Clopランサムウェア：2026年2月の侵害急増を牽引する「5億ドル規模」のサイバー犯罪帝国の内幕

7年にわたるゼロデイ悪用キャンペーンの背後にあるサイバー犯罪オペレーションは、拡大を続けています。過去30日間で97件の被害者を主張し、CleoおよびOracleシステムを狙ったアクティブな悪用が進行する中、Clopは今日の企業が直面する最もしつこいランサムウェア脅威の一つとして確固たる地位を築きました。

エグゼクティブサマリー

Clop（「Cl0p」と表記されることもあり、ロシア語でトコジラミを意味する語に由来）は、ランサムウェアが「機会主義的な暗号化」から「戦略的なゼロデイ悪用」へ進化したことを体現しています。2019年にCryptoMixの亜種として始まったものが、1,100件超の組織侵害、9,300万人分の個人データ露出、推定5億ドル超の身代金支払いに関与する高度なオペレーションへと成長しました。

数字が物語っています：

• 直近30日で97件の被害者（2026年2月7日時点）
• 総被害者数で5番目に多いランサムウェアグループ
• 現在のキャンペーンで19か国・12以上の業種を標的
• MOVEit悪用だけで推定7,500万〜1億ドルの収益
• 最後に被害者を主張した日：2026年2月7日—つまり今この瞬間も活動中

セキュリティチームにとって、Clopは脅威アクターの行動におけるパラダイムシフトを示します。フィッシングでランサムウェアをばらまき、当たりを期待する集団とは異なり、Clopは国家支援APTのように行動します。広く導入されている企業向けソフトウェアのゼロデイ脆弱性を特定し、悪用ツールを開発し、同時に数百組織を侵害する協調的な大規模攻撃を実行します。

私たちが目撃している2026年2月の急増は、2024年12月に始まったCleoファイル転送の継続的な悪用に、新たに特定されたOracle E-Business Suiteキャンペーンが加わったことに起因します。Cleo LexiCom、VLTransfer、Harmony、またはインターネットに面したポータルを持つOracle EBSを利用している組織は、これを進行中の緊急事態として扱うべきです。

グループの背景と歴史：フィッシング集団からゼロデイスペシャリストへ

TA505との関係

Clopは単独で活動しているわけではありません。このグループはTA505（FIN11、Snakefly、Graceful Spiderとしても追跡）というロシア語話者のサイバー犯罪集団のランサムウェア部門です。TA505は少なくとも2014年から活動しており、Clop以前は世界最大級のフィッシング／マルスパム配布者として知られていました。

CISAの評価は率直です：「TA505は、マルウェアを頻繁に変更し、犯罪マルウェア配布における世界的トレンドを牽引することで知られる、金銭目的のサイバー犯罪グループである。」

このグループの推定到達範囲は驚異的です。さまざまなキャンペーンを通じて、米国の3,000超の組織、世界で8,000超の組織が侵害されています。TA505は、RaaS（ランサムウェア・アズ・ア・サービス）、初期アクセスブローカー、ボットネット運用といった複数のビジネスモデルを同時に展開しており、サイバー犯罪インフラのワンストップショップとなっています。

進化のタイムライン

Clopのオペレーションは、7年の寿命の中で驚くべき適応力を示してきました：

2015-2016：CryptoMixランサムウェアファミリーが登場し、後にClopとなる技術的基盤を確立。

2019年2月：ClopがCryptoMixの亜種として初めて出現。HTML添付からマクロ有効文書へ誘導するマルウェアを配布する、大規模なスピアフィッシングキャンペーンを開始。

2019年12月：マーストリヒト大学への攻撃は、Clopが重要インフラを標的にする意思があることを示した。オランダの同大学は運用復旧のために20万ユーロの身代金を支払った。

2020年3月：データリークサイト「Cl0p^_-Leaks」の立ち上げにより、Clopは二重恐喝へ移行。暗号化だけが圧力ではなく、窃取データが第二の圧力点となった。

