TokyoBlackHatNews

breached.company 8分で読了

デジタル包囲の7日間:今週のランサムウェア爆発の内幕

2025年12月12日〜19日に世界の脅威ランドスケープ全体で検知された348件のサイバー攻撃に関する包括的分析

エグゼクティブサマリー

2025年12月12日〜19日の1週間は、例年のホリデーシーズンに見られるサイバーセキュリティ上の活動低下という常識を打ち砕きました。攻撃活動が減少するという予想に反して、脅威インテリジェンスの監視では348件の個別のランサムウェアおよびデータ侵害インシデントが検知されました。これは、ランサムウェアのエコシステムが季節要因を超え、通年で稼働する産業化されたオペレーションへと進化したことを示しています。

この7日間は、確立された脅威アクターが協調キャンペーンを展開する一方で、SAFEPAYのような新興グループが攻勢的な拡大を続けるなど、エコシステムが最高効率で稼働している様子を捉えています。2025年の冬季休暇直前の最終週は、従来の12月の減速とは逆に、ランサムウェアとデータ侵害活動が前例のない急増を示したことを明らかにしており、記録上最も活発な「休暇前」攻撃期間となった可能性があります。

今週のリアルタイム脅威インテリジェンスデータの分析から、2025年の締めくくりにあたり現在のランサムウェア情勢を規定する5つの重要トレンドが明らかになりました。これは、2026年に向けて脅威の経済性を再形成している「ランサムウェア革命」を踏まえたものです。

数字で見る:2025年12月12日〜19日の週

攻撃件数と分布

  • 追跡した総インシデント数: 348件
  • 標的となった業界: 15以上の異なるセクター
  • 地理的広がり: 世界規模(米国、ドイツ、英国に集中)
  • 新興グループ vs 既存グループ: 活動中のランサムウェア・ファミリーを7種特定
  • 公表までの平均時間: 暗号化後24〜48時間

標的上位5セクター

  1. 医療業界: 42件(12.1%)
  2. 製造業: 38件(10.9%)
  3. 金融・銀行: 36件(10.3%)
  4. 小売・ホスピタリティ: 31件(8.9%)
  5. テクノロジーサービス: 28件(8.0%)

最も活発な脅威アクター(12月12日〜19日)

  1. SAFEPAY: 被害者主張18件
  2. Incransom: 被害者主張14件
  3. Sinobi: 被害者主張8件
  4. Qilin: 被害者主張6件
  5. MS13089: 被害者主張5件

SAFEPAY現象:高ボリューム運用の持続

今週のデータで最も際立つ動きは、SAFEPAYランサムウェアの支配が継続していることです。SAFEPAYは世界でも屈指の多産なオペレーターとしての地位を維持しています。この7日間だけで18件の攻撃が確認されており、2024年末の出現以来グループを特徴づけてきた運用テンポを示しています。

1,050万人の米国人に影響した大規模なConduent侵害と、2025年5月までに最も活発なランサムウェア・グループへと上り詰めたことに続き、年末を迎えてもSAFEPAYに減速の兆しは見られません。

運用上の特徴

SAFEPAYは、いくつかの独自の特徴によって他と一線を画しています:

スピード重視の恐喝モデル
交渉に数週間を与える従来型のランサムウェア運用とは異なり、SAFEPAYは攻撃的な24時間期限を設定し、被害者に即時の圧力をかけて、強いストレス下で迅速な意思決定を迫ります。分析期間中の被害者には次が含まれます:

  • Colorado Powerline, Inc.(重要インフラ)
  • DFC-SYSTEMS GmbH(医療テクノロジー)
  • Meyerlift GmbH(機器レンタル)
  • ドイツ拠点の複数のプロフェッショナルサービス企業

技術インフラ
セキュリティ研究者は、SAFEPAYのコードベースが2022年末に流出したLockBit 3.0のソースコードを派生元とし、ALPHV/BlackCatの運用で観測されたカスタム改変や手法を取り込んでいることを特定しています。このランサムウェアは:

  • 二重チャネル通信(Tor + TONネットワーク)を使用
  • ネットワーク偵察にShareFinder.ps1を使用
  • Windows Defenderを無効化するためにLiving-off-the-Landバイナリ(LOLBins)を悪用
  • 32バイトのパスワードパラメータを要するAES + RSA暗号化を実装

地理的フォーカス
今週の被害者分析から、SAFEPAYの戦略的な標的選定が明らかになります:

  • ドイツ: 7件(SAFEPAY活動の39%)
  • 米国: 6件(33%)
  • 英国: 3件(17%)
  • その他地域: 2件(11%)

このパターンは、SAFEPAYがドイツで支配的な市場地位を確立していることを示す2024年の広範なトレンドとも整合します。Check Pointの調査によれば、同グループは2025年Q1におけるドイツの全ランサムウェア被害者の24%を占めました。

非RaaSの優位性

おそらくSAFEPAYの最も重要な戦略的イノベーションは、エコシステムを支配するRansomware-as-a-Service(RaaS)モデルを採用しない点です。アフィリエイトを持たないクローズドなグループとして運用することで、SAFEPAYは:

  • 身代金収益の100%を保持
  • 未知のアフィリエイトに起因するオペレーショナルセキュリティ上のリスクを排除
  • 被害者選定とタイミングをより厳密にコントロール
  • 法執行機関の妨害後にLockBitのようなグループを苦しめた分裂を回避

