティング事例に過ぎない。唯一の違いは共有される機密データの量であり、これはあまりにも多くの従業員が、例えば数多くのSaaSアプリケーションに関連する過去のクラウドセキュリティインシデントからいまだに教訓を学んでいないことを示唆している。 サイバーセキュリティチームは、生成AI関連のセキュリティインシデントに対処するにあたり、再び、忍耐を要する対応を求められる。しかし同時に、これらは教訓を得られる機会ともいえる。ウィンストン・チャーチルがかつて指摘したように、「良い危機は決して無駄にしてはならない」のであるから。

海外ブログ

マルウェア概説:新しい脅威、古くからある脅威 のページ写真 7

マルウェア概説:新しい脅威、古くからある脅威

2025年8月6日、Tony Burgess 今回は最新のマルウェア動向をいくつかまとめます。こちらにはEntra IDデータへの脅威やAI企業を装った詐欺などが含まれます。さらに、過去を振り返り、登場から10年近く経った今もなお多大な被害をもたらしている古典的なランサムウェアの亜種についても検証します。 パスワードスプレー攻撃 vs. Entra ID 種類: ブルートフォース攻撃の亜種 ツール: dafthack/DomainPasswordSpray, dafthack/MSOLSpray, iomoath/SharpSpray (全てGitHubで公開中) 脅威アクター: APT28(別名IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Forest Blizzard, FROZENLAKE, APT29(別名IRON RITUAL)、IRON HEMLOCK、NobleBaron、Dark Halo、StellarParticle、NOBELIUM、UNC2452、YTTRIUM、The Dukes、Cozy Bear、CozyDuke、SolarStorm、Blue Kitsune、UNC3524、Midnight Blizzard、APT33(別名HOLMIUM)、Elfin、Peach Sandstorm、Play この非常に長い脅威アクターのリストが示すように、パスワードスプレー攻撃は標的ネットワークへのアクセス手段として爆発的に普及しています。内部に侵入した攻撃者は横方向に移動し、高価値データを発見・流出させ、ランサムウェアやその他のマルウェアを挿入するなど、様々な活動が可能です。 従来のブルートフォース手法が(ほぼ)ランダム生成されたパスワードで標的アカウントを高速にアタックするのと異なり、パスワードスプレー攻撃では「password」「1234」など既知の一般的なパスワードを少量リスト化し、低頻度で試行する。 Entra IDシステムに対するパスワードスプレー攻撃は増加傾向にあり、最近では3大陸にまたがる、約8万アカウントを標的としたキャンペーンが発生しました。これは強固で固有のパスワードの使用を徹底すること、および堅牢なバックアップシステムによるEntra IDデータの保護の重要性を浮き彫りにしています。 偽の生成AIツール 種類: フィッシング、トロイの木馬、マルバタイジング ツール: NoodlophileStealer、ランサムウェア 脅威アクターはAI関連への関心の高まりを悪用し、新たな攻撃手法を開発しています。マルウェアを隠蔽した偽の生成AIツールを作成し、マルバタイジングやフィッシングを通じて拡散させています。 隠蔽されたマルウェアは主にスティーラー(特にNoodlophileStealerが頻出)で構成され、金融情報などの機密データを発見・窃取するために使用されます。 常に言えることだが、セキュリティ意識——そして広く認知されていない新ツールへの強い懐疑心——がこれらの攻撃を防ぐ鍵である。 過去の脅威:WannaCry 種類:ランサムウェア、ワーム 初確認時期:2017年5月 悪用された脆弱性:EternalBlue、DoublePulsar 脅威アクター:ラザルスグループ(北朝鮮関連) 2017年、WannaCry(別名WCry、WanaCryptor)が世界を震撼させ、現代のランサムウェア時代を幕開けさせた。攻撃開始からわずか2日間で推定20万台のコンピュータが感染した。マイクロソフトは複数のサイバーセキュリティ企業と連携し、マルウェア内に発見されたキルスイッチを起動するWindowsパッチを迅速に提供した。それでも攻撃終了までに数億ドルの身代金支払いが発生した。 WannaCryの重要な革新点はワーム機能を備えていたことだ。標的環境内の重要データを検索・暗号化するだけでなく、接続された他のコンピュータへ自身のコピーを注入する能力を持ち、前例のない速度で拡散した。 WannaCryの新種は今も世界中のシステムを攻撃し続けており、初期対応で悪用されたキルスイッチは搭載されていない。使用頻度の高いマルウェア種別には入らないものの、Any.Runの報告によれば2025年7月だけで227件のタスクが検出されている。 これは古いマルウェアが決して消滅せず、むしろ衰退すらしないという大切な教訓といえるだろう。やはり、常にシステムのパッチ適用とセキュリティ対策の継続的更新を怠らないよう、十分に注意と対策を継続することが重要です。 バラクーダ製品におけるセキュリティ向上 -新機能「マルウェア検出」バラクーダのCloud-to-Cloud Backupは、バックアップデータに潜んでいたマルウェアを、そのまま復元してしまうリスクに対応し、復元のタイミングでデータをスキャン。もしマルウェアが含まれていれば復元をストップします。これにより、「安全なデータだけを復元する」 という安心を提供します。 復元時にマルウェアを検出・遮断可能、さらに過去に保存された脅威も再び活動することを防止できる、この「マルウェア検出」機能は、Microsoft 365向けCloud-to-Cloud...

