Last Updated on 2025-04-07 07:38 by admin
マイクロソフトは2025年3月、「EncryptHub」というハッカーが発見・報告したWindowsの2つのセキュリティ脆弱性を認め、謝辞を述べました。この脆弱性は「SkorikARI with SkorikARI」という名前で帰属されていますが、これはEncryptHubが使用している別名です。修正された脆弱性は以下の2つです。
- CVE-2025-24061(CVSSスコア:7.8)- Microsoft Windows Mark-of-the-Web(MotW)セキュリティ機能バイパスの脆弱性
- CVE-2025-24071(CVSSスコア:6.5)- Microsoft Windows File Explorerのスプーフィング脆弱性
スウェーデンのセキュリティ企業Outpost24 KrakenLabsの分析によると、EncryptHubは約10年前にウクライナのハリコフから逃れ、ルーマニア沿岸近くに移住したとされる単独犯です。LARVA-208やWater Gamayunという別名でも知られており、2024年半ばには偽のWinRARサイトを利用してマルウェアを配布するキャンペーンを展開しました。
最近では、Microsoft Management Console(CVE-2025-26633、CVSSスコア:7.0)の脆弱性をゼロデイ攻撃で悪用し、情報窃取ツールやSilentPrism、DarkWispと呼ばれるバックドアを配信しました。セキュリティ企業PRODAFTによると、EncryptHubは活動の最後の9ヶ月間で618以上の高価値ターゲットを侵害したと推定されています。
EncryptHubのサイバー犯罪活動は2024年3月頃に始まったとみられ、初期の活動の一つとして「Fickle Stealer」というRustベースの情報窃取マルウェアを開発しました。これは2024年6月にFortinet FortiGuard Labsによって初めて文書化されました。
興味深いことに、EncryptHubはマルウェア開発のためにOpenAIのChatGPTに広範囲に依存していました。また、ロシア・ウクライナ戦争の開始と一致する2022年初頭に活動を突然停止しており、Outpost24の調査によれば、その頃投獄されていた可能性があります。
Outpost24のシニア脅威インテリジェンスアナリスト、リディア・ロペスによると、EncryptHubは技術的に洗練されていたにもかかわらず、パスワードの再利用、露出したインフラストラクチャ、個人活動と犯罪活動の混在などの基本的な運用セキュリティの不備により、最終的に正体が暴露されました。
from:Microsoft Credits EncryptHub, Hacker Behind 618+ Breaches, for Disclosing Windows Flaws
【編集部解説】
EncryptHubの事例は、現代のサイバーセキュリティ環境における「グレーゾーン」の存在を浮き彫りにしています。一方では618以上の組織を侵害する危険なサイバー犯罪者でありながら、他方ではMicrosoftに脆弱性を報告するという二面性を持つ人物像が見えてきます。
このような「二重生活」を送るハッカーの存在は、サイバーセキュリティ業界では珍しくありません。いわゆる「ホワイトハット」と「ブラックハット」の境界線が曖昧になることがあり、EncryptHubはまさにその典型例と言えるでしょう。
特に注目すべきは、EncryptHubがChatGPTをマルウェア開発に積極的に活用していた点です。Outpost24の報告によれば、彼はマルウェアコードの作成からTelegramボットの設定、C&Cサーバーの構築、フィッシングサイトの作成まで、ほぼすべての犯罪インフラをChatGPTの支援を受けて構築していました。これは、生成AIの登場によってサイバー攻撃の敷居が大幅に下がっていることを示す顕著な例です。
また、この事例からは運用セキュリティ(OpSec)の重要性も再確認できます。EncryptHubは技術的には高度な知識を持ちながらも、パスワードの使い回しや個人活動と犯罪活動の混在など、基本的なセキュリティプラクティスの欠如によって正体を暴かれました。自分自身のマルウェアに感染してしまうという初歩的なミスも犯しています。
興味深いのは、EncryptHubの経歴です。ウクライナのハリコフ出身で、約10年前に故郷を離れ、ルーマニア沿岸近くに移住したとされています。2022年のロシア・ウクライナ戦争開始時に活動を停止し、投獄されていた可能性も指摘されています。その後、フリーランスのウェブ開発者として正当な仕事を模索しましたが、十分な収入を得られず、2024年初頭にサイバー犯罪へと転向したようです。
