イントロ
以下のResecurityレポートでは、Qilinのランサムウェア・アズ・ア・サービス(RaaS)運用が、バレットプルーフ・ホスティング(BPH)インフラに依存している実態を、世界各地に拠点を置く不正プロバイダーのネットワークに焦点を当てて検証する。Qilinは、現在組織を恐喝している脅威グループの中でも最も多産かつ強力なグループの一つである。特に注目すべきは、同グループが最近、日本の大手酒類メーカーであるアサヒグループホールディングスの操業および製造機能を約2週間にわたり麻痺させた9月のランサムウェア攻撃について、犯行声明を出したことである。
Qilinが著名なBPHプロバイダーを利用していることは、後者がサイバー犯罪者のオペレーターにとって重要インフラとして機能していることを浮き彫りにする。不正なBPHサービスは、ほとんど、あるいは全く監視のない状態でコンテンツをホスティングできるようにする。しばしば秘密保持に寛容な法域で法人化され、匿名かつ地理的に分散したペーパーカンパニーの複雑な網として構成されるBPHサービスは、濫用の苦情や法執行機関の介入に対してすら耐性を持つよう設計されている。
そのビジネスモデルは、KYC(Know Your Customer:顧客確認)ゼロと、デューデリジェンス(適正確認)チェックの完全な欠如によって成り立っており、匿名性を保ちたいサイバー犯罪者にとって事実上の安全地帯を作り出している。 こうした悪性インフラと、それを保護する企業秘密重視の制度は、破壊的なランサムウェア・キャンペーンやその他の悪意あるサイバー犯罪活動が、長期間にわたり妨げられることなく継続することを可能にしている。
Qilinランサムウェアとは?
Qilinは高度に洗練されたRansomware-as-a-Service(RaaS)運用で、2022年半ばに初めて出現し、当初は「Agenda」という名称を使用していた。同グループは同年後半に「Qilin」へとリブランドした。Health Sector Cybersecurity Coordination Center(HC3)によれば、Qilinランサムウェアは「GolangおよびRustで書かれた亜種があり、スピアフィッシングによって初期アクセスを獲得するほか、Remote Monitoring and Management(RMM)やその他の一般的なツールを攻撃で活用することが知られている」。
HC3によれば、Qilinは「二重恐喝を行うことでも知られており、データ漏えいを防ぐために被害者へ身代金支払いを要求する」。ギャング名のQilinは、中国の民間伝承に登場する、龍と角のある獣の特徴を併せ持つ神獣を指し、しばしばユニコーンに例えられる。しかし、この運用はロシア語圏のサイバー犯罪フォーラムにルーツがあるとみられ、コア開発者がランサムウェアのインフラとツールをアフィリエイトのネットワークに提供するRaaSモデルを中心に構成されている。
地下フォーラム経由で募集されるこれらアフィリエイトが実際の攻撃を実行し、身代金を運営側と分配する。 通常、アフィリエイトが80〜85%を保持し、運営側が15〜20%を受け取る。同ギャングは、医療機関、政府機関、重要インフラ運用者、そして資産運用会社を標的とする悪質な身代金キャンペーンで広く悪名を得ている。だが最も注目すべきは、2025年9月下旬に日本の酒類メーカー、アサヒグループホールディングスに対して行った壊滅的な侵害である。
QilinのRaaSプラットフォームは、アフィリエイトが攻撃を設定し、被害者を管理し、使いやすいパネルを通じて身代金交渉を行えるようにする。同グループは、盗難データを公開して被害者に圧力をかけるため、Tor上にデータ漏えいサイト(DLS)を維持している。Qilinは複数の業界と地域にまたがる幅広い組織を標的にしており、混乱のコストが高く、データが機微である高価値ターゲットに重点を置いている。
同グループは多数のハック&リーク事案にも関与しており、アクセスブローカーやアフィリエイトの積極的な勧誘も行っている。Microsoftは、北朝鮮のアクターが以前に同グループへ参加した可能性があり、他の外国アクターも含まれる可能性があると報告している。実際、Qilinの最も興味深く、かつあまり詳述されていない側面の一つは、ロシア語圏の地下世界および香港(中国)に起源を持つ、地下のバレットプルーフ・ホスティング複合体との強い結びつきである。Resecurityは、同ギャングの活動が活発化していることを踏まえ、サイバーセキュリティ・コミュニティの認知向上のために収集したインテリジェンスを共有する。
日本へのサイバー攻撃
Qilinランサムウェアグループは、日本のアサヒグループホールディングスに対する9月のサイバー攻撃について犯行声明を出した。Morningstarによれば、同社は国内ビール市場の約40%を占める、日本の最大の飲料メーカーである。BBCの報道によると、この攻撃により同複合企業の醸造施設全体で操業が混乱し、30工場の大半で生産と出荷が一時停止した。
