はじめに
Anubisランサムウェアグループが主導する深刻なランサムウェア攻撃がアドリア海港湾局を標的とし、その業務を麻痺させ、地域全体の海上物流に甚大な影響を及ぼしました。このサイバー攻撃は、重要インフラにおける脆弱性について深刻な懸念を呼び起こしています。世界的なサプライチェーンの混乱が続き、海事セキュリティ領域で新たな脅威が台頭するなか、Resecurityは国家、サイバー傭兵、高度なサイバー犯罪・諜報グループによる悪意ある活動が今後増加すると予測しています。ランサムウェア攻撃は各国の港湾局や海上業務を繰り返し標的とし、広範な業務停止と多大な経済的損失をもたらしてきました。以下に確認済みのサイバーセキュリティインシデントを示します。
| 年 | 標的・港湾 | 攻撃者・マルウェア | 業務への影響 | 経済的損失 | 復旧期間 |
|---|---|---|---|---|---|
| 2017 | Maersk(グローバル) | NotPetya | IT/OTのグローバル停止、貨物遅延 | 2億〜3億ドル | 10日〜数週間 |
| 2018 | サンディエゴ港 | Ryuk(疑い) | IT障害、手動対応での運用継続 | 非公開 | 数日〜数週間 |
| 2020 | MSCジュネーブ | Ryuk(疑い) | 予約・貨物追跡システムの障害 | 非公開 | 約1週間 |
| 2023 | 名古屋港(日本) | LockBit 3.0 | NUTSシステム停止、貨物搬出入停止、トヨタへの影響 | 甚大 | 主要業務は2〜3日 |
| 2023 | リスボン港(ポルトガル) | LockBit | IT障害 | 非公開 | 未発表 |
| 2026 | ビーゴ港(スペイン) | 不明なランサムウェア | デジタルシステム停止、手動での貨物対応 | 非公開 | 継続中/手動対応 |
| 2025 | 名古屋港(日本) | LockBit | 一時的な業務停止 | 未発表 | 未発表 |
| 2025 | 複数港湾(グローバル) | RaaS/APTグループ | 貨物の完全停止、サプライチェーンのボトルネック | インシデントあたり数百万ドル | ケースにより異なる |
港湾局を標的としたサイバー攻撃は、実際の物理的攻撃に匹敵する混乱と経済的損害をもたらし得ることが証明されています。この現実は、イスラエルによるイランのシャヒード・ラジャイー港へのサイバー作戦や、名古屋港のランサムウェア攻撃が港湾業務を完全に停止させ、物理的な攻撃に近い混乱を引き起こしたことで、まさに象徴的に示されました。
Resecurityは、地政学的緊張の継続と局地的紛争・戦争の拡大を背景に、港湾局および海上事業者へのサイバー攻撃が2026年から2030年にかけて著しく激化すると予測しています。デジタル化と自動化が海事セクターの変革を推し進めるなか、これらの組織は国家支援の脅威アクターと組織的サイバー犯罪グループの両方が仕掛ける高度なサイバー脅威に、ますますさらされるようになっています。世界貿易の最大90%を担う海事インフラの戦略的重要性が、破壊工作や諜報目的のサイバー作戦にとって格好の標的となっています。
海事セクターにおける急速なデジタルトランスフォーメーション——IoT、OT、相互接続された物流プラットフォームの統合——は攻撃対象領域を拡大させており、脆弱性の悪用が容易になっています。サプライチェーン攻撃、ランサムウェア、そしてGPSスプーフィングやAIS改ざんといったハイブリッド戦術は、紛争地域を中心にますます多発しています。Resecurityは、EU主要港湾局の一つがAnubisランサムウェアの被害を受けた事例を分析し、物理的影響をともなうサイバー悪意活動の実例として、セキュリティ専門家の認識向上を目的にケーススタディとして公開します。
Anubisランサムウェアとは
Anubisランサムウェアは、被害者のファイルを暗号化し、その解除と引き換えに暗号通貨での多額の身代金を要求することで知られる悪名高いマルウェアです。高度なスキルを持つ脅威アクターのグループを起源とし、世界各地の政府、企業、重要セクターを標的とした複数の注目度の高い攻撃に関与してきました。その主な特徴は次のとおりです。
- データ暗号化:重要なシステムとデータへのアクセスをロックアウト
- データ窃取:暗号化前に機密情報を外部へ持ち出し、被害者への圧力を高める
- 二重恐喝:身代金を支払わなければ窃取したデータを公開すると脅迫
- 高度な戦術:高度なフィッシング、認証情報窃取、システムの脆弱性悪用を組み合わせてネットワークに侵入