このような経歴は、サイバー犯罪者が必ずしも最初から犯罪志向だったわけではなく、経済的な事情や環境によって犯罪に手を染めるケースがあることを示しています。技術的なスキルを持つ人材が適切な雇用機会を見つけられない場合、その才能が悪用される危険性があるという教訓でもあります。
EncryptHubの活動手法も注目に値します。偽のWinRARサイトを利用したマルウェア配布、Microsoft Management Consoleの脆弱性を悪用したゼロデイ攻撃、QQ TalkやWeChat、Microsoft Visual Studio 2022などの人気アプリケーションを模した偽アプリの配布など、多岐にわたる攻撃手法を駆使していました。
また、EncryptHubはRustベースの情報窃取マルウェア「Fickle Stealer」を開発し、さらに「EncryptRAT」という遠隔操作ツールも開発中であることが判明しています。これらのツールは高度な企業向けアンチウイルスシステムを回避する能力を持ち、複数の感染を一元管理できる機能を備えているとされています。
企業のセキュリティ担当者にとって、このケースから学ぶべき教訓は多いでしょう。特に、AIを活用した新たな脅威に対する警戒、多要素認証の徹底、パスワード管理の強化、そして従業員へのセキュリティ教育の重要性が改めて浮き彫りになっています。
最後に、このケースは法執行機関とセキュリティ研究者の連携の重要性も示しています。Outpost24やPRODAFTなどのセキュリティ企業による詳細な調査が、EncryptHubの正体解明につながりました。サイバー犯罪との戦いには、このような官民連携が不可欠です。
私たちinnovaTopiaの読者の皆さんも、この事例を他人事とせず、自社のセキュリティ対策を見直す良い機会としていただければと思います。特に、AIツールの適切な利用ポリシーの策定や、基本的なセキュリティプラクティスの徹底は、今すぐにでも取り組むべき課題ではないでしょうか。
【用語解説】
ゼロデイ攻撃(Zero-day Attack):ソフトウェアの脆弱性が発見されてから開発者が修正パッチをリリースするまでの間に行われる攻撃のこと。「ゼロデイ」とは開発者が脆弱性を知ってから対策するまでの時間が「ゼロ日」であることに由来する。
Mark-of-the-Web(MotW):Windowsのセキュリティ機能で、インターネットからダウンロードしたファイルに「このファイルは外部から来たもの」という印をつけ、実行時に警告を表示する仕組み。
運用セキュリティ(OpSec):
情報や活動を守るための実践的な対策のこと。パスワード管理や個人情報の取り扱いなどが含まれる。
情報窃取マルウェア(Stealer):
パスワードやクレジットカード情報などの機密データを盗み出すように設計された悪意のあるソフトウェア。
バックドア(Backdoor):
正規のセキュリティを迂回してシステムにアクセスできるようにする不正なプログラム。
【参考リンク】
Outpost24(外部)
スウェーデンに本拠を置くサイバーセキュリティ企業。脆弱性評価やリスク管理ソリューションを提供している。
Microsoft Security Response Center(MSRC)(外部)
マイクロソフト製品のセキュリティ脆弱性に対応する専門チーム。脆弱性の報告受付や修正パッチの開発・配布を行う。
PRODAFT(外部)
サイバーセキュリティと脅威インテリジェンスに特化した企業。EncryptHubの活動に関する調査を行った。
Fortinet FortiGuard Labs(外部)
サイバーセキュリティ企業Fortinetの脅威研究部門。マルウェアの分析や脅威インテリジェンスを提供している。
【参考動画】
【編集部後記】
皆さんの組織では、AIツールの利用ポリシーはどのように設定されていますか?ChatGPTのような生成AIは業務効率化に役立つ一方で、EncryptHubのケースのように悪用される可能性も秘めています。セキュリティと利便性のバランスをどう取るべきか、社内で議論してみてはいかがでしょうか。また、基本的な運用セキュリティの見直しも、大きな被害を防ぐ第一歩になるかもしれません。皆さんのセキュリティ対策について、ぜひSNSでシェアしていただけると嬉しいです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