海外ブログ

SafePay:メール爆弾、電話詐欺、そして巨額の身代金要求 のページ写真 8

SafePay:メール爆弾、電話詐欺、そして巨額の身代金要求

2025年7月25日、Christine Barry ブランド名を選ぶ際、「SafePay」は最もつまらない選択肢の一つだろう。組織犯罪グループというより、決済アプリの名前に聞こえる。ドラゴンも虫も蛇がうごめく頭(Medusa?)も登場しないが、このブランドを掲げる集団は高度な技術と冷酷さを兼ね備えている。強力な暗号化、データ窃取、そして急増する被害者リストへの巨額の身代金要求で名を馳せている。 SafePayランサムウェアは2024年10月に初めて確認され、その後少なくとも1か月前から活動していたことが判明した。2025年第1四半期末までに、SafePayは200以上の被害者を主張しており、その中には複数業界のマネージドサービスプロバイダー(MSP)や中小企業(SMB)も含まれる。同グループは執拗に活動を続け、2025年5月には58~70件の被害を主張し、その月で最も活発なランサムウェアグループとなった。 SafePayとは何者か? まずブランド名から考察しよう。「SafePay」という名称は、グループを信頼できるように見せかける試みか、あるいは正規のセキュリティ製品名を利用することで混乱を招く意図がある可能性がある。正規で信頼され得るソフトウェアと同じ名称を用いることで、プロセス一覧やソーシャルエンジニアリング攻撃、フィッシングメールにおいて自らの活動を隠蔽できる。名称に特別な意味や由来を示す公開情報は存在せず、おそらく何の意味もないのだろう。 SafePayランサムウェアの運営者は自らを「SafePayチーム」と呼んでいます。このグループはランサムウェア・アズ・ア・サービス(RaaS)プログラムを提供しておらず、これはSafePayが独自のインフラストラクチャ、運用、交渉を管理する中央集権的な組織であることを示唆しています。 専門家は、SafePayが別のランサムウェアグループからリブランディングまたは移行した経験豊富な脅威アクターによって管理されていると推測している。SafePayとLockBitランサムウェアのバイナリ間には顕著な類似点が存在するが、SafePayは特にLockBit 3.0(2022年に漏洩)と最も類似している。Yelisey Boguslavskiyによる分析では、SafePayとConti攻撃の類似性が確認され、SafePayにはContiや他グループの元メンバーが関与している可能性が示唆されている。Boguslavskiyはさらに、2024年のSafePayの急成長がBlack Basta崩壊の主因だったと推測している。これはSafePayが既存脅威グループから意図的かつ戦略的に人材を獲得して形成されたことを示唆する。 SafePay運営者の所在地は公に確認されていないが、東欧を「拠点」とする証拠が存在する。SafePayのバイナリにはキルスイッチが組み込まれており、ロシア語やその他のキリル文字言語をデフォルトで使用するシステム上での実行を阻止する。このキルスイッチは、同グループが当該地域で活動していることを示す最も一般的な指標の一つである。 SafePayはRaaS(Ransomware as a Service)運営ではないため、拠点地を示唆する募集投稿や提携ルールは存在しない。被害者所在地データから、SafePayは米国とドイツの標的を優先しているようだ。国別内訳は以下のグラフを参照ください。 SafePayとソーシャルエンジニアリング SafePayの攻撃はソーシャルエンジニアリング戦術に大きく依存しています。同グループの代表的手法の一つは、従業員に大量のスパムメールを送信して企業の業務を混乱させることです。