1. HOME
  2. ブログ
  3. Blog
  4. NightSpire:ランサムウェアの闇世界に現れた覇王を気取る攻撃者

Info.

お知らせ

Blog

NightSpire:ランサムウェアの闇世界に現れた覇王を気取る攻撃者

NightSpire:ランサムウェアの闇世界に現れた覇王を気取る攻撃者 のページ写真 1

Christine Barry

NightSpireランサムウェアグループによる、旧来の手口と最新の二重恐喝を融合した手口に関する解説  

重要ポイント:

  • サイバー攻撃者は一般的なITツールや認証情報を悪用していることから、予防よりも回復力が重要となっています。 
  • 本当の脅威は暗号化だけではなく業務への圧力となっています。身代金支払いまでの期限を短く設定し、リークサイトを活発に運用することで、NightSpireは時間的プレッシャーと不安、企業の評判低下リスクを利用し、迅速な支払いを促しています。 
  • NightSpireには運用面で未熟な部分も見られ、その未成熟さがリスクをもたらす一方で、防御側にとっては検知や追跡の機会にもなっています。 

NightSpireは金銭目的のランサムウェアグループであり、2025年2月に初めて観測され、2026年5月1日時点で世界中の数十か国で259件の被害を発生させたと主張しています。このグループには興味深い背景があり、その存在が公になる前の2024年頃には、他の開発者や異なるツールと関わっていた可能性があります。これらのつながりについては後のセクションで説明します。現在のNightSpireの概要を以下に示します。 

脅威タイプ  プライベートなランサムウェアグループでしたが、2026年4月にRaaS(サービスとしてのランサムウェア)モデルへの移行した兆候が見られます。 
独自の特徴  新興グループとしては異例の速さで能力を高めていますが、Gmailで被害者とやり取りしていたり、オペレーターのハンドル名が特定可能なサーバー名を使用したりするなど、重大なセキュリティ上のミスも見られます。 
標的  あらゆる業種と規模の企業NightSpireは、機会を逃さず、隙をみつければどこへでも攻撃をしかけてきます 
初期アクセス  CVE-2024-55591のエクスプロイト、RDP(リモートデスクトッププロトコル)ブルートフォース攻撃、フィッシングキャンペーン。 
恐喝手法  データの外部流出と暗号化を組み合わせた二重恐喝 
リークサイト  専用リークサイト(DLS)を運用し、被害者リストや支払い拒否企業のリストを公開しています。また、窃取したデータを無償でダウンロード可能な状態で公開しています。 

NightSpireのキルチェーン 

NightSpireは、構造化された多段階の攻撃ライフサイクルを採用しており、その攻撃プロセスでは既知の脆弱性や容易に入手可能なツール群に大きく依存しています。このバイナリはGo言語でコンパイルされた実行ファイルであり、多段階にわたる偵察機能、難読化、高度な暗号化機能を備えています。 

初期アクセス  

NightSpireの主な初期アクセス方法はCVE-2024-55591です。これはFortinetのFortiOSおよびFortiProxyに存在する重大な認証バイパスの脆弱性です。この脆弱性によって、細工したリクエストを送信することで、認証されていない攻撃者がスーパー管理者権限を取得し、デバイスを完全に乗っ取ることが可能になります。Fortinetはこの脆弱性を2025年1月に公開しましたが、実際には少なくとも2024年11月の時点で攻撃が観測されていました。 

また、このグループはブルートフォース攻撃やクレデンシャルスタッフィング攻撃、フィッシングキャンペーン、多要素認証(MFA)疲労攻撃、さらにリモート監視・管理(RMM)プラットフォームの悪用を行っていることも確認されています。NightSpireは、機会があれば他のエクスプロイトも利用しています。 

ラテラルムーブメントと権限昇格  

NightSpireは、環境寄生型バイナリ(LOLBin)として知られるOS標準ツールや、攻撃時に持ち込んだ正規のサードパーティツールを悪用しています。LOLBinとしては、ConhostPowerShellWMIなどが使用され、これらはコマンド実行や検知回避に悪用されています。また、Advanced IP ScannerEverything.exeのようなユーティリティが使用され、ネットワークのマッピングや、財務記録、社内コミュニケーション、顧客データベース、また、NightSpire価値があると判断したあらゆる情報の検索に利用されています。 