Qilinは攻撃の責任を公に主張し、アサヒのシステムから大量のデータを窃取したと主張した。10月10日時点で、アサヒの国内施設はすべて部分的に再開しているが、コンピュータシステムは依然として停止している。
アサヒは、混乱がランサムウェア攻撃によるものであることを確認し、データ流出の証拠があることを認めた。この事案により、受注処理、出荷、顧客サービスに支障が生じた。Qilinはその後、社内文書を公開し、アサヒから27GBのデータを盗んだと主張した。
おそらく2025年9月29日に実行されたQilinのランサムウェア攻撃は、アサヒのデジタル受注、出荷、顧客サービスの各システムを麻痺させ、全国30工場の大半で生産停止を余儀なくさせた。アサヒは供給維持のため、手作業(電話、FAX、手書き注文)へ戻らざるを得なかったが、デジタル停止中の需要を満たすには程遠い非効率な措置だった。
この攻撃により全国的にアサヒ製品が品薄となり、大手小売店や飲食店では欠品が報告された。同社はシステム停止が続く中、12の新製品の発売も延期した。デジタル物流および受注管理システムが麻痺し、サプライチェーンに重大なボトルネックが生じた。
影響という点では、この事案は、Trinity of Chaosが最近JLR(Jaguar Land Rover)に対して行ったランサムウェア攻撃と驚くほど類似している。同攻撃は、英国、スロバキア、ブラジル、インドの施設を含む世界中の主要工場すべてで生産を停止させた。製造およびITシステムが停止し、車両組立ラインは完全に停止した。両社とも、生産停止、サプライチェーンの混乱、販売損失により多額の財務損失を被った。JLRの販売損失は1日あたり7,200万ポンド(9,700万ドル)に近づくと推定される一方、アサヒは長期停止となった場合、国内営業利益が83%減少する可能性があるという見通しに直面した。
特筆すべきことに、Resecurity HUNTER(HUMINT)の調査員はQilinの運営者と非公開の会話を行い、脅威アクターが盗まれたアサヒのデータを1,000万米ドルで売却しようとしていることを把握した。
これらの要求は、アサヒの操業混乱を受けて10月11日に届いたもので、仲介者を排除し、被害者への圧力を加速させるQilinの戦術の一つである可能性が高い。
新たな被害者の発表
これに先立ち、10月14日には、QilinがフォルクスワーゲンAGの子会社であるVolkswagen Group France、テキサス州のSan Bernard Electric Cooperative、およびKarnes Electric Cooperativeが侵害されたと発表した。
自動車業界を標的にしている点は、JLRの過去の事案やランサムウェア活動がもたらす破壊的な影響という文脈において特に興味深い。Qilinがデータ侵害の成功による成果に触発された可能性、あるいはダークウェブ上でこうした組織への侵害済みアクセスを販売する初期アクセスブローカー(IAB)と協力した可能性もある。
Resecurityは、影響を受けた電力サービスおよび配電組織から漏えいしたデータも確認・検証した。当社の評価では、侵害の根本原因は、過去の悪性感染の指標に基づくと、安全でないリモートアクセスおよび職員に関わるビジネスメール詐欺(BEC)である可能性がある。
10月は、公開された被害者数と新たに標的となった組織数を踏まえると、Qilinにとって最も「実り多い」月の一つと見なせる。また、同グループが米国への注力を強めていることも明らかで、フロリダ州リビエラビーチ市やコブ郡などの地方自治体を以前に攻撃している。同グループは、クロアチア、グレナダ、フランス、ドイツ、ハンガリー、イタリア、韓国、スペイン、 パキスタン、カタールなど、さまざまな市場分野と地域から50件以上の新たな被害者を公開した。
地下世界とのつながり
Qilinランサムウェアグループの注目すべき側面は、地下のBPHオペレーターとの緊密な関係である。これらのオペレーターは、法執行機関の手の届かないところで、サイバー犯罪者が違法コンテンツやインフラを密かにホスティングできるようにする。例えば、出現以来、同グループは複雑な法域に保管された被害者データを取得するため、複数のファイル共有ホストを常に参照してきた。これらのホストを詳しく見ると、リソースが明らかにBPHプロバイダーによって管理されていることが確認できる可能性がある。IPアドレスも随時変化している。
Resecurityは2024年以降、Qilinランサムウェアおよび関与するBPHプロバイダーに関連するネットワークインフラを監視してきた。例えば2024年4月、同グループのDLSは、香港拠点のホスティングプロバイダーであるCat Technologies Co. Limited.に関連する176[.]113[.]115[.]97および176[.]113[.]115[.]209に言及していた。
