これらの侵害事例のケーススタディから、サイバー犯罪者は雑然としており、内面は葛藤に満ち、堂々と人材を募集していることが分かる。彼らの動機を理解することが先手を打つ鍵となる。
今日の脅威情勢においては、もはやマルウェアシグネチャやIPアドレスだけに注目していればよい時代ではない。防御側は、攻撃者がどのように考え、組織化し、活動しているのかを理解しなければならない。なぜなら、攻撃者の意図と手法は、技術的なアーティファクトと同じくらい重要になっているからだ。最近の動向により、現代の脅威グループの内部プロセス、すなわち彼らがどのように連携し、コミュニケーションを取り、脆弱性を悪用し、ツール群をリアルタイムで適応させているのかについて、貴重な可視性がもたらされている。この種の舞台裏の洞察は、サイバー脅威がより高度化し、専門特化し、金銭的あるいは戦略的な目的とより密接に結びつくにつれ、不可欠なものとなっている。
私たちは、進化し続ける脅威アクターの行動をより深く理解するため、最近発生した一連の実世界のインシデントを分析した。これらの事例が何を示しているのか、詳しく見ていこう。
BlackBastaチャット流出
BlackBastaは、しばしば綿密に運営されたランサムウェア組織と見なされているが、内部流出はまったく異なる姿を物語っている。BlackBastaのチャット流出は、洗練された企業型の犯罪企業ではなく、階層構造の問題、業務上のストレス、変わりやすい忠誠心、メンバー間の根深い不信感に彩られた断片的なエコシステムという、舞台裏の現実を明らかにしている。
組織構造の頂点にはOleg(別名Tramp)が位置し、事実上のオペレーションディレクターとして振る舞っている。チャットからは、キャンペーン、収益分配、ロシアの金融機関を避けるといった戦略的な除外ルールを含むターゲティングルールなどについて、最終決定権を持つ人物として描かれている。しかし彼のリーダーシップは、不透明で自己中心的なものとして描写されており、自分たちの収入や作業負荷が正当な報酬に見合っているのかどうかを公然と疑問視するメンバーも複数見られる。
Bioはオペレーションの中核的な技術アーキテクトとして機能し、インフラの安定性からアクセスのオーケストレーションまで、あらゆるものを管理している。Contiコレクティブにおける「Pumba」という別名での経歴は、ランサムウェア・アズ・ア・サービスのエコシステム間で人材が移動するという、よく知られたパターンを裏付けている。そのスキルセットにもかかわらず、チャットでは、特に拘束から解放された後に国家による監視を過度に恐れている様子が繰り返し見られ、オペレーターが常に心理的なプレッシャーにさらされていることが浮き彫りになっている。
Laraは、膨大な業務量とストレスのもとで管理業務を担当しており、オペレーションの中心的存在であるにもかかわらず、他のメンバーよりも少ない報酬しか受け取っていないとされている。
Qakbotと関係を持つCortesのようなアクターの存在は、ランサムウェアクルーが専門知識を頻繁に外部委託し、外部のアクセスブローカーに依存したり、必要に応じて特定のマルウェアに精通したオペレーターを引き入れたりしていることを示している。このようなクロスオーバーは、内部の対話が外部に漏れ出たときにしか見えないものであり、サイバー犯罪エコシステムがどれほど相互に結びついているかを物語っている。
チャットからは、これらのグループが打ち出そうとする洗練されたイメージとは裏腹に、業務上の非効率性も明らかになっている。メンバーは、意思決定の遅さ、リーダーシップの指示の不明瞭さ、整理されていないワークフローについて不満を漏らしている。利益配分、作業割り当て、キャンペーンの優先順位をめぐる争いは、結束を維持するのに苦労しているグループの姿を浮き彫りにしている。インフラのアップデート、タスクの委任、暗号化の展開に関する議論でさえ、技術的負債や一貫性に欠ける調整の兆候を示している。
最終的に、BlackBastaのチャット流出は、ランサムウェアグループを規律正しく統一された機械のような存在とする神話を打ち砕くものだ。むしろ、利益によって結びつきながらも、不信感、感情的な負担、リソースの不均衡、相反する個人的な思惑によって引き裂かれた、緩やかな連合体であることを露呈している。防御側にとって、これらの洞察は、脅威アクターの行動に関する貴重な心理的スナップショットであるだけでなく、最も恐れられているサイバー犯罪グループでさえ、正当な企業を悩ませるのと同じ組織的弱点に脆弱であることを思い起こさせるものでもある。
EncryptHubの二重生活