認証情報の収集にはMimikatzが使用され、LSASSメモリからパスワード、ハッシュ、Kerberosチケットを抽出し、ドメイン管理者権限に昇格します。AnyDeskは、永続的なリモートアクセスおよびハンズオンキーボード攻撃に使用されています。 

データの外部流出 

NightSpireはネットワークからファイルを収集する際、Windows標準のコピー用ユーティリティや、PowerShell用のカスタムスクリプトを使用します。収集されたファイルは7-Zipを用いて暗号化されたアーカイブにまとめられ、その後、WinSCP、MEGAcmdMegaクラウドストレージ)、またはRcloneを使用して、攻撃者が管理するインフラへ転送されます。 

暗号化とランサムウェアの展開  

NightSpireは攻撃を高速化するため、ハイブリッドの暗号化戦略を使用します。特定タイプの大きなファイル(iso、vhdx、vmdk)は1MB単位のチャンクに分割して暗号化されますが、それ以外のすべてのファイルはファイル全体が暗号化されます。暗号化されたファイルの多くは「.nspire」という拡張子が付けられて名前が変更されますが、Microsoft OneDriveのファイルについては扱いが異なります。 

NightSpireは、Microsoft OneDriveに保存されているファイルを暗号化する際、アイコンやファイル拡張子を変更しません。攻撃後に、ユーザーがOneDrive上のデータにアクセスする場合、ファイル名やアイコンはすべて正常に表示されますが、実際のデータは破損しておりファイルを開くことはできません。この場合、暗号化の兆候を視覚的に確認することはできません。これは運用能力の高さを示しており、検知を遅らせ、攻撃の滞留時間を延ばすことを目的としています。また、OneDriveクラウドへの同期処理を妨害しないという特徴もあります。 

NightSpireの身代金メモの例を以下に示します。  

Ransomware.liveによるNightSpireの身代金メモ
Ransomware.liveによるNightSpireの身代金メモ

恐喝と交渉 

NightSpireの恐喝戦略は攻撃的であり、いくつかの側面から同時に緊急性を煽り、継続的に圧力をかけるよう設計されています。被害者は、身代金要求メッセージを最初に受け取ってからわずか48時間以内に、窃取されたデータが公開される恐れがあります。NightSpireは独自の交渉ポータルに加え、複数の通信チャネルを使用しており、被害者が接触や交渉を回避しにくい状況を作り出しています。交渉が停滞した場合、NightSpireは従業員への直接連絡や、窃取したデータの一部リーク、さらには過去のやり取りの抜粋公開などを通じて、企業の評判低下リスクを高める可能性があります。被害者が支払いに応じない場合、NightSpireは窃取したデータを他のサイバー攻撃者に提供します。 

NightSpireとの交渉チャット。出典:Ransomware.live
NightSpireとの交渉チャット。出典:Ransomware.live

グループ名とロゴ 

NightSpireのデータリークサイトの概要ページには、ロゴや典型的なランサムウェアグループのメッセージが掲載されている。出典:Red Hot Cyber
NightSpireのデータリークサイトの概要ページには、ロゴや典型的なランサムウェアグループのメッセージが掲載されている。出典:Red Hot Cyber

NightSpireのデータリークサイトの概要ページは「Greetings to world~(世界の皆様へのご挨拶〜)」という言葉で始まり、語尾にチルダ(~)が付いています。このチルダは特に中国のインターネット文化において東アジア系オンラインコミュニケーションの特徴的な記号として知られています。続く文章は演劇的かつ誇張的な表現が目立ち、攻撃者が比較的若く、威圧的なイメージを構築しようとしている可能性が示唆されています。 

NightSpireは2025年3月にデータリークサイトを公開し、同時に独自のビジュアルアイデンティティも打ち出したとみられています。研究者は、このグループの名称がゲーム「World of Warcraft(WoW)」の世界における「Nightspire」を示している可能性があることにすぐに気づきました。WoWにおける「Nightspire」は、権力の象徴的な拠点であると同時に、高難度の実績要素としても知られています。Nightspireはブランド名の「S」を緑色の大文字で強調していますが、これはWoWにおける「邪悪な緑」を象徴している可能性があります。あるいはドル記号($)を象徴している可能性もあり、その両方の意味を持つかもしれません。 