研究者らは、ある攻撃で45分間に3,000通以上のスパムメッセージが配信された事例を確認しています。 攻撃者はスパム攻撃による混乱を利用し、Microsoft Teamsを通じて従業員に音声通話・ビデオ通話・テキストメッセージで接触します。脅威アクターは企業のテクニカルサポート担当者を装い、メール攻撃による問題の解決を提案します。脅威アクター/発信者が成功した場合、従業員にMicrosoft Quick Assistのようなツールを通じてシステムへのリモートアクセスを提供させるよう説得します。Microsoft SecurityブログにはBlack Bastaがこの手法を用いて初期アクセスを獲得した手順の詳細な解説が掲載されています。この種の攻撃の仕組みに不慣れな場合は、該当ブログ記事およびMicrosoft Teamsのセキュリティ対策に関するMicrosoft記事の参照をお勧めします。 ここで重要な点をいくつか指摘します。まず最も重要なのは、これは脅威アクターが企業のヘルプデスクを攻撃ベクトルに転用した事例であることです。本攻撃ではヘルプデスクがなりすまされ、脅威アクターは従業員が脅威アクターと正規のテクニカルサポートを見分けられないことに依存しています。カオスランサムウェアは現在、この攻撃の変種を利用している。過去にはブラック・バスタなどでも同様の手口が確認されている。この種の攻撃に対抗するには、ヘルプデスクサポートの認証を義務付ける従業員教育とセキュリティポリシーが有効だ。ヘルプデスクセキュリティの詳細はこのRSAブログ記事を参照のこと。 もう一つの重要な点は、ボイスフィッシング(vishing)攻撃は電話詐欺を専門とする脅威アクターによって頻繁に実行されるということだ。こうした「発信者」や「話者」は犯罪フォーラムやマーケットプレイスでサービスを宣伝しています。組織化された発信者グループは、Vishing-as-a-Service(サービスとしてのVishing)や、被害者にMFAプロンプトの承認をさせるといった専門的な詐欺を提供する場合があります。以下のような募集投稿も見られるでしょう: コール担当者は通常、英語やその他の言語に堪能で、優れた口頭表現力と会話スキルを有しています。コール担当者の役割は、標的へ電話をかけ、信頼できる人物を装い、被害者を操作して詐欺への参加を促すことです。これは一部のランサムウェアグループが外部委託を希望する特殊な詐欺手法です。グループが内部要員か外部コール担当者を採用するかに関わらず、ヴィッシング(Vishing)詐欺師が顕著な訛りやAI音声を使用するとは限らない点に注意が必要です。 YouTubeの「詐欺師を釣る」動画では、フィッシング詐欺の試みや攻撃的なコール担当者の実例を確認できる。注意喚起:一部の詐欺師を釣る者は不適切な表現を削除しているが、全ての”釣り”の内容は職場や子供向けではないと想定すべきです。 SafePay攻撃チェーン ソーシャルエンジニアリングに加え、SafePayは盗まれた認証情報、脆弱な/デフォルトパスワード、エクスプロイト、セキュリティ設定ミスを利用してシステムへのアクセスを獲得することが確認されている。彼らは独自にアクセスを確立するか、初期アクセスブローカー(IAB)からアクセスを購入する可能性がある。初期アクセスが確立されると、攻撃は典型的な手順で進行する。 特権昇格:ネットワーク内部に侵入後、攻撃者は特権を昇格させてより深い制御権を獲得します。手法にはOSの脆弱性や脆弱なセキュリティの悪用、Mimikatzなどのツールを用いた認証情報の窃取が含まれます。これにより攻撃は基本ユーザーアクセスから管理者権限やシステムレベル権限へ移行します。