- 脅威インテリジェンス
- 5月 23, 2025
RansomHubの崩壊とランサムウェアのカルテル型モデルへの移行:サイバーリーダーが知っておくべきこと
RaaS(Ransomware-as-a-Service)のエコシステムの転換期
2025年3月下旬、ランサムウェア集団「RansomHub」が突如として活動を停止し、リークサイトや被害者との交渉に使用されていたポータルは、事前通達なしにオフラインになりました。そのわずか数日後、ライバル組織のDragonForceが、RansomHubの活動が自らのインフラに移行したと公に主張し、「ランサムウェア・カルテル」と称する枠組みへの参加をアフィリエイトに呼びかけました。
この主張の真偽は現時点では確認されていないものの、タイミングと内容からは、Ransomware-as-a-Service(RaaS)を取り巻く状況で、構造的な変化が起こっていることを示唆しています。
単なるグループの乗っ取りや再編ではなく、ランサムウェアのオペレーション自体が、より分散化され、サービス指向の柔軟なモデルへと進化しつつあることを示す兆候とも受け取れます。
Ransomehubの崩壊:なにが起きたのか
RansomHubは、製造業や医療、IT分野を中心に攻撃を仕掛けていた集団で、2025年初頭には、特に活発に動いていたRaaSグループの一つでした。
カスタマイズ可能なツールキットの提供や大量攻撃で知られており、収益分配が高いことから、多くの熟練のアフィリエイトが攻撃に参加していました。
しかし3月31日、同グループが提供していたインフラ機能が突如として停止。その2日後にはライバル組織のDragonForceが、新たなインフラ機能として、リークサイト、交渉ツール、サポート制度といった共有サービスを発表し、アフィリエイトがDragonForceの名義で活動できるよう体制を変更しました。
このようなフランチャイズ型の「ランサムウェア・カルテル」の登場は、ランサムウェアグループの組織構造や規模拡大の手法において、大きな変化が起きていることを示しています。
カルテル型ランサムウェアが企業にもたらすリスク
ランサムウェアグループ内の混乱がもたらす隙
RansomHubの突然の沈黙とその後の混乱は、著名なRaaSグループであっても、内部の不安定さに対して脆弱であることを浮き彫りにしました。
一時的とはいえ、アフィリエイト間の連携が崩れることで、攻撃者が被害者との交渉を放棄し、防御側にとって有利な状況が生まれる可能性があります。
分散型RaaSモデルで攻撃はさらに複雑に
DragonForceのカルテル型モデルの台頭により、アフィリエイトは複数のブランドやキャンペーン間をより自由に活動できるようになりました。
このモデルでは、攻撃者同士がインフラを共有するため、攻撃者の特定、対応計画の策定、さらには交渉対応はより難しいものになります。
DragonForceの拡大と日本への影響
従来、RansomHubは、北米や欧州を主な標的としてきましたが、DragonForceはアジアや中東を含む新たな地域へと攻撃範囲を広げつつあります。
製造業や物流業をはじめとする日本企業も、今後攻撃対象となる可能性があると想定し、備えを強化しておく必要があるでしょう。
日本のサイバーレジリエンスとデジタル主権への影響
ランサムウェアを取り巻く状況が変化する中、日本国内では「能動的サイバー防御」に関する関連法案が成立し、国家サイバー戦略も新たな局面に突入しました。これに伴い、官民の連携強化が今まで以上に重要性を増しています。
一方で、俊敏かつサービス指向型のサイバー犯罪エコシステムの台頭は、防御側や規制当局、インシデント対応チームに対して、これまでにない課題を突きつけています。
とりわけ、複雑なサプライチェーンに依存する企業や、重要インフラ分野で事業を展開する企業にとっては、機動力と資金力を備えた分散型の攻撃に対し、対処能力の強化と防御体制の見直しが不可欠です。
そのためには、犯罪組織の構造や行動パターンを理解したうえで、攻撃者の思考と手口に先んじた対策を講じることが、実効的な防御の鍵となります。
企業が今すぐ取り組むべき対策
- サードパーティリスクや重要サプライチェーンの脆弱性の再評価
- ランサムウェアグループの崩壊やアフィリエイトの離反を想定したインシデント対応訓練の実施
- ダークウェブを継続的に監視し、攻撃インフラや標的傾向の変化を早期に察知
サイバー戦略は脅威に応じて適応すべき
Ransomhubの崩壊と、それに乗じたDragonForceの台頭は、単なるリーダー交代ではなく、サイバー犯罪グループの構造そのものが変容しつつあることを示しています。
サイバー犯罪の組織運営や拡大手法は大きな転換点を迎えており、こうした変化を的確に捉えることが、将来的なリスクを見極め、効果的な対策を講じるうえで不可欠となります。
日本サイバーディフェンスでは、アンダーグラウンドにおける活動傾向やアフィリエイトの動き、新たな攻撃モデルの兆候などを継続的に監視し、単なる技術支援にとどまらず、企業の経営判断を支える戦略的インサイトを提供しています。
最高技術責任者(CTO)
軍務およびJPCERT/CCでの経験を経て、2018年に日本サイバーディフェンス株式会社に入社し、CSIRTおよび脅威インテリジェンスのアドバイザリーを専門としている。
サイバー成熟度評価
日本サイバーディフェンス(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。
サイバーセキュリティフレームワーク(NIST)
国立標準技術研究所
サイバー評価フレームワーク(CAF)
国家サイバーセキュリティセンター
NCDのサービスに関する詳細: サイバーセキュリティコンサルタント、保護サービス、ネットワーク監視とセキュリティ運用、SIEM、インシデント管理