この事業体に関連するドメイン名「catcompany[.]info」は、匿名の個人「Alexander」によって登録されており、管理者の所在地として「Seoul」(韓国)を可能性として定義し、ロシア拠点のDNSサーバーを使用していた。
Domain Name: catcompany.info Registry Domain ID: a11c4fa9584a4027a03895eb24df40ea-DONUTS Registrar WHOIS Server: <a href="http://whois.eranet.com" rel="nofollow">http://whois.eranet.com</a> Registrar URL: <a href="http://www.eranet.com" rel="nofollow">http://www.eranet.com</a> Updated Date: 2025-03-05T09:44:17Z Creation Date: 2022-04-05T15:34:56Z Registry Expiry Date: 2025-04-05T15:34:56Z Registrar: Eranet International Limited Registrar IANA ID: 1868 Registrar Abuse Contact Email: [email protected] Registrar Abuse Contact Phone: +882.39995473 Registrant Organization: Alexander Registrant State/Province: Seoul Registrant Country: KR Name Server: ns1.reg.ru Name Server: ns2.reg.ru
このドメインはIP 194[.]58[.]112[.]174に紐づいており、悪性活動の広範な履歴がある。注目すべきことに、この事業体は、制裁対象のAeza Groupに関連するペーパーカンパニーと結び付けられており、同グループはサイバーを用いた多様な犯罪共謀に関与したとして指摘されている。
2025年7月、米国財務省は、サイバー犯罪者にBPHサービスを提供したとしてこの事業体を制裁対象とした。同社は、BianLianのようなランサムウェアグループを支援し、BlackSprutのような違法薬物マーケットをホスティングしたと非難されている。制裁はまた、サイバー犯罪者にIPアドレスを貸し出すために利用された英国のAeza International Ltd.も対象とした。
以前、Aeza Groupは、Der SpiegelやThe Guardianといった実在メディアのデザインに似せたウェブサイトで偽記事を拡散し悪名を得た、Doppelgängerと呼ばれる大規模な偽情報ネットワークのインフラを支える中核ISPとして名指しされていた。
ロシアの経済紙Kommersantによれば、2025年4月、ロシア連邦保安庁(FSB)とサンクトペテルブルク警察は、ウクライナ戦争を通じて活動が顕著だった民間軍事請負業者ワグナー・グループの旧ビジネスセンターに所在するAeza Groupのオフィスを捜索した。同紙によると、Aeza Groupは違法な銀行業務の実行および組織犯罪グループの形成が疑われていた。
Bearhost Servers – 歴史あるバレットプルーフ・ホスト
Qilinランサムウェアは、活動内容を公開するいわゆる「WikiLeaksV2」も立ち上げている。ヘッダーには、最大級のBPHプロバイダーの一つであるBEARHOST Serversの広告が含まれており、同サービスはUndergroundおよびVoodoo Serversとしても知られている。
過去のパッシブDNS記録に基づくと、このプロジェクトはRed Bytes LLC(ロシア・サンクトペテルブルク)に関連するIP 31[.]41[.]244[.]100およびドメイン名networkmaze[.]hkでホストされていた:
EARHOST ServersにはTelegramの連絡先があり、サイバー犯罪者はさまざまな用途のBPHサービスを注文できる。
同サービスは少なくとも2019年から運用されており、XSSやExploitを含む複数の地下フォーラムにアカウントを登録している。サービス料金は、サーバー構成に応じて95ドルから500ドル以上まで幅がある。
2024年12月13日頃、BEARHOSTは大量スキャン用サーバーの提供開始を発表した。通常、サイバー犯罪者はこの種のサーバーを購入し、脆弱なホストやアプリケーションをスキャンして大規模に悪用する。BEARHOSTの運営者は、最大10Gbpsのネットワーク帯域を持つサーバーを提供できる点を強調し、ネットワークスキャンを容易にするとした。また、既存の顧客をすべて新しい機器へ移行すると述べた。