ロゴは金色で描かれた角張った尖塔または塔を、黒い円の中に配置したデザインとなっています。ロゴ下の「NAN SIRE」という文字列の意味は不明ですが、「SIRE」は領主や君主を意味する称号です。ロゴ横のページテキストには「kneel before our demands(我々の要求の前に跪け)」と記載されています。 

これらはNightSpireのブランド戦略を解釈したものであり、同グループが公表したものではない点に注意してください。 

所在地とオペレーターの正体  

NightSpireの地理的な拠点を特定する証拠はほとんどありません。政府機関による正式な帰属は発表されておらず、法執行機関による捜査、逮捕、起訴なども2026年5月1日時点では報告されていません。しかし、観測されたインフラとオペレーターの経歴は、いくつかの地理的指標を示しており、それらを総合すると、インドに関連するオペレーターのネットワークと、中国語話者が関与している可能性を示しています。その最初の手がかりの一つが、前述したチルダ(~)です。 

最も確度の高い地理的指標はIPアドレス14.139.185[.]60であり、これは2025年3月にS-RMによって初めて記録されました。このIPアドレスは、NightSpireのインフラに関連する、WinSCPを利用したデータ流出先サーバーとして特定されました。このIPは、その後いくつかの情報源や研究者によって侵害の兆候(IoC)として再掲載されましたが、このIPがいつ運用停止されたのか、あるいは現在も使用されているのかを明確に示した情報源は存在しません。 

このIPアドレスは、インドのナショナルナレッジネットワーク(NKN)でケララ農業大学に割り当てられたアドレスブロックに含まれています。これは、インドの学術ネットワーク構想の一環として同大学に割り当てられた、16個のIPアドレスから成る小規模な割り当てブロックであり、固定されたアドレスです。  このことから、グループが大学内からインフラを運用していた可能性も考えられますが、近年では多くの学術機関が侵害されていることから、別の可能性も十分に考えられます。むしろNightSpireは、侵害されたホストや高帯域なネットワーク環境を悪用していた可能性の方が高いとみられています。

NightSpireには、関連が確認されているオペレーターのハンドル名が2つ存在します。 

Xdragon128(別名、Xdragon333)は、主な対外的オペレーターが使用しているハンドル名です。このハンドル名は、「dragon(ドラゴン)+数字」という典型的なゲーマー系の命名規則に従っており、グループ全体に見られるゲーム文化的な美学とも一致しています。 

cuteliyuanは、2人目のオペレーターとして確認されているハンドル名です。この名前には、中国語圏で一般的な名前である「liyuan」が含まれており、中国語話者である可能性を示唆しています。これは、NightSpireデータリークサイトの挨拶文に見られるチルダなどで観察されている東アジアの文化的要素とも一致しています。 

ルーツ 

NightSpireは、2024年半ばまで遡る過去の別名義、ツール、コミュニティとのつながりが確認されています。興味深いのは、この系譜がコードの共有ではなく、人間のオペレーターの共有を通じて形成されている点です。 

初期オペレーターの観測 

2024年後半、サイバー攻撃者「xdragon128」は「Paranodeus」と協力し、PythonベースのParanoツールセットの作成および販促を行っていたと報告されています。この活動は、DarkAssaultおよびDeepWingのTelegramグループで観測されています。同時期に、xdragon128はCyberVolkに関連するハクティビスト寄りのチャンネルにも出現していました。   

CyberVolkによって販促されたParanoツール。出典:Cyfirma
CyberVolkによって販促されたParanoツール。出典:Cyfirma 

これはxdragon128によるランサムウェアエコシステムへの初期の関与である可能性があります。 

複数のレポートによると、Paranodeusとxdragon128は同じTelegramコミュニティ内で活動し、Paranoの配布において協力していたとされています。これらのTelegramチャンネルはすでに削除されており、現時点ではアーカイブやスクリーンショットも利用できなくなっています。ここで提示されているフォーラム画像(こちらおよびこちらで公開されたもの)は、報告されている協力関係を裏付ける可能性があります。さらにこちらの別の調査では、「Paranodeus(別名 xdragon128)」への言及も確認されています。ただし、これら2つのハンドル名が同一人物を指していることを裏付ける証拠は確認されていません。