成功した場合、攻撃者は攻撃の次の段階で制限のないアクセス権を獲得する可能性があります。 横展開(ラテラルムーブメント): 攻撃者はネットワーク内を移動し、機密データや追加リソースを発見します。この段階では、ネットワークのマッピングや攻撃の他のステップを実行するために、複数の「現地資源活用型」手法を使用しています。 防御回避: 攻撃は、アンチウイルスを無効化したり、イベントログを消去したり、悪意のあるコードを難読化したり、セキュリティアラートを無効化するためにシステムレジストリを変更したりしようと試みます。SafePayは通常、スタートアップ項目の変更やリモートアクセスソフトの設定を通じて永続化を試みます。永続化は中断された攻撃を再開し、必要に応じてシステムへの長期アクセスを確保するために使用されます。 データ収集と流出:データが特定・収集され、流出のために圧縮されます。SafePayは圧縮にWinRARや7-Zipを、データ転送にRCloneやFileZilla FTPを使用することが確認されています。 暗号化と恐喝:重要データが漏洩されると、ランサムウェアのペイロードがファイルを暗号化し、それぞれを.safepay拡張子で再命名します。SafePayは身代金要求書(readme_safepay.txt)をドロップし、支払い手順とリークサイトへのデータ公開脅迫を記載します。 動機と著名な被害者 SafePayは金銭目的のランサムウェア攻撃であり、二重恐喝(暗号化+データ流出)の常套手段と身代金要求文の以下の記述がそれを裏付ける: 我々は政治的動機を持つ集団ではなく、金銭以外の目的はない。 SafePayの身代金要求額は通常、被害者の年間収益の1~3%と高額である。ただし、身代金支払いが規制上の影響を及ぼす場合、要求額は大幅に減額される可能性がある。 SafePayの最も著名な被害者の1つが、グローバルIT流通・サービス企業イングラム・マイクロである。攻撃は2025年7月上旬に確認されたが、同社は攻撃者の名称を公表しなかった。研究者は、グループの漏洩サイトに掲載された証拠とダークウェブ監視サービスが共有した脅威インテリジェンスに基づき、本件をSafePayの犯行と特定した。この攻撃は世界的な中核業務を混乱させ、業界アナリストは注文履行不能による1日あたり少なくとも1億3600万ドルの売上損失を推定した。 SafePayは2024年10月にマイクロライズを攻撃した。マイクロライズは英国に拠点を置く企業で、車両追跡、ドライバー通信、車両の健康・安全管理などの輸送管理技術ソリューションを提供している。これによりマイクロライズの顧客業務が混乱し、DHLの配送や英国法務省が使用する囚人輸送車のセキュリティシステムにも影響が及んだ。 自分自身や組織を守るために SafePayランサムウェアへの防御には包括的なサイバーセキュリティ戦略が不可欠だ。これには多要素認証、定期的なパッチ適用、強力なエンドポイント検知・対応、ネットワークセグメンテーションなどの技術的対策が含まれる。フィッシング詐欺やその他のソーシャルエンジニアリング攻撃に対する従業員教育の重要性も増している。そしてもちろん、すべての企業は完全なランサムウェア対策バックアップソリューションを導入し、チームは復旧プロセスを定期的にテストすべきです。 バラクーダによる対策 防御するための対抗策の実施を待つことはありません。ランサムウェアと戦う最適なタイミングは、もちろん攻撃を受ける前です。フィッシングメールをブロックし、Webアプリケーションを保護し、ビジネスに不可欠なデータを安全に守るランサムウェア保護ソリューションでビジネスを守りましょう。サイバーセキュリティ専門家やSI企業等のガイダンスにより、最適なランサムウェアの脅威への対策、保護について検討開始しましょう。