2020年12月：すべてが変わる。ClopはAccellionのFile Transfer Appliance（FTA）のゼロデイ脆弱性を悪用し始める。このキャンペーンは、新たな運用モデル—従来のフィッシングではなく、企業向けファイル転送システムの大量悪用—を明らかにした。

2021年〜現在：GoAnywhere、MOVEit、Cleo、Oracle EBSと、ゼロデイキャンペーンが連続し、いずれも前回を上回る破壊力を示した。グループは実質的にファイル転送プラットフォーム悪用の市場を押さえた。

なぜ「Clop」なのか？

名称は「клоп」（klop）—ロシア語でトコジラミを意味する語—に由来します。トコジラミは家屋に侵入し、隙間に潜み、宿主が眠っている間に吸血する寄生虫です。ぞっとするほど的確です。Clopは機密データを移動させるために設計されたファイル転送システムに侵入し、正規のインフラに紛れ込み、組織が気づかない間に価値を吸い上げます。

攻撃手法とTTP：ゼロデイのプレイブック

フィッシングからゼロデイへ：転換

Clopの運用進化は、戦略的なビジネス判断を表しています。フィッシングによる従来型のランサムウェア展開はノイズが大きく、成功率が低く、即座に注目を集めます。一方、企業向けソフトウェアのゼロデイ悪用は静かで、同時により多くの被害者に影響し、脅威アクターが恐喝を開始する準備が整うまで検知されないことも少なくありません。

経済合理性は明白です。手間のかかるフィッシングで組織を一社ずつ侵害するのではなく、広く導入されたソフトウェアの単一の脆弱性を通じて数百組織を侵害できます。MOVEitキャンペーンだけでも、数週間で2,700超の組織に影響しました。

主要な攻撃ベクトル

1. ファイル転送アプライアンスのゼロデイ悪用

これはClopの十八番です。標的選定は、企業ソフトウェアの導入状況を慎重に分析していることを示します：

• Accellion FTA（レガシーだが2020年時点で広く導入）
• GoAnywhere MFT（金融サービスで一般的）
• MOVEit Transfer（企業全体に広く普及）
• Cleo LexiCom、VLTransfer、Harmony（サプライチェーン志向）
• SolarWinds Serv-U FTP

これらのシステムには共通点があります。機密データ転送を扱い、業務上の理由でインターネットに面していることが多く、盗む価値のあるデータを持つ組織に導入されていることです。

2. フィッシングキャンペーン（従来手法）

ゼロデイが利用できない場合、Clopは高度なフィッシングに回帰します：

• マクロ有効文書へ誘導するHTML添付
• Get2ローダーの展開
• 永続的アクセスのためのSDBot/FlawedAmmyy/FlawedGrace
• 侵害後活動のためのCobalt Strike
• 最終段階でのClopランサムウェア展開

3. TrueBotマルウェアの配布

2023年、CISAはTrueBotが世界で1,500超のシステムに影響したことを文書化しました。TrueBotは第一段階のダウンローダーとして機能し、スクリーンショット取得、システム情報収集、追加DLLの読み込みによるアクセス拡張を行います。

マルウェアの兵器庫

Clopのオペレーターは高度なツールキットを展開します：

暗号化の特徴

Clopがランサムウェアを展開する場合（近年のキャンペーンではますます稀）、暗号化には技術的洗練が見られます：

暗号アルゴリズム：ファイル暗号化にAES、鍵保護にRSA、古い亜種ではRC4、最近のバージョンではECDHとSalsa20。

拡張子：.clop、.CIIp、.Cllp、.C_L_O_P（シグネチャ検知回避を狙った変種の可能性）

暗号化前の挙動：

• バックアップおよびセキュリティプロセスを終了
• ボリュームシャドウコピーを削除（vssadmin Delete Shadows /all /quiet）
• bcdeditでWindows回復オプションを無効化
• キーボードレイアウトを確認—ロシア語またはCIS言語のシステムでは実行しない