Rbfs恐喝オペレーション 

2025年初頭までに、xdragon128は「Rbfs」と呼ばれる恐喝オペレーションに関与していた可能性があります。このオペレーションは短命に終わっており、明確なブランド戦略も確認されていませんでした。被害者の状況を告知するフォーラムへの投稿を以下に示します。

Rbfsの被害者に関するxdragon128の投稿。出典:S-RM
Rbfsの被害者に関するxdragon128の投稿。出典:S-RM

また、以下は2025年3月21日時点のNightSpireデータリークサイトの部分的なスクリーンショットであり、上記と同じ被害者が掲載されています。  

NightSpireの被害者リスト。出典:S-RM
NightSpireの被害者リスト。出典:S-RM 

詳細なスクリーンショットおよびその他の重複被害者については、こちらから参照いただけます。なお、名前は研究者によってマスキングされています。 

この時点で、NightSpireのもう一人の重要オペレーターとして知られる人物が初めて記録上に現れます。複数の情報源は、「cuteliyuan」というハンドル名のオペレーターがRbfsの被害データへのTelegramリンクを共有していたと報告しており、NightSpire出現直前の段階で協力関係にあった可能性を示唆しています。この活動に関するスクリーンショットやアーカイブは現時点では公開されていませんが、独立した複数のレポートに見られる一貫性は、この評価を補強する材料となっています。 

NightSpireへのリブランディング 

RbfsからNightSpireへの移行は、2025年3月初旬に突如として発生しました。Rbfsの活動は同時期に停止しており、それと入れ替わるようにNightSpireが出現しています。複数の情報源により、前述した共通オペレーターの存在や被害者の重複が確認されています。インフラ継続性を示す指標も、この関連性をさらに裏付けています。その一例が「XDRAGON-SERVER1」というホスト名であり、初期のインシデント報告ではxdragon128のペルソナに関連付けられていました。 

NightSpireは、初期のRbfsオペレーションとの明確な系譜を共有している一方で、能力や実行手法にはいくつかの重要な違いも見られます。 

  • NightSpireで使用されているGo言語ベースのランサムウェアペイロードは、Paranoエコシステムに関連していた従来のPythonベースのツール群からの転換を示しており、基盤となるマルウェア開発体制に断絶が生じている可能性を示唆しています。 
  • NightSpire完全な二重恐喝モデルを運用しており、暗号化と専用リークサイト、体系化された被害者公開プロセスを組み合わせています。一方で、Rbfsはデータ窃取と情報公開による恐喝のみが確認されています。 
  • NightSpireの活動初期における数か月間には、運用面での未成熟さも目立っていました。研究者は、公開されたディレクトリ一覧や特定可能なインフラストラクチャを発見しています。交渉はGmailで行われることもあり、その結果、交渉中にアカウントが停止されるリスクもありました。 

中核オペレーターによる継続的な関与、突発的な移行タイムライン、さらにインフラ継続性を示す指標を総合すると、NightSpireはゼロから立ち上げられた新規グループというよりも、既存組織の再編および拡張によって形成された可能性が高いと考えられます。過去の活動からは、Paranodeusが同一エコシステム内に存在していたことが示唆されていますが、この人物やParanoツールセットがNightSpireの運用に直接関与していたことを示す証拠は確認されていません。 

RaaS(サービスとしてのランサムウェア)モデルへの移行の兆候 

2026年4月に公開されたレポートでは、NightSpireがアフィリエイトを募集しているスクリーンショットが確認されています。

NightSpireデータリークサイトにおけるRaaSのアナウンス。出典:SOSRansomware
NightSpireデータリークサイトにおけるRaaSのアナウンス。出典:SOSRansomware 