海外ブログ

メール脅威レーダー – 2025年7月 のページ写真 9

メール脅威レーダー – 2025年7月

2025年7月24日、Threat Analyst Team 7月中に、Barracudaの脅威分析チームは、世界中の組織を標的とした複数の注目すべきメールベースの脅威を特定しました。その多くは、人気のフィッシング・アズ・ア・サービス(PhaaS)キットを活用していました。脅威には以下のものが含まれます: Tycoon PhaaSがAutodesk Construction Cloudを偽装した資格情報フィッシング攻撃 米国在住のドライバーを標的とした偽の道路料金違反詐欺 PhishingメールがZix Secure Messageサービスを模倣 EvilProxy攻撃がRingCentralを偽装 Gabagoolフィッシングキットがビジネス生産性ツールを悪用した毒性PDF CopilotとSharePointのブランドを組み合わせたフィッシング攻撃 LogoKit Roundcubeウェブメールサービスを利用した資格情報窃取攻撃 Tycoonリンクをドキュメントダウンロードとして配布 Autodesk Construction Cloudを悪用したフィッシング攻撃 脅威の概要:Barracudaの脅威アナリストは、攻撃者がAutodesk Construction Cloudを悪用して高度なフィッシング攻撃を配信していることを確認しました。Autodesk Construction Cloudは、設計から建設、プロジェクト管理、予算管理まで、建設プロジェクトに携わる人々が利用するオンラインコラボレーションツールのセットです。 Barracudaが確認した攻撃では、攻撃者は信頼できる役員を装い、Autodesk経由で公式に見えるプロジェクト通知を送信します。これらの通知は、Autodeskがホストするページに誘導し、一見無害なZIPファイルが含まれています。 ZIPファイルには、フィッシング攻撃を開始するHTMLファイルが含まれています。 HTMLファイルを開くと、フィッシング攻撃でよく使われる偽のCAPTCHA認証画面が表示されます。これは攻撃に信憑性を与え、自動セキュリティ検出を回避する効果があります。ユーザーは、本物そっくりのページでMicrosoftのログイン資格情報を入力するよう促されます。 このキャンペーンでは、Microsoftのログイン画面を模倣し、二要素認証の保護を回避するように設計された「Tycoon 2FAフィッシングキット」が使用されています。 攻撃者は米国在住のドライバーを標的とした新たな料金詐欺キャンペーンを展開 脅威の概要:米国在住のドライバーを標的とした新たなフィッシング詐欺が、未払いの料金に関する偽の通知を送信しています。被害者はテキストメッセージ、メール、または電話で緊急のメッセージを受け取ります。これらのメッセージは、正規の料金徴収機関から送信されたように見えます。メッセージでは、受取人が料金を支払わない場合、アカウントの停止や法的措置が取られると脅迫します。 メッセージには、車番やクレジットカード情報などの機密情報を入力させる偽のウェブサイトへのリンクが含まれています。詐欺師はこれらの情報を収集し、金銭的利益や身分盗用目的に利用します。 緊急性を強調し、公式ブランドを偽装する手法は、受信者がメッセージの正当性を確認せずに迅速に行動するよう圧力をかけ、この詐欺の有効性を高めています。 Zix Secure Message Centerを偽装したフィッシングキャンペーン 脅威の概要:このキャンペーンは、医療、金融、法律、政府機関など多くの組織で利用されている暗号化メールサービス「Zix Secure Message Center」を模倣しています。 被害者は、安全なメッセージに関するメールを受け取り、リンクをクリックして閲覧するよう促されます。リンクをクリックすると、偽のZixページに誘導され、メールアドレスの入力が求められます。その後、ユーザーは資格情報を盗むために設計された偽のMicrosoftログインページにリダイレクトされます。 このキャンペーンは、Zixの実際のワークフローとブランドを忠実に再現しているため、受信者が詐欺に気づきにくい点が特徴です。ZixやMicrosoft 365などのメール暗号化サービスを利用している組織は特にリスクが高いです。 