Cl0pランサムウェア：眠っている間に襲いかかる悪質な侵入者

2025年5月16日、Christine Barry

Cl0pランサムウェアは、組織化されたサイバー犯罪グループ「TA505」によって運営されるプライベートなランサムウェア作戦です。Cl0p作戦はTA505犯罪組織の複数のユニットの一つであり、最も利益率が高いとされています。2019年の登場以来、Cl0pは$5億ドルを超える身代金支払いを強要し、世界中で数千の組織と数千万の個人に直接的な被害を与えています。2024年第4四半期、Cl0pはAkiraを凌駕し、RansomHubを追い越して、最も活発なランサムウェアグループとなりました。2025年第1四半期には、公開された侵害事例に基づき、Cl0pはLockBitを凌駕し、最も活発なランサムウェアグループとなりました。

研究者たちは、ブランド名「Cl0p」がロシア語の「клоп」（「klop」）に由来すると推測しています。これは英語で「ベッドバグ」を意味します。Rhysida、Medusa、BianLianと同様、この名前はグループが採用した特徴を表現する意図があると考えられています。ほとんどのアナリストは、小さなが強力（かつ不快な）ベッドバグが、ステルス性と持続性を象徴していると指摘しています。

Cl0pはClopやCLOPとも表記されますが、グループはしばしば「o」の代わりに「0」を使用します。これは、ClopとCl0pの類似性を認識しないキーワードフィルターを回避するための古い手法であり、ハッカーの慣行である文字を数字や記号で置き換える手法へのオマージュです。ただし、このグループはこれにはそれほどこだわっていないようです。彼らは身代金要求書でCLOP^_、Clop、C|0pといった表記も使用しています。

Cl0pとは何者か？

この質問に答えるため、まずロシア語を話すサイバー犯罪組織TA505から始めます。このグループは2014年から活動しており、DridexやLockyを含む複数のマルウェアファミリーを使用した攻撃を実施しています。Cl0p以外にも、TA505の犯罪活動には初期アクセスブローキング（IAB）、フィッシング、大規模なマルウェアスパム配布、金融詐欺、大規模なボットネット運営などが含まれます。

Cl0pランサムウェアの変種は2019年に登場し、CrypBossとCryptoMixランサムウェアから進化したものとされています。これらの2つの変種は2015年と2016年に登場し、2018年までに消滅していました。一部の研究者はCl0pがCryptoMixの直接の後継者だと考えていますが、より可能性が高いのは、以前のオペレーターが複数の異なるRaaSグループに分裂したということです。いずれにせよ、Cl0pランサムウェアは生き残り適応を続け、現在ではTA505オペレーションの「フラッグシップ」とされています。これは彼らの攻撃ツールの中でも最もよく知られたもので、攻撃手法における技術的高度さと適応性を示しています。Cl0pは、高プロファイルなサプライチェーン攻撃を通じて世界中で深刻な被害をもたらしてきました。

研究者はTA505とCl0pランサムウェアをロシアまたは独立国家共同体（CIS）に分類しています。Cl0pランサムウェアはロシア語システム上で実行されないように特別にプログラムされており、グループの通信やコードコメントにはロシア語の要素や文化的な参照が含まれています。コマンドアンドコントロールサーバーや支払いインフラの要素は、ロシアと東欧に遡及されています。

Cl0pの攻撃者は、ロシアや旧ソ連諸国内の組織を標的としない傾向があり、その活動パターンは東欧の時間帯の勤務時間と一致していることが観察されています。

ロシア起源の可能性にもかかわらず、Cl0pの攻撃者は、ハクティビストや国家機関との関連性を否定しています。

Cl0pの身代金要求メッセージには、グループの金銭的動機が強調されている可能性があります：

「私たちはこれを公開したり、あなたの機密情報を拡散したりするつもりはありません。私たちは金銭のみに興味があります。 政治的な発言には興味はありません。金銭のみがこれを終わらせるでしょう。」 ~via Ransomware.Live

これらの声明と相反する証拠の欠如を考慮し、研究者はCl0pが金銭的利益を動機としており、政治的目標を持っていないと推測しています。

Cl0pのオペレーション

Cl0pは、キャンペーンのほとんどをコアチームが管理するプライベートなランサムウェアオペレーションです。主要な攻撃、特にゼロデイ脆弱性を悪用した攻撃では、コアのTA505チームがエンドツーエンドの制御を維持しています。特定の作戦では、Cl0pはアフィリエイトモデルを selective に採用しています。信頼できるパートナーにランサムウェアコードの限定的な使用権を付与し、その見返りに身代金収入の一定割合を支払わせる仕組みです。これは、Cl0p / TA505が特定の作戦を計画し、より多くの「人手」が必要となる場合に適用される可能性があります。

