「CrazyHunter」ランサムウェア：台湾の医療・教育機関を標的にした新たなサイバー脅威

2025年4月17日8:23

サイバーセキュリティニュース

「CrazyHunter」ランサムウェア：台湾の医療・教育機関を標的にした新たなサイバー脅威 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-17 08:23 by admin

「CrazyHunter」と呼ばれる新興ランサムウェアグループが台湾の重要組織を標的にした攻撃を展開している。Trend Microの研究者によると、このグループは2025年1月から活動を開始し、過去1ヶ月の間に自身のデータリークサイトに10の被害組織を掲載した。

被害者はすべて台湾に所在しており、主に病院や医療センター、教育機関や大学、製造会社、産業組織などの重要セクターを標的にしている。

最初の大規模な攻撃は2025年2月6日に発生し、台湾の馬偕記念病院が被害を受けた。この攻撃により、台北と淡水の両院区の救急および外来診療システムに深刻な影響が及び、500台以上のコンピューターが暗号化された。WithSecureの報告によれば、実際には600台以上のデバイスが影響を受けたとされる。攻撃は職員が誤ってUSBメモリを病院内のコンピューターに接続したことにより発生した。

CrazyHunterは洗練された攻撃手法を用いており、特に「自前の脆弱なドライバーを持ち込む」（BYOVD）技術を活用している。具体的には、Zemana Anti-Malwareドライバー（zam64.sys）を悪用して権限を昇格させ、エンドポイント検出および応答（EDR）やアンチウイルス製品などの高権限プロセスを終了させる。

このグループのツールキットの約80%はGitHubから入手可能なオープンソースソフトウェアで構成されている。主要なツールとしては、プロセスキラーツールの「ZammoCide」、ランサムウェア作成ツールの「Prince Ransomware Builder」、グループポリシーオブジェクトを悪用するための「SharpGPOAbuse」などがある。

台湾の刑事調査局（CIB）は2025年4月3日、CrazyHunterの正体を中国浙江省のサイバーセキュリティ企業に勤める20歳の男性（羅氏）と特定したと発表した。2月28日には、馬偕記念病院が身代金の支払いを拒否したため、盗まれた患者データがオンラインフォーラムで販売されたとされる。流出したデータには、台湾全土の馬偕記念病院の支部（淡水や新竹を含む）から収集された1,660万人の患者の医療情報を含む32.5GBの情報が含まれていたと報告されている。

Dark Readingの上級ニュースライターAlexander Culafi氏によると、Trend Microのシニア脅威研究者Stephen Hilt氏は、CrazyHunterを特定の地域や国に帰属させるための十分な情報はないとしながらも、標的設定や技術は中国を拠点とするアクターに関連するものを含む他のキャンペーンで見られる戦術に似ている可能性を指摘している。

CrazyHunterによる攻撃から組織を守るため、Trend Microは以下の対策を推奨している：ユーザーが自分の役割に不可欠なデータとシステムにのみアクセスできるようにすること、すべてのユーザーアカウントに多要素認証（MFA）を要求すること、パッチの適用を最新の状態に保つこと、重要なデータの日次バックアップを実行すること、ユーザー権限を定期的に監査すること、そして未承認のドライバーインストールを監視してブロックするエンドポイント保護ソフトウェアを利用すること。

from:Ransomware gang ‘CrazyHunter’ Targets Critical Taiwanese Orgs

【編集部解説】

「CrazyHunter」というランサムウェアグループの台湾での攻撃について、複数の情報源から詳細を確認しました。この事案は2025年初頭から発生しており、特に2月6日に台湾の馬偕記念病院（MacKay Memorial Hospital）が大規模な攻撃を受けたことで注目を集めています。

攻撃の特徴と手法

CrazyHunterの最も特徴的な点は、GitHubなどで公開されているオープンソースツールを巧みに組み合わせて攻撃を行っていることです。Trend Microの調査によれば、このグループのツールキットの約80%はオープンソースから調達されています。これは攻撃者にとってコスト効率が良いだけでなく、開発の手間も大幅に削減できるという利点があります。

特に注目すべきは「BYOVD（Bring Your Own Vulnerable Driver）」と呼ばれる手法を使用している点です。この手法では、Zemana Anti-Malwareの脆弱なドライバー（zam64.sys）を悪用して、セキュリティソフトウェアのプロセスを強制終了させています。これにより、エンドポイント検出・対応（EDR）システムやアンチウイルスソフトウェアを無効化し、防御の最前線を突破しています。

また、SharpGPOAbuseというツールを使用してグループポリシーオブジェクト（GPO）を悪用し、ネットワーク内での横方向移動を実現しています。これにより、一度侵入に成功すると組織全体に素早く拡散することが可能になっています。