最後の特徴は示唆的です。このマルウェアは、ロシアおよび同盟国のシステムを暗号化しないよう特別に設計されています。

暗号化なし恐喝への移行

2023年以降、Clopは暗号化を捨て、純粋なデータ恐喝へとますます移行しています。業界分析は次のように確認しています：「Clopは、暗号化プロセスを省略するが、身代金が支払われなければデータを漏えいすると脅す『暗号化なしランサムウェア』による純粋な恐喝アプローチをますます用いている。」

運用上の論理は明快です。従来の暗号化は高度なマルウェア開発を要し、防御側に気づかれ得る実行時間が必要で、検知リスクも高い。一方、ウェブシェルによるデータ流出はより速く、セキュリティテレメトリも少なく、運用上の露出を抑えつつ同等の恐喝レバレッジを提供します。

主要キャンペーンの年表：大量悪用の歴史

Accellion FTA攻撃（2020年12月〜2021年初頭）

Clopの最初の大規模ゼロデイキャンペーンはAccellion File Transfer Applianceを標的とし、複数の脆弱性を悪用しました：

• CVE-2021-27101：細工したHostヘッダーによるSQLインジェクション
• CVE-2021-27102：ローカルWebサービス経由のOSコマンド実行
• CVE-2021-27103：サーバーサイドリクエストフォージェリ
• CVE-2021-27104：細工したPOSTリクエストによるOSコマンド実行

タイミングは外科手術のようでした。悪用は2020年12月23日、セキュリティチームが休暇に入る時期に開始。ClopはDEWMODEウェブシェルを展開し、AccellionのMySQLデータベースと直接やり取りして、ランサムウェアを展開せずにデータを流出させました。

注目すべき被害者：Kroger、法律事務所Jones Day、Qualys、Singtel、ニュージーランド準備銀行、ASIC（オーストラリア証券投資委員会）

市場への影響：BleepingComputer経由でCovewareによれば、Accellion侵害は2021年Q1の平均身代金支払いを220,298ドルへ押し上げ（43%増）、中央値も60%増の78,398ドルに跳ね上がりました。

GoAnywhere MFT攻撃（2023年1月）

ゼロデイのリモートコード実行脆弱性であるCVE-2023-0669を悪用し、Clopはわずか10日で約130組織を侵害しました。

攻撃手法は洗練されていました。Clopは活動をGoAnywhereプラットフォーム自体に限定し、被害者ネットワーク内への横展開は観測されませんでした。OSINTで経営層を特定し、恐喝の連絡を直接送付しました。

身代金メモは例によってぶっきらぼうでした：

「こんにちは、こちらはCL0Pハッカーグループです…あなたのGoAnywhere MFTリソースから重要情報を盗みました…我々を無視するなら、あなたの情報を闇市場で販売し、1日あたり3万〜5万人のユニーク訪問者がある我々のブログに公開します。」

MOVEit Transfer攻撃（2023年5月〜6月）

ランサムウェアの規模を再定義したキャンペーン。

ClopはProgress SoftwareのMOVEit Transferソリューションに存在するSQLインジェクションのゼロデイCVE-2023-34362を悪用しました。悪用は2023年5月27日に開始—米国のメモリアルデー週末で、セキュリティチームの人員が手薄になる時期でした。

影響は前例がありませんでした：

• 2,700超の組織が侵害
• 9,330万人分の個人データが露出
• 推定7,500万〜1億ドルの身代金を回収
• 被害者の90%超は交渉すら試みなかった

このキャンペーンで展開されたLEMURLOOTウェブシェルは高度な設計でした。ハードコードされた36文字のパスワードを用い、X-siLock-Comment HTTPヘッダーで認証し、「human2.aspx」（正規の「human.aspx」を模倣）として偽装していました。