EvilProxyによるRingCentralを偽装した偽のボイスメール攻撃 脅威の概要:Barracudaの脅威アナリストは、偽のボイスメール通知を利用して被害者を悪意のあるサイトに誘導し、資格情報を入力させる高度なフィッシング攻撃を確認しました。 RingCentral(人気のクラウドベースのビジネスコミュニケーションおよびコラボレーションプラットフォーム)を装った攻撃者は、個人情報を盛り込んだ「新しいボイスメール」に関する説得力のあるメールを送信します。再生ボタンをクリックすると、信頼できるニュースレタープラットフォーム(Beehiiv)から始まり、正当なクラウドホスティング(Linode)を経由し、最終的にglitch.meでの検証ステップにリダイレクトされます。 これらのステップは攻撃の検出を回避し、信頼性を高めます。最終的な目的地は、Microsoftの資格情報を収集するために設計されたEvilProxy PhaaSキットを使用したフィッシングページで、一般的なセキュリティチェックを bypass します。この多層的なアプローチにより、攻撃は検出が困難で非常に効果的です。 サマリ Gabagoolフィッシングキットがビジネス生産性ツールを悪用し、有害なPDFを拡散 脅威の概要:Gabagoolは、ステルス性と効果で知られる高度なPhaaSキットで、企業や政府の従業員を標的とした高度な資格情報の窃取戦術を使用します。Barracudaの脅威アナリストは、GabagoolとNotion.comのビジネス生産性ツールのファイル共有機能を使用して、フィッシングリンクを含む悪意のあるPDFファイルを配布する攻撃者を検出しました。これらのPDFは、ユーザーの資格情報を窃取する目的で設計されたフィッシングページに誘導します。信頼されたプラットフォームと一見無害なPDFファイルを悪用することで、攻撃者は標準的なセキュリティ対策を回避する可能性を高めています。 CopilotとSharePointのブランドを組み合わせたフィッシング 脅威の概要:サイバー犯罪者は、Microsoft SharePointとCopilotのブランドをフィッシングスキームに組み込み、内部またはベンダーのアカウントから送信された本物の「ドキュメント共有」アラートのように見えるメールを作成しています。これらのメッセージは、受信者にリンクをクリックさせ、巧妙に偽装されたMicrosoftログインページに誘導します。このキャンペーンは、Microsoftツールに依存する組織を標的とし、不注意な従業員からログイン資格情報を収集することを目的としています。 LogoKitはRoundcubeウェブメールサービスを利用して資格情報窃取をサポート 脅威の概要:このフィッシングキャンペーンは、Roundcubeの無料オープンソースウェブメールクライアントのユーザーを標的とし、パスワードが48時間以内に失効するとの偽の警告を表示します。メッセージには、現在のパスワードを維持するためと称するリンクが含まれていますが、これはLogoKitツールキットを使用して作成されたフィッシングサイトに誘導されます。ここでユーザーは資格情報を入力するよう促され、その情報が攻撃者に収集されます。 Tycoon PhaaSリンクがプロジェクト文書ダウンロードとして配布 脅威の概要:このフィッシングキャンペーンは、『Project Overview.pdf』などの正当なビジネス文書を装ったメールを流通させています。被害者はダウンロードリンクをクリックするよう誘われ、複数の中間ページを経由して悪意のある意図を隠蔽した後、最終的にTycoon PhaaSホストのフィッシングサイトに誘導されます。このモジュール式で回避性の高い戦略は、攻撃者が検出を回避し、悪意のあるURLの有効期間を延長するのに役立ちます。このキャンペーンは、文書をやりとりすることに慣れたビジネスユーザーを標的とし、フィッシングリンクを信頼してクリックする可能性が高く、資格情報の盗難やビジネスへの侵害につながる可能性があります。 Barracuda Email Protectionが組織を支援する方法 Barracuda Email Protectionは、高度なメール脅威から防御するための包括的な機能セットを提供します。これには、フィッシングやマルウェアから保護するEmail Gateway Defenseや、ソーシャルエンジニアリング攻撃から守るImpersonation...