Anubisランサムウェアは高度に適応型の多段階脅威であり、重要インフラを標的として、初期アクセスにVPNやWebアプリの脆弱性(技術的エクスプロイト)とソーシャルエンジニアリングの両方を活用します。その攻撃チェーンは、高度な防衛回避技術(QEMUの仮想マシン悪用)、認証情報窃取、ラテラルムーブメント、二重恐喝を特徴としており、そのツールセットはMITRE ATT&CKのテクニックにマッピングされています。
ランサムウェアのエコシステム全体がアフィリエイト型のRaaS(Ransomware-as-a-Service)モデルへとシフトするなか、Anubisはモジュール型ツールや初期アクセスブローカーの利用といった、この傾向と合致した特徴を示しています。同名のAndroidバンキングマルウェアとは別物であり、技術的な洗練度と作戦上の機動性において際立っています。
Anubisランサムウェアは、RAMPサイバー犯罪フォーラム(Russian Anonymous Marketplace)に積極的に関与し、宣伝活動を展開していました。運営者は2025年2月にRAMP上でアフィリエイトプログラムを公式に立ち上げ、パートナーの募集とRaaS事業の拡大にフォーラムを活用しました。RAMP上ではsuperSonic、XSSおよびExploitではAnubis__mediaというエイリアスで活動するこのグループは、強固な収益化構造を持つ柔軟性の高いアフィリエイトプログラムを運営しています。
単なる二重恐喝にとどまらず、Anubisは複数のアフィリエイト構造を提供しており、ランサムウェア展開に対して80%、データ恐喝に対して60%、初期アクセスブローカーには50%の報酬を提示しています。グローバルに活動するAnubisは、オーストラリア、カナダ、ペルー、米国の医療、建設、エンジニアリング分野への攻撃に関与しているとされています。
Exploitアンダーグラウンドフォーラムへの投稿で、グループは窃取したデータによる恐喝を優先すると述べています。アフィリエイトや将来のパートナーに対し、米国、カナダ、EU、オーストラリアの企業のデータで、過去にオープンソースで公開されておらず40GB以上のものを積極的に買い取ると表明しています。
さらに、グループは世界各地の企業への侵害済みリモートアクセスを積極的に調達しており、すでに2,000万ドル以上の収益を上げていると強調しています。旧ソ連諸国およびBRICS加盟国を拠点とする被害者は標的にしないとしています。
グループはXのアカウントも積極的に運用しており、重大なデータ侵害の情報を広く拡散させています。プロフィール情報によると、Anubisは少なくとも2024年12月から活動を続けています。
Resecurityは、Anubisランサムウェアが、アカウント乗っ取り(ATO)を活用した公開サービスへの大規模エクスプロイト(T1190)に関与しており、SonicWall VPN(MFA未設定)、SolarWinds Web Help Desk(CVE-2025-26399)、Cisco SSL VPN、CitrixBleed2(CVE-2025-5777)などのNデイ脆弱性や既存CVEの派生手法を悪用していることを強調しています。グループは今後もアフィリエイトネットワークの拡大と、標的ネットワークへの侵入を目的とした新たな初期アクセスブローカー(IAB)の採用を続けることが予測されます。
アドリア海港湾局への攻撃の詳細
アドリア海港湾局への攻撃は、高度に標的を絞った攻撃でした。ただし、国家支援のアクターも同様のTTPを用いて、グレーゾーン作戦や広範な紛争戦略の一環として港湾を攻撃する可能性があります。攻撃の経緯は以下のとおりです。
-
初期侵入:
Resecurityの分析では、攻撃者は従業員に送付したスピアフィッシングメールを通じてアクセスを取得したと考えられています。メールには悪意ある添付ファイルが含まれており、開封されると同時に組織のネットワークにランサムウェアがインストールされました。 -
ラテラルムーブメント:
侵入後、攻撃者は権限昇格テクニックを駆使してネットワーク内を横断的に移動しました。港湾局のITインフラに存在する未適用パッチの脆弱性を悪用し、重要システムへの支配を確立しました。 -
データ暗号化と窃取:
ランサムウェアは数千ものファイルを暗号化し、貨物追跡、出港スケジュール、通関処理などの港湾業務が完全にアクセス不能となりました。さらに、契約書や従業員記録などの機密データも外部へ持ち出されました。 -
身代金要求:
Anubisグループはビットコインで1,000万ドルの身代金を要求したと報告されており、7日以内に支払いがなければ窃取したデータをダークウェブに公開すると脅迫しました。残されたランサムノートには、要求に応じない場合の深刻な結末が明記されていました。
業務・地域貿易への影響