これは、NightSpireがアフィリエイトを活用した拡大路線へ移行する姿勢を初めて公に示したものとみられます。 

NightSpireは、中核オペレーターの継続的な関与を維持したまま、Go言語ベースのペイロードを導入し、被害者への攻撃規模を拡大させながら、完全な二重恐喝型ランサムウェアグループへと急速に発展しました。これは、コミュニティ主導のツール開発や試験的な活動から、共通のコードではなく同じ関係者によって支えられた、組織的かつ利益目的のランサムウェア運用へと意図的に移行したことを示しています。 

この動向が組織に与える影響 

NightSpireの急速な進化は、ランサムウェアのオペレーションがいかに速く変化しているかを示しています。 

企業のリーダー被害発生後の迅速な復旧や業務継続を重視を優先する必要があります。優先すべき対策には、重要データを保護し確実に復旧できる状態を維持すること、システムをどの程度の速度で復旧できるかを把握しておくこと、そして暗号化だけでなくデータ公開の可能性にも備えることが含まれます。ランサムウェアインシデントの影響は、現在では単なるダウンタイムにとどまらず、規制リスク、評判の毀損、顧客信頼の喪失にまで及びます。 

セキュリティ投資は、「攻撃をどれだけ防ぐか」ではなく、「攻撃の影響をどれだけ軽減できるか」に基づいて評価する必要があります。そのためには、ランサムウェアとデータ侵害の両方を想定したインシデント対応計画を整備し、法務、広報、運用など各部門の役割を明確化しておくことが重要です。 

目的は攻撃者のすべての動きを先読みして防ぐことではなく、検知、対応、復旧を迅速に行いながら、事業運営に集中できる状態を確保することです。この目標を達成するための取り組みは、マネージドサービスプロバイダー(MSP)やサードパーティーのサービスによって補強することも可能です。 

NightSpireのタイムラインは、攻撃者が初期アクセスから完全な侵害に至るまでのスピードが加速していることを示しており、MSPやITチームにとって迅速な検知と対応が重要であることを浮き彫りにしています。侵入後、攻撃者は正規ツールや検知を回避しやすい手法を利用して、データの特定、収集、持ち出し準備を進めたうえで、ランサムウェアを展開する傾向を強めています。そのため、早期の検知と封じ込めが極めて重要です。 

特にMicrosoft 365などのクラウド環境では、データ窃取の兆候を把握するために、ユーザー活動、ファイルアクセスパターン、データ移動を可視化できる体制が求められます。多要素認証(MFA)や条件付きアクセスなどの堅牢なアイデンティティ制御は、依然として一般的な侵入経路となっているアカウント乗っ取りのリスクを低減する上で不可欠です。さらにバックアップは利用可能であるだけでなく、イミュータブル(改ざん不能)であり、定期的にテストを行い、迅速に復元できることを確認する必要があります。 

MSPでは複数の顧客環境を管理しているため、このリスクはさらに増幅します。一度侵害されると、顧客環境が適切にセグメント化されていない場合、被害が他の顧客環境へ連鎖的に拡大する恐れがあります。ランサムウェアグループにRaaSモデルへの移行の兆候が見られる中、MSPは攻撃が今後さらに高頻度化および分散化することを前提に備える必要があります。プロアクティブな監視、セキュリティ管理の標準化、そして迅速な対応能力は、攻撃の発生可能性と被害影響の両方を低減するうえで重要な要素となります。 

バラクーダができること 

AI駆動のサイバーセキュリティプラットフォームであるBarracudaONEを活用することで、防御とサイバーレジリエンスを最大化できます。このプラットフォームは、メール、データ、アプリケーション、ネットワークを保護し、24時間365日体制のマネージドXDRサービスによって強化され、セキュリティ防御を統合し、高度な脅威検知と対応を実現します。高度な保護機能、リアルタイム分析、プロアクティブな対応機能を活用することで、組織のセキュリティポスチャを自信を持って管理できます。また、堅牢なレポート機能が、リスクの監視、ROIの測定、運用への影響を可視化するために役立つ、明確で実用的な洞察を提供します。当社のサイバーセキュリティ専門家による、プラットフォームのデモを是非ご体験ください 

プラットフォームの詳細はこちら 

原文はこちら:
NightSpire: Wannabe warlords in ransomware’s shadow realm
May. 1, 2026 Christine Barry
NightSpire: Wannabe warlords in ransomware’s shadow realm | Barracuda Networks Blog

関連記事