同じ脅威アクターがネットワークに侵入したかと思えば、かつて悪用した欠陥を報告したことで「ありがとう」のメッセージを受け取るとしたらどうだろうか。興味深い展開として、Microsoftは2025年3月、長らくマルウェアキャンペーン、認証情報窃取、アクセスブローカーと結びついてきたペルソナ「EncryptHub」に対し、2件のWindows脆弱性を責任ある形で報告したとしてクレジットを与えた。SkorikARIやLARVA-208といった別名でよりよく知られるこのアクターは、サイバー犯罪に関与しながら、自らをセキュリティリサーチャーとして位置づけるという、際立った矛盾を体現している。敵対者がバグレポートを提出し始めるとき、ブラックハット活動と正当な脆弱性開示との境界線は、ますます曖昧になっていく。
Microsoftの3月のPatch Tuesdayで修正された両脆弱性は、悪意ある活動の実績ある経歴を持つ個人に帰属されている。その活動には、偽装したWinRARサイトを通じたマルウェア配布や、欧州およびアジア全域の数百に及ぶ高価値ターゲットの侵害が含まれる。階層的なランサムウェアグループとは異なり、EncryptHubは単独のオペレーターとして機能し、フリーランス開発、場当たり的なバグバウンティ提出、不正侵入キャンペーンの間を流動的に行き来している。レポートによれば、コード生成、偵察用スクリプト、コミュニケーションの自動化にChatGPTを利用しており、作業負荷を軽減しつつ、オペレーションのテンポを加速させているという。
この事例は、脅威情勢における新たなトレンドを浮き彫りにしている。すなわち、もはや固定的なカテゴリーに当てはまらないアクターの存在だ。純粋に犯罪者であるか、純粋に「リサーチャー」であるかのどちらかではなく、多くは金銭的インセンティブ、業務上のプレッシャー、リスク認識に応じて、その両者の間を行き来している。Microsoftによる認定は、現代の脅威アクターが、戦略的かつ機会主義的で適応力の高いハイブリッドな存在になりつつあるという、不都合な現実を浮き彫りにしている。こうした二面性を理解することは、彼らの心理、長期的な意図、そして正当なセキュリティリサーチとサイバー犯罪がますます交差するグレーゾーンを評価するうえで不可欠である。
BlackLockの公開採用戦術
ランサムウェアオペレーターが求人広告を出し始めたらどうなるだろうか。BlackLockの最近の採用キャンペーンは、サイバー犯罪エコシステムがますます大胆かつ産業化されていることを示している。そこでは、脅威アクターはもはやステルスだけに頼るのではなく、オペレーションを拡大するために堂々と人材を募集している。同グループは、「traffers」と呼ばれる役割、すなわち侵害済みトラフィックを流し込み、すぐに悪用可能な被害者を提供することに特化した人材を積極的に探している。これらの採用活動は、RAMPのようなロシア語圏のアンダーグラウンドフォーラムや、ゲート付きのTelegramチャンネルなどで確認されており、ランサムウェアオペレーションにおけるサプライチェーンモデルの成熟を物語っている。
このtraffer主導のワークフローは、攻撃チェーンの中で最もリスクの高いフェーズである初期アクセスを外部の契約者に肩代わりさせるよう設計されている。被害者獲得をアウトソースすることで、BlackLockは自らのオペレーション上の露出を最小限に抑えつつ、侵害済みエンドポイント、認証情報、悪用可能なネットワークの足掛かりを継続的に確保している。このモデルは、正当なギグエコノミーの構造を模倣しているが、犯罪的な専門性を伴っている点が異なる。ここでは、traffersがフィッシング、マルウェアローダー、トラフィック配信システムを通じたアクセスの収集に専念し、BlackLockの中核オペレーターが暗号化、交渉メカニクス、マネタイズを担当する。
このレベルの公開採用は、ランサムウェア地下社会における自信の高まりを示している。また、役割が分業化され、攻撃コンポーネントが相互に交換可能となり、志望する脅威アクターにとっての参入障壁が下がり続ける、モジュール型のサイバー犯罪・アズ・ア・サービスエコシステムへのシフトも反映している。この採用戦略を理解することは極めて重要である。なぜなら、traffer経済はランサムウェアの拡散を大幅に加速させ、初期アクセスがいかに深くコモディティ化されているかを浮き彫りにしているからだ。
理解、先見性、予測
本分析を通じて私たちが探ってきたのは、単なる個別のインシデントではなく、現代の脅威アクターを特徴づける行動パターン、業務ワークフロー、戦略的意思決定の全体像である。これらの敵対者がどのように適応し、連携し、新たな機会を悪用しているのかを理解することで、彼らの次の一手を予測し、防御戦略を継続的に洗練させるために必要な先見性を得ることができる。脅威アクターの行動が進化し続けるなか、私たちはサイバーセキュリティコミュニティが情報武装し、レジリエントであり、常に一歩先を行けるよう、より深い洞察と実行可能なインテリジェンスを今後も提供していく。
この記事は、Foundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか?