台湾を標的にする背景

CrazyHunterが台湾の組織、特に医療機関や教育機関を集中的に標的にしている点は興味深い特徴です。台湾刑事調査局（CIB）の調査によれば、このグループの背後には中国浙江省のサイバーセキュリティ企業に勤める20歳の男性（羅氏）がいると特定されています。

地政学的な背景を考えると、この攻撃が単なる金銭目的だけでなく、台湾社会の混乱や重要インフラの機能停止を狙った可能性も考えられます。特に医療機関への攻撃は、直接人命に関わる可能性があり、社会的影響が非常に大きいものです。

RedHotCyberの報告によれば、CrazyHunterは自らを「REvil」ほど「貪欲」でなく、「LockBit」ほど「派手」ではないと位置づけており、独自のブランディング戦略を展開しています。また、公開または非公開のブロックチェーンを使用して完了した作戦を追跡し、身代金支払い後に復号化ツールを提供するという約束を守ることを将来の被害者に示そうとしている可能性があります。

技術的な進化と今後の懸念

ランサムウェア攻撃の手法は年々進化しており、CrazyHunterもその一例です。特に注目すべきは、オープンソースツールの活用により、高度な技術を持たない攻撃者でも洗練された攻撃を実行できるようになっている点です。WithSecureの報告によれば、2024年に調査したランサムウェア事案の38%は特定のRansomware-as-a-Service（RaaS）に関連付けられないものでした。これは「ローンウルフ（単独犯）」型の攻撃が増加していることを示しています。

また、USBデバイスを初期侵入経路として使用している点も特徴的です。デジタル化が進む現代においても、物理的なセキュリティの重要性を再認識させる事例といえるでしょう。

日本企業への示唆

日本の組織、特に医療機関や教育機関は、CrazyHunterのような攻撃から学ぶべき教訓があります。地理的・政治的な近接性から、日本も同様の攻撃を受ける可能性は否定できません。

特に重要なのは、オープンソースツールを使った攻撃に対する防御策です。これらのツールは正規の目的で使用されることも多いため、単純にブロックするだけでは不十分です。代わりに、異常な動作パターンを検出するための行動分析や、特権アクセスの厳格な管理が重要になります。

また、USBデバイスなどの物理メディアを介した攻撃に対しては、ポートの制限やデバイス制御ポリシーの実装が効果的です。さらに、多層防御戦略の採用や、定期的なバックアップ、インシデント対応計画の策定と訓練も欠かせません。

まとめ

CrazyHunterのような攻撃グループは、今後も新たな手法を開発し続けるでしょう。特にAIの発展により、攻撃の自動化や標的型攻撃の精度向上が懸念されます。

一方で、防御側もAIを活用した異常検知や、ゼロトラストアーキテクチャの導入など、新たな対策を進めています。サイバーセキュリティは常に攻撃と防御の競争であり、最新の脅威情報を把握し、適切な対策を講じることが不可欠です。

私たちinnovaTopiaは、このような先端技術の動向を注視し、読者の皆様に正確な情報と洞察を提供し続けてまいります。テクノロジーの進化が人類の持続可能な発展に貢献するよう、今後も情報発信を続けていきます。

【用語解説】

BYOVD（Bring Your Own Vulnerable Driver）
「自前の脆弱なドライバーを持ち込む」攻撃手法。攻撃者が正規の署名付き脆弱ドライバーをシステムに導入し、そのドライバーの脆弱性を悪用してセキュリティ対策を回避する技術である。

ランサムウェア
ユーザーのファイルを暗号化し、復号のために身代金を要求する悪意あるソフトウェア。

Prince Ransomware Builder
ランサムウェアを作成するためのツールキット。技術的な知識がなくても、カスタマイズされたランサムウェアを作成できるようにするものである。

【参考リンク】

Zemana Ltd（外部）
軽量で効率的なマルウェア対策ソフトウェアを開発する企業。特にルートキットやブートキットの除去に強みを持つ。

Trend Vision One（外部）
XDR、リスク管理、攻撃対象領域の可視化などを統合したセキュリティプラットフォーム。

【編集部後記】

皆さんの組織では、USBメモリの取り扱いルールはどのように定められていますか？CrazyHunterの事例では、たった一つのUSB接続が600台以上のコンピューターに影響を及ぼしました。日常的に使用する便利なツールが、時に大きなリスクとなり得ることを示しています。セキュリティは「誰かがやってくれる」ものではなく、私たち一人ひとりの意識と行動にかかっています。今一度、身近なセキュリティ対策を見直してみませんか？皆さんの経験や取り組みをぜひSNSでシェアしていただければ幸いです。