2025年の開始数日前、BEARHOSTの主要運営者は突然、サービスが停止したと発表した。
しかし実際には、この発表はそれほど単純ではない。BPHサービスの運営者は、監視強化により、新規顧客は審査の上、既存顧客からの招待によってのみ受け入れると述べた。BPHはサービスを終了したわけではなく、プライベートモードに移行し、信頼され審査済みの地下アクターに提供している。この概念は新しいものではなく、確かな評判を持つ地下ベンダーに典型的である。すでに大きな顧客基盤を築いており、法執行機関やサイバーセキュリティ研究者がサブネットの詳細を得ようとしている可能性のある不特定の訪問者に対応することに関心がなくなるためだ。
バレットプルーフ・ホスティングに関する時系列の参照
香港(7/F, MW Tower, 111 Bonham Strand Sheung Wan Hong Kong)に登録されたCat Technologies Co. Limitedは、同一のバレットプルーフ・ホスティング複合体に関連する他の2つの法人とこの住所を共有している:
– Starcrecium Limited(キプロス)
– Chang Way Technologies Co. Limited(香港)
RIPE Databaseによれば、ネットワークに定義された連絡先情報にもStarcreciumへの参照がある:
organisation: ORG-CAT7-RIPE org-name: Cat Technologies Co. Limited country: HK address: 7/F, MW Tower, 111 Bonham Strand address: Sheung Wan address: Hong Kong e-mail: [email protected] abuse-c: CAT77-RIPE mnt-ref: IP-RIPE mnt-by: IP-RIPE org-type: OTHER created: 2023-02-20T16:35:59Z last-modified: 2023-07-10T07:02:40Z source: RIPE
Starcreciumのキャッシュコピー:
Starcrecium Limited(キプロス)およびChang Way Technologies Co. Limited(香港)は、ロシア拠点のホスティングプロバイダー「Hostway.ru」(法的事業体OOO「Information Technologies」の下で運営)の「公式代表者」として名指しされていた。この声明は、2021年という早い時期に、同社の公式ウェブサイトおよびTwitterアカウントで公開されていた:
その後、Red Bytes LLC(ロシア・サンクトペテルブルク)も追加の代表者として加えられた。2024年12月頃、この情報は公式サイトから削除されたが、キャッシュコピーには依然として残っており、Internet ArchiveのWayback Machineを通じて確認できる。
Chang Way Technologies Co. LimitedとStarcrecium Limitedの関係は、2022年8月の「Analyzing Attack Data and Trends Targeting Ukrainian Domains(ウクライナのドメインを標的とする攻撃データと傾向の分析)」と題する記事で詳述されている。同レポートは、以前ロシアにジオロケーションされ、Chang Wayに登録されたASNの一部でありながらStarcreciumに割り当てられていたIPアドレス152.89.196.102を取り上げた。記事によれば、このIPは.uaドメインで78,438回ブロックされ、世界全体で合計3,803,734回のブロックされた攻撃試行の原因となっていた。
これらの事業体に共通するものは何か。取得した法人記録によれば、Lenar Davletshin氏が、以下を含む(ただしこれらに限られない)事業体の取締役として特定されている:
– Chang Way Technologies Co. Limited(香港)
– Starcrecium Limited(キプロス)
– OOO “Red Byte”(ロシア)
– OOO “Information Technologies”(ロシア)
– OOO “Hostway”(ロシア)
– OOO “Hostway Rus”(ロシア)
– OOO “Triostars”(ロシア)
– OOO “F1″(ロシア)
この人物の連絡先情報は、これらの事業体に関連するサブネットでも特定されている:
person: Lenar Davletshin address: Information Technologies LLC address: ul. Lakhtinskaya, 18A, pom. 1-H, of. 4k address: 197136 Saint-Petersburg address: Russia phone: +7 981 8068891 nic-hdl: LD5832-RIPE mnt-by: IP-RIPE created: 2019-04-08T18:49:08Z last-modified: 2019-10-14T15:16:14Z
Qilinはまた、GEO2IPプロバイダーおよびUAE拠点企業によれば、キルギスへの参照を持つホストも指定していた。
ftp://dataShare:nX4aJxu3rYUMiLjCMtuJYTKS[@]85.209.11.49
注目すべきは、香港においてChang Way Technologiesと同一住所(Room 1405, 135 Bonham Strand Trade Centre, 135 Bonham Strand, Sheung Wan, Hong Kong)に新たに登場した法人としてNext Limitedがあることだ。独立系報道によれば、この会社は(キルギス国籍の)Fedor Bergによって管理されていた。この事業体は、Proton66運営者に紐づく悪性活動と関連付けられ、他のサイバーセキュリティ専門家によって詳述されている。
実際、以前はまったく同じIPアドレスがChang Way Technologies Co. Limitedに紐づいており、この住所の運営者が説明を変更したか、前の所有者から自律ネットワーク(AS)を購入した可能性が高い。BPH運営者が、これらのネットワークを管理する正確な組織や個人の追跡を困難にするため、紛らわしいネットワーク説明を用いることは一般的である。
IPX-FZCOも、Qilin
ランサムウェアに紐づくバレットプルーフ ホスティングによって悪用されている可能性が高い別の運営者である。この組織はネットワークを他社に貸し出すことで知られており、そのため同社のホストの一部は、Heimdal Securityが公開した2024年の研究によれば、ブルートフォース攻撃キャンペーンや大量スキャンに注力する疑いのある脅威アクターに関連する重大な濫用の対象となってきた。
ftp://dataShare:[email protected]
Resecurityは、例えばAS57523などの自律ネットワークの過去記録に基づき、IPX-FZCOとChang Wayの相互接続を確認できた:
netname: HK-CHANGWAY-20220125 country: RU org: ORG-CWTC1-RIPE admin-c: LD6315-RIPE tech-c: LD6315-RIPE status: ALLOCATED PA mnt-by: lir-hk-changway-1-MNT mnt-by: RIPE-NCC-HM-MNT created: 2024-10-03T14:58:24Z last-modified: 2024-10-03T14:58:24Z source: RIPE role: CHANG WAY address: HONG KONG address: HK address: 7/F, MW Tower, 111 Bonham Strand phone: +357 2 2008059 e-mail: [email protected] nic-hdl: LD6315-RIPE mnt-by: lir-hk-changway-1-MNT
興味深いことに、米国の制裁回避に関連する複数の企業が、香港におけるChang Wayとまったく同じ住所で登録されている。その中にはPiraclinos Limitedも含まれ、同社は、ブラックリストに載ったロシア企業へデュアルユースの半導体技術を輸出したとして、Committee for Freedom in Hong Kong Foundationが2024年に公表した報告書で指摘されている。
Piraclinosは肥料および木炭の販売業者を名乗っていたが、制裁対象のロシア企業VMKに対し、電子集積回路を数百万ドル規模で出荷していた。取締役や所有者をキプロスおよび中央アジアの企業サービス会社経由で頻繁に変更することで、真の実質的所有者を隠していた。
The Guardianによれば、香港は「世界で最も残虐な政権」のための世界的な貿易ハブとなっており、西側諸国から制裁を受けるロシア、イラン、北朝鮮などへの物資の流れを促進する上で同地域が果たす役割を検証した同財団の報告書を引用している。
AbuseIPDBによれば、IPアドレス85.209.11.79は悪性として11,346回以上報告されており、エクスプロイト探索やネットワークスキャンなど複数の攻撃指標がある。興味深いことに、ロシア拠点のホスティング運営者Hostway.ruの請求ログインページには、同じ香港拠点企業(Changway)のロゴへの参照がある:
Resecurityはまた、Chang Way Technologies Co. Limitedのドメインに紐づく、仮想サーバーおよび専用サーバーを提供する専用の請求ページも特定した。この事業体がHostway.ruからサーバーを取得するためのペーパーカンパニーとして運用されていたのか、あるいは単にプロバイダーのサービスを悪用するアフィリエイトだったのかは不明である。同社がこの活動を認識していたのか、あるいは観測された悪性行為の規模を踏まえると、効果的な濫用管理プロトコルを欠いているだけなのかも不確かである。
この疑わしい香港企業のドメイン名のWHOIS記録では、所有者として「Victor Zaycev」(偽名)が記載され、メールアドレスは「[email protected]」となっている:
Domain Name: CHANGWAY.HK Domain Status: Active DNSSEC: unsigned Contract Version: Refer to registrar Active variants Inactive variants Registrar Name: NICENIC INTERNATIONAL GROUP CO., LTD Registrar Contact Information: Email Address: [email protected] Phone No.: (852) 6858 1006 Reseller: Registrant Contact Information: Holder English Name (It should be the same as your legal name on your HKID card or other relevant documents): ZAYCEV VICTOR Holder Chinese Name: Email: [email protected] Domain Name Commencement Date: 07-05-2021 Country: Russian Federation (RU) Expiry Date: 07-05-2027 Re-registration Status: Complete Account Name: HK9567240T Technical Contact Information: Given Name: ZAYCEV Family name: VICTOR Company Name: ZAYCEV VICTOR Name Servers Information: NS1.ENTRYDNS.NET NS2.ENTRYDNS.NET NS3.ENTRYDNS.NET NS4.ENTRYDNS.NET
メールアドレス「[email protected]」は、「networkmaze.hk」を含む複数のドメイン登録に使用されていた。このドメイン名は、おそらく2019〜2020年に活動し、テクノロジーサービス大手Cognizantへの攻撃で悪名を得たMazeランサムウェアに由来しているとみられる。
Mazeランサムウェアギャングは、脅威アクターが被害者データを暗号化すると同時に窃取する二重恐喝を、初めて大規模に採用した主要脅威グループである。2020年、MazeはLockBitなど他のランサムウェアグループと一時的な同盟を結び、この協力関係が二重恐喝戦術をさらに普及させた。Maze
「カルテル」は、DragonForce、Qilin、LockBitを含む新たな2025年の同盟の歴史的前例である。Mazeは2020年に活動を停止したが、その手法と協力モデルは現代のランサムウェア・エコシステムに影響を与え続けている。
Domain Name: NETWORKMAZE.HK Domain Status: Active Dnssec: unsigned Contract Version: Refer to registrar Registrar Name: NICENIC INTERNATIONAL GROUP CO., LTD Registrar Contact Information: Email Address: [email protected] Phone No.: (852) 6858 1005 Registrant Contact Information Company English Name (it Should Be The Same As The Registered/corporation Name On Your Business Register Certificate Or Relevant Documents): HOSTWAY LLC