この攻撃は、アドリア海地域の海上貿易と物流産業に広範な混乱をもたらしました。主な影響は次のとおりです。
- 港湾機能の停止:アドリア海港湾局は入出港貨物の処理が不能となり、船舶は代替港への迂回を余儀なくされました。
- 経済的損失:業務停止により数百万ドル規模の損失が発生し、港湾に依存する企業のサプライチェーンが遅延しました。
- 信頼性の失墜:この侵害により、インフラを守る港湾局の能力に対する信頼が大きく損なわれました。
また今回の攻撃は、港湾、空港、電力網といった重要インフラが依然としてランサムウェアグループの主要標的であることを改めて浮き彫りにしました。
攻撃者は港湾局を管理する企業の従業員を標的にしました。本番システムやアプリケーションへの特権アクセスを持つ従業員が、チェーンの最も脆弱なリンクと判断されたためです。
攻撃者が重点的に狙った情報として、安全計画とセキュリティ運用に関する詳細情報が挙げられます。こうした情報は、密輸、禁制品取引、内部協力者の勧誘に関与する組織犯罪にとって極めて価値が高いものです。
注目すべき点として、今回のAnubisランサムウェア攻撃では、OTインフラの直接的な標的化は必要ありませんでした。悪意ある活動はITシステムの脆弱性(Office 365やAzureを管理するセキュアでないアカウントなど)の悪用のみによって行われましたが、その結果はサイバー・フィジカル領域にまで及びました。
同様の攻撃シナリオが今後も港湾局とそのサプライチェーンを標的として使用される見込みです。この分野のITシステムは著しく老朽化しており、サイバーセキュリティの成熟度が低いためです。大規模かつシステム的なサイバーインシデントへの準備が整っていない港湾が大多数を占めており、壊滅的な混乱のリスクをさらに高めています。
被害軽減の取り組みと対応
攻撃後、アドリア海港湾局はサイバーセキュリティ企業および法執行機関と連携して被害の軽減に取り組みました。主な対応は以下のとおりです。
-
インシデント対応:
港湾局のITチームは感染システムを隔離し、ランサムウェアのさらなる拡散を防ぎました。外部の脅威ハンティングチームがフォレンジック調査を実施し、根本原因の特定に当たりました。 -
データ復旧:
バックアップシステムを使用して暗号化されたファイルの復元が試みられましたが、港湾局が旧来のバックアップ手順に依存していたことが復旧速度の遅れにつながりました。 -
交渉と法的考慮:
当局は将来の攻撃を助長しないよう身代金の支払いに強く反対しましたが、復旧作業を継続するための時間稼ぎを目的とした交渉が行われたとの報道があります。 -
対外的なコミュニケーション:
アドリア海港湾局は、完全な機能回復に向けた措置を講じているとして、パートナーやステークホルダーへの声明を発表しました。
教訓
Anubisランサムウェア攻撃は、重要インフラを管理する組織にとって警鐘となりました。主な教訓は以下のとおりです。
-
サイバー防御の強化:
港湾やそれに類する組織はゼロトラストセキュリティモデルを採用し、不正アクセスを防止するためのアクセス制御を厳格化する必要があります。 -
定期的なソフトウェア更新:
多くのランサムウェア攻撃は既知の脆弱性を悪用します。リスクを最小化するためには、定期的なパッチ適用が不可欠です。 -
従業員トレーニング:
フィッシングは依然として最も一般的な攻撃経路の一つです。定期的なサイバーセキュリティ意識向上トレーニングにより、人的ミスの発生確率を低減できます。 -
堅牢なバックアップ戦略:
サイバーインシデント発生時に迅速に復旧できるよう、バックアップシステムの網羅性を確保し、定期的なテストを実施する必要があります。 -
サイバーセキュリティ専門家との連携:
専門企業と提携し、脅威評価やペネトレーションテストを実施することで、攻撃者に先んじて弱点を特定できます。
まとめ
アドリア海港湾局へのAnubisランサムウェア攻撃は、重要セクターを標的とする高度なサイバー犯罪者が引き起こす脅威の深刻化を改めて示しています。世界経済の相互依存がますます深まるなか、政府と組織は重要インフラを将来の攻撃から守るため、強固なサイバーセキュリティ対策への投資を急務とすることが不可欠です。
今回のインシデントは、いかなる組織もサイバー脅威と無縁ではなく、エスカレートするランサムウェアの猛威に対する最善の防御は積極的な事前準備にあることを痛切に示しています。ランサムウェアは港湾局と海上業務にとって深刻化する重大な脅威です。現実の攻撃はグローバルな海運を混乱させ、重大な技術的脆弱性を露呈させ、多大な財務的・業務的損害をもたらしてきました。洗練されたランサムウェアグループが海事インフラとサプライチェーンを標的とし続けるなか、脅威の状況はさらに深刻化しており、規制当局とセキュリティ業界双方による緊急の対応が求められています。
規制当局による港湾局向けサイバーセキュリティ勧告
港湾局は世界貿易の根幹を担う存在であり、デジタルシステムへの依存度の高さからサイバー脅威の標的となるケースが増加しています。規制機関や業界団体は、港湾施設におけるサイバーセキュリティ強化に向けたガイドラインと勧告を複数発行しています。以下に主要な勧告とフレームワークをまとめます。
1. 国際海事機関(IMO)ガイドライン
IMOは海事サイバーリスク管理に関するガイドラインを発行しており、国際安全管理(ISM)コードおよび安全管理システム(SMS)に統合されています。このガイドラインでは以下を重視しています。
- 港湾業務におけるサイバーリスクの特定と軽減
- 既存の安全・セキュリティフレームワークへのサイバーリスク管理の組み込み
- 進化する脅威に対応するためのリスクアセスメントの定期的な更新
2. 米国沿岸警備隊(USCG)規制
USCGは海上輸送保安法(MTSA)の規制対象施設に対するサイバーセキュリティ要件を実施しています。主な指示は以下のとおりです。
- NVIC 05-17:MTSA規制対象施設に対し、施設セキュリティアセスメントおよび計画へのサイバーセキュリティの組み込みを義務付けています。ITと運用技術(OT)システム双方の脆弱性への対処が含まれます。
- サイバーセキュリティインシデントを国家対応センターへ報告すること
- 産業制御システム保護のためのNISTサイバーセキュリティフレームワーク(CSF)およびNIST SP 800-82の採用を推奨
3. 国際港湾協会(IAPH)サイバーセキュリティガイドライン
- 海事サイバーリスク管理に関する既存のIMOガイダンスのレビュー
- 港湾固有のリスクに対応した追加ガイダンスの策定
- サイバー攻撃が及ぼす財務的・商業的・業務的影響のアセスメント
4. 欧州連合(EU)サイバーセキュリティ規制
- 欧州連合サイバーセキュリティ機関(ENISA)が示す海事セクターにおけるサイバーセキュリティのグッドプラクティスの実施
- 港湾施設にサイバーセキュリティ対策を義務付ける規則(EC)No 725/2004への準拠の確保
5. 米国大統領令と連邦政府の取り組み
米国連邦政府の最近の動向は以下のとおりです。
- 沿岸警備隊に港湾におけるサイバーセキュリティ脅威への対処権限を付与する大統領令の発令
- 海事業界パートナーに対し、サイバーインシデントと脅威を政府機関へ報告することを義務付け
- 米国港湾向けサイバーセキュリティ最低要件の策定
6. 港湾デジタル化におけるセキュリティ・バイ・デザイン
- サイバーセキュリティ基準への準拠を資金調達および規制承認の条件とすること
- デジタルシステムの設計・調達段階からサイバーセキュリティを統合すること
7. 主要フレームワークと標準規格
港湾局は、広く認知された以下のサイバーセキュリティフレームワークの採用が推奨されています。
- NISTサイバーセキュリティフレームワーク(CSF):サイバーセキュリティリスク管理のための包括的フレームワーク
- NIST SP 800-82:産業制御システムのセキュリティに関するガイドライン
- ENISAの海事セクターにおけるサイバーセキュリティグッドプラクティス:欧州の港湾向け具体的勧告
勧告のまとめ
- リスクアセスメント:ITおよびOTシステムにおけるサイバーリスクを定期的に評価・軽減すること
- インシデント報告:関係当局へのサイバーセキュリティインシデントの強制報告体制の整備
- フレームワークの採用:NIST CSFおよびENISAガイドラインなどのフレームワークの実装
- セキュリティ・バイ・デザイン:新たな港湾システムの設計段階からサイバーセキュリティを統合すること
- トレーニングと意識向上:サイバーセキュリティのベストプラクティスに関するスタッフへの定期的なトレーニング実施
- 連携:脅威インテリジェンスの共有とレジリエンス向上に向け、規制当局、業界パートナー、国際機関と協力すること
これらの勧告に従うことで、港湾局はサイバー脅威から業務を守る力を高めることができます。Resecurityは、これらの環境を新たな脅威から保護するために設計された包括的なサイバーセキュリティソリューションとサービスのポートフォリオを提供しています。詳細は[email protected]までお問い合わせください。
翻訳元: https://www.resecurity.com/blog/article/the-anubis-ransomware-attack-on-the-adriatic-port-authority