この中央集権的アプローチにより、分析期間中に観測された連射的な攻撃波が可能となり、同グループが1日に10件以上の被害者を主張することもあります。

伝統的な有力勢力:Qilin、Incransom、そして二重恐喝の進化

SAFEPAYが件数指標を席巻する一方で、確立されたランサムウェア・ファミリーは、12月12日〜19日の期間において、より選別的な標的設定で注目度の高い被害者を狙う動きを見せました。

Qilin:量より精度

今週のQilinによる6件の攻撃には、戦略的に重要な標的が含まれます:

Grandes Vinos Winery(スペイン)

  • 流出データ: 620GB
  • 侵害された資産: 身分証明書類、法的契約書、財務記録
  • 脅迫: 身代金が支払われない場合は公開
  • 業界への影響: スペインのワイン産業インフラに対する初の大規模攻撃

現在の状況: Qilinは、2025年で最も活発かつ危険なランサムウェア運用の一つであり続けており、2.5TBの銀行データが盗まれたHabib Bank AG Zurichの侵害を含め、年間を通じて大規模攻撃を実行してきました。

Best Hotels Spain

  • 公開された証拠: 内部文書の流出スクリーンショット14枚
  • 戦術: 本格的な恐喝の前に侵害の証明を提示
  • セクター: 休暇シーズン最盛期のホスピタリティ業界

Telechaim

  • 手法: 公開をちらつかせる二重恐喝
  • 狙い: 評判被害を用いて従わせる

Qilinのアプローチは、単純な暗号化を超えてランサムウェア戦術が成熟していることを反映しています。同グループの典型的な身代金要求は5万ドル〜80万ドルの範囲で、2024年初頭にはロンドンの病院から5,000万ドルの支払いを引き出した成功例もあります。

Incransom:医療分野への攻勢を継続

Incransom(INC Ransom)は、今週14件の攻撃で医療インフラに対する特徴的なフォーカスを示しており、次が含まれます:

背景: INC Ransomは2025年を通じて、あらゆる倫理的境界を放棄したランサムウェア・グループとして知られるようになりました。多くのグループが避けると主張するセクター、すなわち数百万人の米国人にサービスを提供する緊急通知システムのような重要インフラを含め、最も狙われやすい領域を体系的に標的にしています。

Singular Genomics

  • データ量: 20TBが流出
  • 侵害内容: ソースコード、生物学的データ、個人情報
  • リスクレベル: 重大(研究の完全性と患者プライバシーに影響)
  • 業界: バイオファーマ/ゲノミクス研究

EAG Realty International

  • 攻撃タイプ: 顧客データの暗号化と身代金要求
  • 露出リスク: 不動産顧客に対する金融詐欺の可能性
  • 業務影響: 年末の重要時期における事業中断

Glasser’s TV Service Ltd

  • 危険にさらされる売上: 500万ドル
  • 攻撃ベクター: データ暗号化(後続攻撃の可能性あり)
  • 顧客への影響: サービス継続性の阻害

新興アクター:Sinobi、MS13089、そして市場の断片化

12月12日〜19日の期間では、複数の知名度の低いランサムウェア・ファミリーが、件数重視の攻撃を通じて市場での存在感確立を試みる様子が見られました。

Sinobi:製造業セクターの専門家

確認された8件の攻撃はいずれも製造業と医療を標的としていました:

  • Turnamics, Inc.(製造/ロボティクス)
  • RM Medics(医療サービス)
  • North Star Asset Management(金融サービス)

Sinobiの戦術は、次の特徴を持つ組織を機会主義的に狙っていることを示唆します:

  • レガシーインフラ
  • サイバーセキュリティ投資の不足
  • 高い業務継続要件
  • 中規模の身代金が成立しうる程度の売上規模

MS13089:プロフェッショナルサービスの狩人

専門性の高い企業に対する5件の攻撃:

URO.COM(医療)

  • 侵害内容: 患者情報を含むPDF、ZIPアーカイブ
  • 脅威モデル: 身元盗用および規制当局による罰金リスク

dgpcommercialisti.it(イタリアの会計)

  • データ種別: 顧客データおよび業務データ
  • 公開の脅し: 公開に向けた詳細なリークページを準備
  • 標的プロファイル: 厳格な守秘義務を負うプロフェッショナルサービス

セクター別分析:なぜこれらの業界なのか?

医療:12.1%という問題

医療は7日間で42件のインシデントが発生し、最も標的となったセクターとして浮上しました。この集中は、いくつかの要因が同時に収束した結果を反映しています:

業務上の必然性=支払い確率
医療機関は、ランサムウェア交渉中であっても業務を停止できません。患者ケアの継続要件が極端な時間的圧力を生み、攻撃者の要求に有利に働きます。

翻訳元: https://breached.company/seven-days-of-digital-siege-inside-this-weeks-ransomware-explosion/

ソース: breached.company
#RaaS(Ransomware-as-a-Service) #Safepay #サイバー攻撃 #データ侵害 #ランサムウェア #二重恐喝(ダブルエクストーション) #医療機関への攻撃 #年末年始のサイバーリスク #脅威インテリジェンス #重要インフラ

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと