アドリア海の港湾当局を標的にしたAnubisランサムウェアグループの攻撃が、海事インフラ全体への警告として注目されています。
脅威インテリジェンス企業のResecurityが6月11日に公開した新たな分析では、AnubisがアドリアティックPort Authorityをデータリークサイトに掲載するに至ったサイバー攻撃の詳細が調査されています。
イタリアのアンコーナ港を管轄するアドリア海港湾局(Autorità di Sistema Portuale del Mare Adriatico Centrale)は、侵害が2025年12月11日に遡るものであり、グループが犯行を主張してデータを流出させた2026年1月にAnubisの犯行と特定されたと説明しています。
港湾局はデータ損失を全体の約2%と試算しており、残りはバックアップで保全されていると述べています。また、盗まれた情報の大部分はすでに公開済みか近く公開予定のものだと説明していますが、従業員の個人情報はダークウェブに流出しています。
Resecurityの報告はさらに踏み込んでおり、業務の麻痺や船舶の迂回、そして1,000万ドルのビットコインによる身代金要求があったと伝えています。
港湾におけるランサムウェア関連記事:ランサムウェア攻撃で混乱した名古屋港
Resecurityによると、盗まれたデータには契約書や従業員記録に加え、さらに機密性の高い港湾安全計画やセキュリティ業務の詳細も含まれていました。これらは密輸や内部者リクルートに関与する組織が特に重視する類の情報です。
同社は、攻撃者が港湾を管理する会社のスタッフを標的にしたスピアフィッシングメールを通じて侵入し、その後コアシステムへ水平展開したと分析しています。
また、この攻撃はOT(運用技術)を直接標的にする必要はなく、Office 365やAzureを管理するクラウドアカウントのセキュリティ不備といった純粋なITの弱点を突くだけで成立したと指摘しています。
Anubisのアフィリエイト体制
Anubisは2024年12月に出現し、2025年2月にはアフィリエイトプログラムを開始しました。同グループは二重恐喝を軸としたサービスとしてのランサムウェア(RaaS)モデルで、そのツールキットを貸し出しています。なお、同名の古いAndroidバンキングマルウェアとは無関係です。
一律の分配ではなく、ランサムウェア展開には80%、データ恐喝には60%、初期アクセスブローカーには50%をアフィリエイトに提供しています。グループはこのモデルで2,000万ドル以上を稼ぎ出したと公言しており、医療、建設、エンジニアリングなど幅広い業種が被害を受けています。
-
多要素認証が未設定のSonicWall VPN
-
SolarWinds Web Help Desk(CVE-2025-26399)
-
Cisco SSL VPN
-
CitrixBleed 2の脆弱性(CVE-2025-5777)
Resecurityは今回の攻撃を、マースク社から日本の名古屋港に至る一連の港湾ランサムウェア被害の流れに位置づけています。そして、デジタル化が攻撃対象領域を拡大するなか、老朽化した港湾のITシステムとサイバーセキュリティの成熟度の低さがこのセクターを依然として脆弱な状態に置いており、この懸念は2030年に向けてさらに深刻化するとの見通しを示して警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/anubis-ransomware-adriatic-port/