海外ブログ

マルウェア概説:4つのマルウェアが連携して活動 のページ写真 10

マルウェア概説:4つのマルウェアが連携して活動

2025年7月21日、Tony Burgess 本日のマルウェア概説では、ほぼ同じ時期に現れた4つの異なるマルウェアの例を簡単に紹介します。これらのマルウェアは、それぞれのグループによって異なる目的で利用される複雑な脅威の連鎖を実証しています。 このケースでは、RomCom RAT、TransferLoader、MeltingClaw、DustyHammockの4つが、2020年代初頭にロシアのウクライナ侵攻後に特定されました。これらのマルウェアは、ロシア語を話すグループによってウクライナ、ポーランド、および一部のロシアの標的に対して広く使用されています。 RomCom RAT タイプ: リモートアクセストロイの木馬(RAT) 配布方法: フィッシングキャンペーン、改ざんされたURL、偽のソフトウェアダウンロード 変種: SingleCamper 最初の特定: 2022年 主な標的: 主にウクライナの標的に対して展開されています 既知のオペレーター: TA829、UAT-5647 RomCom RATは、脅威アクターがエンドポイントコンピュータを遠隔操作するためのバックドアを作成するために使用されます。ロシア関連グループTA829は、このツールを含む他のツールを情報収集や金融詐欺に利用しています。このグループは通常、Mozilla FirefoxとMicrosoft Windowsの脆弱性を悪用してRomCom RATを拡散します。 RomCom RATでシステムが侵害されると、脅威アクターは通常、TransferLoaderやSlipScreenのようなステルスローダーをシステムに挿入します。これらのローダーは、ターゲットシステムにランサムウェアをロードするために使用されます。 当初はロシア語を話すグループによってウクライナとポーランドの標的に対して主に使用され、その後金融犯罪に適応されました。 TransferLoader タイプ: マルウェアローダー 配布方法: 就職応募をテーマにしたフィッシングキャンペーン、RAT感染 最初の発見: 2025年2月 既知のオペレーター: UNK_GreenSec、RomCom TransferLoaderは、ダウンロードツール、バックドア、バックドアローダーを組み合わせ、脅威アクターが侵害されたシステムに変更を加え、ランサムウェアや他のマルウェアを挿入する機能を可能にします。 初めて発見されたのは、アメリカのある法律事務所のシステムにMorpheusランサムウェアをロードするために使用された際です。その後、MeltingClawやDustyHammerなどのマルウェアをドロップするために使用されています。 TransferLoaderはステルス性を重視して設計されており、検出を回避するための多様な技術を採用しています。ダウンロードされた悪意のあるコードを実行する際、偽のPDFファイルを開くことで活動を隠蔽します。 MeltingClaw タイプ: ダウンロードツール バリエーション: RustyClaw 最初の発見: 2024 既知のオペレーター/作成者: RomCom — 別名 Storm-0978、UAC-0180、Void Rabisu、UNC2596、および Tropical Scorpius 高度な スピアフィッシングキャンペーンが、ダウンロードツール MeltingClaw とその派生版 RustyClaw の配信に利用されました。これらのツールは、バックドア DustyHammock または ShadyHammock をダウンロードしてインストールします。 これらのステルス性の高いバックドアは、ターゲットシステムへの長期アクセスを可能にし、データの発見・窃取やその他の悪意のあるタスクを実行できます。ロシアのウクライナ侵攻中に、ウクライナのシステムに対する諜報活動と破壊活動に利用されました。 DustyHammock タイプ: バックドア バリエーション: ShadyHammock 初確認: 2024 DustyHammockは、コマンドアンドコントロールサーバーとの通信、標的システムでの初期偵察、脅威アクターが任意のコマンドを実行したり、悪意のあるファイルをダウンロードして配置したりする機能を実行するように設計されています。 検出を回避しながら長期的なアクセスを可能にするため、DustyHammockはデータ漏洩とスパイ活動、および破壊活動に利用されています。...

海外ブログ