主な被害者：BBC、ブリティッシュ・エアウェイズ（給与プロバイダーZellis経由）、Shell、Ernst & Young、Estée Lauder、NYC教育局（45,000人の学生に影響）、National Student Clearinghouse経由で米国の大学890校、さらにエネルギー省・国務省を含む複数の米政府機関。

Cleoファイル転送攻撃（2024年12月〜現在）

2026年2月時点でアクティブかつ継続中。

CVE-2024-50623（CVSS 9.8 クリティカル）はCleo LexiCom、VLTransfer、Harmony製品に影響します。この脆弱性により、無制限のファイルアップロード／ダウンロードが可能となり、リモートコード実行につながります。

キャンペーンのタイムライン：

• 2024年10月：Cleoが脆弱性を初めて開示
• 2024年12月：大規模悪用が観測
• 2024年12月24日：Clopが66社に対し48時間期限で恐喝を開始
• 2025年1月：リークサイトに59超の組織名
• 2025年2月：研究者がCleo被害者182件を報告
• 2026年2月：被害者の公表が継続

確認済み被害者：Western Alliance Bankは、21,899人の顧客が影響を受け、社会保障番号と金融データが盗まれたことが確認されたと報告しました。

Oracle E-Business Suiteキャンペーン（2025-2026）

最新のキャンペーンはOracle EBSのログインポータルを標的とし、CVE-2025-61882およびCVE-2025-61884と疑われる脆弱性を悪用しています。Clopはインターネットに面したOracle EBS導入環境を狙っており、リークサイト上で約30件の被害者とされる組織名を挙げています。

このキャンペーンはまだ進行中であり、Oracle EBSを運用する組織は直ちに露出状況を監査すべきです。

最近の被害者分析：2026年2月の急増

2026年2月の急増を理解する

現在のClop活動の急増は、3つの要因によって引き起こされています：

Cleoキャンペーンによる遅延開示：2024年12月の休暇期悪用で侵害された組織に対する連絡が、いまなお続いています。Clopの恐喝モデルは、被害者名を段階的に公表することで、数か月にわたり心理的圧力を維持します。

新たなOracle EBSキャンペーン：Oracle E-Business Suiteポータルのアクティブな悪用が、すでに相当量の開示待ちキューに新たな被害者を追加しています。

戦術的タイミング：Clopの「休暇期攻撃」（2020年クリスマス、2023年メモリアルデー、2024年クリスマス）のパターンにより、2月は年末のセキュリティレビューで発見されたインシデントの対応がまだ続いている組織を直撃します。

最近の被害者（2026年2月）

Dark Web Informerによる脅威インテリジェンス追跡は、複数国・複数セクターにわたる最近の公表を記録しています：

• 🇺🇸 Western Alliance Bank (westernalliancebank.com) – 21,899人の顧客、SSNの窃取が確認
• 🇬🇧 Dukosi (dukosi.com) – 英国のテクノロジー企業
• 🇨🇦 Strategic Objectives (strategicobjectives.com) – カナダのビジネスサービス
• 🇮🇹 Labinf IT – イタリアのITサービス
• 🇺🇸 NG Attorneys – 米国の法務サービス
• 🇨🇦 Conwest – カナダの建設
• 🇨🇦 Ideal Welders – カナダの製造業
• 🏴 TRJ Ltd – ウェールズの企業
• 🇺🇸 VIP LLC – 米国のサービス業
• 🇮🇳 MNK Associates – インドのプロフェッショナルサービス
• 🇺🇸 Brault – 米国の企業

地理的・業種別の標的パターン

地理的集中

Clopの被害者分布は、高価値標的が脆弱なソフトウェアを導入している地域を反映しています：

• 米国：被害者の72%（主要標的）
• カナダ：14%（第二）
• 欧州：14%（英国、ドイツ、フランス、オランダ）
• オーストラリア、インド、ブラジル：第三の標的

同グループはロシアおよびCIS諸国のシステムを明確に回避しています。マルウェアがキーボードレイアウトを確認し、キリル文字言語のインストール環境では実行しないためです。

