INCは、基本を確実に実行することと、絶妙なタイミングによって、ランサムウェア・アズ・ア・サービス(RaaS)の世界で頭角を現したランサムウェアグループです。
セキュリティベンダーAcronisの研究者らが本日、RaaSグループINCに関するブログ記事を公開しました。INCは2023年に登場し、これまでに800件以上の被害を出しているグループです。INCはALPHV/BlackCatの閉鎖とLockBitの壊滅によって大きな恩恵を受けたランサムウェアアクターであり、この点は台頭中のThe Gentlemenなど他のグループとも共通しています。
Acronis脅威調査ユニット(TRU)によると、INCは現在最も活発なランサムウェアグループの一つとされています。表面上は、さほど際立った存在ではありません。暗号化とデータ漏洩の両方を組み合わせて支払いを迫る「二重脅迫」型のランサムウェアアクターであり、製造業、法律サービス、医療、テクノロジー、建設、教育など幅広い分野から標的を選んでいます。特に機密性の高いデータを保有する組織を好む傾向があり、それによって恐喝の圧力をさらに高めているようです。
Acronisの脅威インテリジェンス調査リード、サンティアゴ・ポンティロリ氏はDark Readingに対し、INCの成長は3つの要因によるものだと説明しています。それは「通常より積極的な標的選定」「アフィリエイトの急速なスケールアップ」、そして「技術的な革新よりも量を最大化する、実績ある侵入手法への注力」です。
「INCが特に効果的なのは、業務停止が即座に復旧への圧力をもたらす分野に焦点を当てているからです」と同氏は述べ、INCがスコットランドの医療機関NHS Dumfries & GallowayやイングランドのリバプールにあるAlder Hey Children’s Hospitalなど、注目度の高い組織を繰り返し標的にしてきたと付け加えています。「この種の組織は機密データを大量に保有しており、システムが停止すると業務への影響が甚大なため、恐喝における強力なレバレッジとなります」
INCによる基本の徹底
侵入手法としては、スピアフィッシング、初期アクセスブローカーを通じた有効なアカウント情報の取得、そしてCitrix Bleed 2の脆弱性CVE-2025-5777、SimpleHelp RMMのバグCVE-2024-57727、Citrix NetScalerの脆弱性CVE-2023-3519、Fortinet EMSのバグCVE-2023-48788といった実績ある脆弱性の悪用などが挙げられます。
侵入後は、比較的オーソドックスな手順を踏みます。内部偵察はping、cmd.exeコマンド、Advanced IP ScannerやNetscanといった定番ツールを使って実施されます。認証情報の窃取にはBase64エンコードされたスクリプトが用いられ、横展開にはLiving-off-the-Landバイナリが活用されます。また、EDRキラーによる検出回避のほか、レッドチームツールや商用リモートアクセスツールをC2(コマンド&コントロール)として利用します。盗み出したデータはアーカイブにまとめられ、攻撃者が管理するクラウドストレージにアップロードされます。
INCのマルウェアにはWindowsとLinux/ESXiの2バージョンが存在し、近年はRustで書き直されています。Rustはリバースエンジニアリングが困難であり、他のプログラミング言語と比べてクロスプラットフォームなコードの保守もしやすいとされています。プロセス強制終了、暗号化、認証情報窃取といった機能に特段の新規性はないものの、いずれも実用的です。このマルウェアの品質を裏付けるのが、他の脅威アクターによる利用です。2024年にINCのソースコードが少なくとも3者に販売されており、ランサムウェアアクターのLynxとSinobiはINCのマルウェアの派生版を使用していると考えられています。
独自ツールや革新的な手法に頼らずとも成功を収めてきたことについて、ポンティロリ氏はこの柔軟性がアフィリエイトへの参入障壁を下げ、オペレーションのスケールアップを容易にしていると述べています。さらに、多くのランサムウェアグループが次々と閉鎖されていく中で台頭し、身代金を支払う圧力がはるかに大きい分野や(主に米国の)組織に的を絞ったことも、グループの追い風となりました。
「グループの成功を最もよく説明する要因が一つあるとすれば、それはスケーラビリティです」とポンティロリ氏は述べています。「INCが証明したのは、ランサムウェアオペレーションに効果を発揮するために新奇なマルウェアは不要だということです。高い圧力がかかる分野で、一般的な侵入手法を一貫して活用しながら着実に被害者を生み出し続けることは、それと同等の威力を持ち得ます」
脅威環境におけるINCの位置付けと推奨対策
AcronisのブログにはYARAlルールと侵害インジケーター(IoC)が掲載されています。Acronisは防御側に対し、3-2-1バックアップルール(データを3つのコピーに分け、2種類の異なるメディアに保存し、1つはオフサイトに保管する)の実践、バックアップのオフライン化または不変化と定期的なテスト実施、エンドポイント・ランサムウェア保護ツールの活用、アイデンティティとアクセス制御の導入、パッチの適時適用、ネットワークのセグメンテーションといった対策を推奨しています。
「アフィリエイトは引き続き、窃取した認証情報の使用、フィッシング、認証情報の使い回し、未パッチのリモートサービスへの攻撃といった日和見的な手法に依存しています。そのため組織は、外部への露出を減らし、境界アクセスポイントの保護を優先することで、侵入リスクを低減すべきです」とブログ記事は指摘しています。
ZeroFoxのインテリジェンス担当VP、アダム・ダラ氏はDark Readingに対し、INCはAkira、Qilin、RansomHub、Play、Cl0pなど現在の脅威環境を席巻する他のグループと肩を並べて活動していると述べています。今年の第1四半期、INCはZeroFoxのグローバルトップ5に初めてランクインし、124件のインシデントを記録しました。Qilin(338件)、Akira(197件)、The Gentlemen(192件)に次ぐ順位ながら、Cl0pを上回っています。
「ただし、INCの軌跡は一様ではありません。2025年後半の縮小とそれに続く2026年第1四半期の急増は、持続的なオーガニック成長というよりも、アフィリエイトの流入・流出と再結集を反映していると考えられます」と同氏は述べています。「また、INCはQilinなどと比べて書面上の技術的プロファイルに見劣りがあるものの、2026年第1四半期の数字は、INCが競争力のある水準でアフィリエイトを獲得し続けていることを示唆しています」