この柔軟なアプローチにより、Cl0pはアフィリエイトに依存する純粋なランサムウェア・アズ・ア・サービス（RaaS）オペレーションと、完全に閉鎖されたチームとして活動するプライベートランサムウェアグループの中間に位置付けられます。一部の研究者や業界アナリストは、Cl0pをRaaSオペレーションと呼ぶのは、Cl0pが必要に応じてアフィリエイトを活用するためです。

Cl0pは他の点でも特徴的です。同グループは、これまで知られていなかった「ゼロデイ脆弱性」の悪用を専門とし、複数のサプライチェーン攻撃で成功裏に展開してきました。彼らは暗号化、データ窃取、分散型サービス拒否（DDoS）攻撃、利害関係者への嫌がらせを含む攻撃的な身代金要求戦術を採用しています。この嫌がらせには、被害を受けた従業員、顧客、パートナー、メディアに連絡を取り、侵害された企業に支払いを迫る行為が含まれます。

Cl0pはどのように機能するのでしょうか？

Cl0pの主な配布と感染方法は、高度なフィッシング攻撃からゼロデイ脆弱性の悪用へと進化してきました。フィッシングキャンペーンでは、悪意のあるメール添付ファイル、侵害されたサイトへのリンク、ソーシャルエンジニアリング手法が使用されます。Cl0pは既存の被害者から盗んだデータを使用して、説得力のあるメッセージと行動喚起を作成します。これにより、パートナー、顧客、ベンダーなど、標的のネットワークへのアクセス経路を提供する可能性のある対象に対する攻撃がより効果的になります。

Cl0pの初期段階では、フィッシングキャンペーンはマクロ有効化されたMicrosoft ExcelやWordファイルに依存していました。これらのファイルは、ユーザーを文書にリダイレクトするHTML添付ファイルを通じて配信されたり、メッセージに直接添付されたりしていました。

マクロが有効化されたデバイスでは、文書はCl0pが制御するサーバーから以下のツールをダウンロードします：

• Get2: マルウェアローダー、ダウンロードツール、または「第一段階マルウェア」。Get2の主な目的は、被害者のサーバーに他の悪意のあるソフトウェアをダウンロードして実行することです。
• SDBot: リモートアクセスと横方向の移動に利用されるバックドア型トロイの木馬のファミリー。Microsoftは子変種の詳細をこちらで公開しています。
• FlawedAmmyy RAT: データ窃取とコマンド実行に利用されるリモートアクセストロイの木馬（RAT）。
• ServHelper: リモートアクセスとバックドア機能を提供するマルウェアファミリー。資格情報を収集し、脅威の持続性を確立する機能も備えています。

Cl0pは、標的組織へのアクセスを得るためにInitial Access Brokers（IABs）も使用します。

Cl0pはゼロデイ脆弱性を活用して成功を収める

Cl0pはフィッシング攻撃を継続していますが、ゼロデイ攻撃がグループの主要な手法となっています。多くのランサムウェアグループはパッチ未適用システム上の既知の脆弱性を悪用しますが、Cl0pは繰り返し未知の脆弱性に対するエクスプロイトを開発・展開しています。主なものは以下の通りです：

Accellion FTA（2020年12月）：このファイル転送アプライアンスはエンドオブライフ（EOL）間近だった際に、Cl0pによって複数の脆弱性が発見され悪用されました。攻撃は12月23日、米国のクリスマス休暇直前に実行されました。Cl0pはAccellion FTAを使用する約100の組織へのアクセスを獲得しました。脆弱性：CVE-2021-27101/27102/27103/27104

GoAnywhere MFT (2023年1月): Fortraのマネージドファイル転送ソリューションは、ベンダーが侵害に気付くまでの2週間、活発に悪用されていました。Cl0pはこの脆弱性を悪用し、130社を超える企業にアクセスしました。脆弱性: CVE-2023-0669