業種別の標的

CYFIRMAが2025年2月に公表した現行キャンペーンに関する報告の分析：

• 製造業：37%（サプライチェーン重視）
• 小売：26%（決済・顧客データ）
• 運輸：14%（物流チェーン）
• 金融サービス：高価値標的
• 医療：病院は避けると主張する一方、多数の医療侵害が記録
• 教育：大学、学区
• 法務サービス：法律事務所は機微な顧客データを保有
• 政府：MOVEitで州・連邦機関が侵害

サプライチェーン戦略

Black Kiteの2025年ランサムウェア報告はClopのアプローチを次のように捉えています：「ClopはCleoキャンペーンにおいて技術的脆弱性だけでなく、サプライチェーンの中核にある業界も標的にした。目的は単なるデータ窃取ではなく、運用上の混乱を生み出すことだった。」

サプライチェーン運用で使われるファイル転送プラットフォームを狙うことで、Clopは連鎖的影響を生みます。単一の物流企業が侵害されるだけで、数百の顧客組織のデータが露出し得ます。

身代金要求と交渉戦術

要求額のレンジ

Clopの身代金要求は、被害者規模に応じて大きく変動します：

ファイルハッシュ（Clopランサムウェア）：

• MD5: 31e0439e6ef1dd29c0db6d96bac59446

MOVEit LEMURLOOTハッシュ：

• SHA256: 3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b
• SHA256: cf23ea0d63b4c4c348865cefd70c35727ea8c82ba86d56635e488d816e60ea45

悪性ドメイン：

• hiperfdhaus[.]com
• jirostrogud[.]com
• qweastradoc[.]com
• connectzoomdownload[.]com
• zoom[.]voyage

MITRE ATT&CKマッピング

検知エンジニアリングのための主要テクニック：

検知ルール

シャドウコピー削除（暗号化前指標）のSigmaルール：

title: vssadminによるVSS削除
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    CommandLine|contains|all:
      - 'vssadmin'
      - 'Delete'
      - 'Shadows'
  condition: selection
level: high

ファイル転送プラットフォームにおけるウェブシェル指標：

• MOVEitのWebディレクトリ（/wwwroot/）に新規の.aspxファイル
• 正規名を模倣したファイル（human2.aspx vs human.aspx）
• 想定外のAccellion FTAパスにあるPHPファイル
• Webアクセス可能なディレクトリに実行権限付きファイルが出現
• 本番システムで勤務時間外に不審なファイル作成

結論：持続する脅威、持続する対応

Clopは、法執行機関の対応、公的なアトリビューション、業界全体の防御改善を経ても、驚くべき回復力を示してきました。フィッシングベースのランサムウェアからゼロデイ悪用へという進化は、サイバー犯罪オペレーションが戦略的で長期的な事業体へ成熟したことを示しています。

2026年2月の活動急増は、Clopの運用モデルを浮き彫りにします。広く導入された企業ソフトウェアの脆弱性を特定し、悪用ツールを開発し、同時に数百組織を侵害する協調キャンペーンを実行する。多くの防御側が侵害を検知する頃には、流出は完了しています。

企業向けファイル転送プラットフォームを管理するセキュリティチームにとって、リスク評価は明快です。これらのシステムは、世界でも最も能力の高いランサムウェアオペレーションの一つにとって高価値標的です。重要な問いは「脆弱性が存在するか」ではありません—次の悪用キャンペーンが始まる前に、自組織が露出を特定し是正できるかどうかです。

初出から7年が経った今も、Clopに運用上の衰えは見られません。防御側も同じ粘り強さで対抗しなければなりません。

本脅威インテリジェンスレポートは、CISAのアドバイザリ、MITRE ATT&CKドキュメント、Trend Micro、CYFIRMA、SentinelOne、Mandiantによるセキュリティベンダー調査、および継続的な侵害開示監視に基づいて作成されました。