Registrant Contact Information Address: MAIN STREET 10 140000 Registrant Contact Information Country: Russian Federation (RU) Registrant Contact Information Email: [email protected] Domain Name Commencement Date: 08-02-2020 Expiration Date: 08-02-2021 Re-registration Status: Complete Administrative Contact Information Given Name: ZAYCEV Administrative Contact Information Family Name: VICTOR Administrative Contact Information Company Name: HOSTWAY LLC Administrative Contact Information Address: MAIN STREET 10 140000 Administrative Contact Information Country: Russian Federation (RU) Administrative Contact Information Phone: +7-9818060012 Administrative Contact Information Fax: +7-9818060012 Administrative Contact Information Email: [email protected] Administrative Contact Information Account Name: HK9282475T Technical Contact Information Given Name: ZAYCEV Technical Contact Information Family Name: VICTOR Technical Contact Information Company Name: HOSTWAY LLC Technical Contact Information Address: MAIN STREET 10 140000 Technical Contact Information Country: Russian Federation (RU) Technical Contact Information Phone: +7-9818060012 Technical Contact Information Fax: +7-9818060012 Technical Contact Information Email: [email protected] Name Servers Information: OWEN.NS.CLOUDFLARE.COM Name Servers Information: RUTH.NS.CLOUDFLARE.COM
このメールアドレスは、「support-decryptor.hk」を含む10件のドメイン名に紐づいている:
特定されたドメインは後にメールアドレスを88db011bbcb06078s@gmail[.]comへ更新し、更新手続きに使用していた。
C2C Heaven – 遊びと利益のためにマルウェアをホストする
Chang Way Technologies Co. Limitedは、Amadey、StealC、CobalStrikeなど、サイバー犯罪者が使用するツールのコマンド&コントロール(C2C)サーバーをホスティングするなど、広範なマルウェア活動と関連付けられている。
他の通信事業者、サイバーセキュリティ企業、被害者から多数の濫用報告が提出されていることを踏まえると、このホスティング「複合体」の背後にいる人物がこの活動を知らないとは考えにくい。
痕跡の切り離し
2025年5月、BearHostはExploit[.]inに掲載されたサービスに関する苦情を受け、「voodoo_servers」へリブランドした。
苦情1:
苦情2:
アクターは、理由を明かさないまま、Bearhost、Underground、Voodoo_Serversの各ブランドで提供していたバレットプルーフ・ホスティングサービスの終了を発表した。ダークウェブ上に公開された声明によれば、同サービスは2016年から運用され、「3度」再生したが、「政治的理由」により閉鎖せざるを得ないという。興味深いことに、「政治がビジネスに入り込むと、仕事が難しくなる」とも述べた。また、サーバーを再稼働させたり顧客へ返金したりする機会はないとも付け加えた。アクターは「出口詐欺(exit scam)」のシナリオで姿を消すことを選び、地下コミュニティを完全に困惑させた。注目すべきは、サービスの背後にある法人は引き続き事業を継続している点である。
ダークウェブで彼らの新ブランドを耳にするのはいつになるのか。時間が教えてくれるだろう。これらの出来事は、日本のアサヒのような重大インシデントと非常に近い時期に起きており、その時期はQilinが活動のピークにあった。おそらくアクターは再編し、OPSECを強化しつつ、より大きな標的へ向かっている。
Bearhostの出口詐欺を受け、これまで同ネットワーク内で行われていた悪性活動は、Prospero(AS200593)およびProton66(AS198953)の運営者、ならびに香港拠点の事業体であるNext Limitedおよび/またはAddress Limited(香港で同一住所を使用)へ移行する可能性が非常に高い。
重要性
BPHサービスは、プロフェッショナルなサイバー犯罪を可能にする役割、特に脅威アクターの現実世界の身元が発見されるのを防ぐ点により、サイバーセキュリティ業界における重大な懸念事項である。BPHプロバイダーは、身元確認が事実上存在しないのに加え、ほとんど、あるいは全く監視のない状態でクライアントがコンテンツをホスティングできるようにする。これらのプロバイダーは、ホストされるコンテンツが違法または有害であっても、その性質を黙認する。
さらに、BPHプロバイダーは苦情や法執行機関の介入に耐性を持つよう設計されている。多くの場合、反応のない、地理的に分散したペーパーカンパニーのネットワークを通じて運営されており、法執行機関が追跡したり停止させたりすることを困難にしている。脅威アクターが、秘密保持に寛容な法域に散在する無数の相互接続された法人を形成することで悪用する、グローバルな規制裁定によってもたらされる耐性は、サイバー犯罪者が長期間にわたり活動を継続できることを可能にする。
BPHサービスは、以下を含む違法活動のためのコンテンツやインフラのホスティングに頻繁に利用される:
– フィッシングサイト:ログイン認証情報や金融データなどの機微情報を盗むために使用される。
– マルウェア配布:サイバー犯罪者はBPHを用いてマルウェアをホスト・配布し、システムに感染させてデータを盗む。
– ボットネットのコマンド&コントロールサーバー:DDoSなどのサイバー攻撃に用いられる侵害端末ネットワーク(ボットネット)を管理する上で重要。
– スパムおよび偽情報:BPHプロバイダーは、スパム配布サイトや偽情報拡散プラットフォームをホストすることが多い。
– 児童性的虐待資料(CSAM):Freedom Hostingを参照
BPHサービスの秘匿性は、サイバーセキュリティ研究者や法執行機関が運営者を特定し、インフラを解体することを困難にする。これはサイバー犯罪対策と、オンライン上の脅威からユーザーを守る取り組みを複雑化させる。
結論
BPHサービスは、サイバー犯罪者やその他の悪意あるアクターに匿名かつ無規制のプラットフォームを提供するため、重大な脅威となる。法的措置に対する耐性と、幅広い違法活動を促進する役割により、グローバルなサイバーセキュリティの取り組みにおける重要課題となっている。この問題に対処するには、政府、法執行機関、銀行業界、サイバーセキュリティ専門家による協調行動が必要である。
Qilinのようなランサムウェアグループとの相互接続は、この活動が組織的であることを裏付けており、利益のために活動し、法域上の課題を悪用して活動を隠蔽する現代のサイバー犯罪グループの特徴と一致する。
注目すべきことに、本稿で述べた活動に関連する上記すべての法人は、本日(2025年10月15日)時点でも事業を継続している。
参考
本調査は、他の独立系サイバーセキュリティ研究者および組織が共有した貢献と洞察なしには実現し得なかった。彼らが共有したインテリジェンスは、Qilinの運用と関連するバレットプルーフ・ホスティングプロバイダーの可視性を大幅に高めた:
Qilin(別名Agenda Ransomware)- 脅威プロファイル(TLP:CLEAR)
https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf
Proton66:大量スキャンとエクスプロイト・キャンペーン
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/proton66-part-1-mass-scanning-and-exploit-campaigns/
Ces mystérieuses entreprises qui se font attribuer des blocs IPv4
https://www.lemagit.fr/actualites/252496421/Ces-mysterieuses-entreprises-qui-se-font-attribuer-des-blocs-IPv4