MOVEit Transfer（2023年5月）：Cl0pは2023年5月末、米国のメモリアルデー休暇中に、別のファイル転送システムサービスプロバイダーを攻撃しました。この脆弱性はMOVEitのクラウド版とオンプレミス版の両方に存在し、Cl0pは数千の企業にアクセスし、数百万人の個人に影響を及ぼしました。このサプライチェーン攻撃の図解はこちらでご確認いただけます。脆弱性：CVE-2023-34362

Cleo Software（2024-2025）：Cl0pは、3つのCleo Software製品に存在する2つの脆弱性を積極的に悪用しています：

• Cleo LexiCom: ベンダー、顧客、その他のビジネスパートナーとの間で機密文書を交換するために使用されるセキュアなファイル転送用のデスクトップクライアント。
• Cleo VLTrader: 複数のプロトコルをサポートするサーバーベースのマネージドファイル転送（MFT）ソフトウェアで、自動化されたワークフローに対応しています。
• Cleo Harmony: SAPやSalesforceなどのエンタープライズリソースプランニング（ERP）ソリューションと統合可能なエンタープライズグレードのプラットフォーム。

これらの脆弱性は、Cleoの顧客からバックドアを確立しデータを窃取するために利用されました。この攻撃は2025年5月現在も継続中です。脆弱性: CVE-2024-50623 /55956.

これらの4つのサプライチェーン攻撃により、Cl0pは数千の被害者にアクセスできました。各攻撃の速度が重要でした。ほとんどのベンダーは迅速にパッチをリリースし、顧客と連絡を取りましたため、Cl0pの機会窓は時間ごとに縮小していました。データ暗号化に追加の時間をかける代わりに、Cl0pはデータ窃取に焦点を当て、これと他の種類の脅迫を組み合わせました。

これらの攻撃において速度が極めて重要だったため、Cl0pはデータ漏洩を支援するアフィリエイトに依存しました。これがハイブリッドRaaSモデルが機能するポイントです。Cl0pのコアチームは、すべての潜在的被害者を同時に攻撃する能力がなかったため、アフィリエイトはより多くの被害者から得られる身代金の一部を共有する形で協力しました。

研究者はCl0pの攻撃のタイミングにもパターンを発見しています。フィッシングメールは標的地域の一般的な勤務時間中に送信され、被害者がデスクにいる際に最も多くの被害者を捕獲するように設計されています。Cl0pはITスタッフが減少または不在のオフピーク時や長期休暇中に脆弱性を攻撃します。

初期アクセス以降、Cl0pの攻撃チェーンは次のように進行します：

• ラテラルムーブメント: Cl0pは、Mimikatz、PsExec、Cobalt Strikeなどのツールを使用してネットワークを探索します。
• 回避と持続化: Cl0pはWindows Defenderとバックアッププロセスを無効化し、コードの難読化を使用して悪意のある活動の指標を隠蔽します。
• データ窃取: Teleportデータ窃取ツールなどのカスタムツールを使用して機密データを窃取します。
• 暗号化: ファイルが暗号化されると、clop、CIIp、C_L_O_P、または類似の拡張子でリネームされます。

身代金要求メッセージは通常、`Cl0pReadMe.txt`または`README_README.txt`という名前で保存されます。被害者の情報はCl0pのリークサイトに投稿されます。

暗号化が行われない場合、Cl0pは1つまたは複数の恐喝戦術を実行します。これにはデータ漏洩、DDoS攻撃、または被害者への嫌がらせが含まれます。身代金交渉が失敗した場合、Cl0pはデータをダウンロード可能にします。

Cl0pはサイバー脅威の風景において、最も破壊的で適応力のあるランサムウェア脅威の一つとして常に上位にランクインしています。迅速にエクスプロイトを展開し、必要に応じてオペレーションを拡大する技術的能力を有しています。また、TA505という大規模なグループの一員であり、オンデマンドで活用可能な多様なサイバー犯罪オペレーションを運営しています。回復力、技術革新、多様なリソースへのアクセスが、Cl0pをすべての企業にとって深刻な脅威としています。

自己防衛

ベストプラクティスに従い、複数のセキュリティ層を組み合わせることでリスクを軽減できます。特にファイル転送ソリューションやサプライチェーンソフトウェアに対しては、セキュリティパッチを迅速に適用し、警戒を怠らないようにしてください。Barracuda Managed XDRのようなソリューションは、これらの攻撃を検出するとともに、データの暗号化や盗難を防止できます。