Fogランサムウェア、DOGEテーマの身代金要求で新たな心理戦 – 100件超の被害と2時間での暗号化攻撃

2025年4月22日8:02

サイバーセキュリティニュース

Fogランサムウェア、DOGEテーマの身代金要求で新たな心理戦 - 100件超の被害と2時間での暗号化攻撃 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-22 10:41 by admin

Fogランサムウェアの運営者が、米国政府の効率化イニシアチブ（Department of Government Efficiency、DOGE）を装った身代金要求メモを使用して被害者を挑発している。

トレンドマイクロの研究者が2025年4月21日に発表した調査によると、このランサムウェアは2025年1月以降、100件以上の被害を記録しており、特に2月には53件と最多の被害を出している。1月には18件、3月には29件の被害が報告されている。

攻撃は「Pay Adjustment.zip（給与調整.zip）」と名付けられたZIPアーカイブを含むフィッシングメールから始まる。このアーカイブには悪意のあるLNKファイルが含まれており、クリックするとPowerShellスクリプト「stage1.ps1」をダウンロードし、最終的にFogランサムウェアをシステムに投下する一連のアクションが開始される。

このマルウェアは、ランサムウェアローダー（cwiper.exe）、特権昇格のためのIntelドライバーiQVW64.sysの脆弱性を標的とする悪用ツール（ktool.exe）、データ収集スクリプト（lootsubmit.ps1とtrackerjacker.ps1）、MoneroウォレットアドレスにリダイレクトするためのQRコードなど、複数のコンポーネントをダウンロードする。WindowsとLinuxの両方のシステムを標的にしている。

被害者が受け取る身代金要求メモには、DOGEへの言及や、場合によってはDOGEで働く個人への言及が含まれている。メモは被害者に過去1週間で達成した可能性のあるタスクを箇条書きで5つ挙げるか、1兆ドルを支払うよう求めている。また、被害者が他の誰かにマルウェアを送信すれば、無料でシステムを復号化すると申し出ている。

Fogランサムウェアは2024年5月にArctic Wolfの研究者によって初めて発見された。当初は主に米国の教育機関を標的にし、侵害されたVPN認証情報を使用して初期アクセスを獲得していた。当初はデータ流出やリークサイトの運営はなかったが、その後の攻撃では展開前にデータ窃取が行われるようになり、二重恐喝モデルを採用したことが示唆されている。

Darktraceの観測によると、Fogランサムウェアの攻撃では初期アクセスから暗号化までの最短時間はわずか2時間であった。被害者のほとんどはテクノロジー、製造、教育、輸送部門からのものだが、ビジネスサービス、ヘルスケア、小売、消費者サービスなどの企業も含まれている。

トレンドマイクロによると、2024年6月以降、同社の脅威インテリジェンスはトレンドのお客様の間でFogランサムウェアに起因するランサムウェア活動を173件検出している。VirusTotalでは、2025年3月27日から4月2日の間に9つのFogランサムウェアサンプルがアップロードされており、これが最新の攻撃キャンペーンの一部である可能性がある。

セキュリティ研究者たちはFogを「ランサムウェアグループ」ではなく「ランサムウェア変種」として分類している。トレンドマイクロは、組織がFogランサムウェア（Ransom.Win32.FOG.SMYPEFG）の活動を監視するために使用できる侵害の指標（IoC）を公開し、ビジネスクリティカルなデータの安全なバックアップの維持、復元プロセスの定期的なテスト、ネットワークセグメンテーション、すべてのソフトウェアの定期的なパッチ適用と更新、フィッシングやソーシャルエンジニアリング詐欺に対する定期的なトレーニングなど、標準的なランサムウェア防御対策を推奨している。

from:‘Fog’ Hackers Troll Victims With DOGE Ransom Notes

【編集部解説】

Fogランサムウェアが新たな心理戦術を展開しています。今回の攻撃では、イーロン・マスク氏が提案した米国政府の効率化イニシアチブ（Department of Government Efficiency、DOGE）を装った身代金要求メモを使用し、被害者を心理的に挑発するという手法が取られています。

トレンドマイクロの研究者たちが2025年4月21日に発表した調査によると、このランサムウェアは2025年1月以降100件以上の被害を記録しており、特に2月には53件と最多の被害を出しています。1月には18件、3月には29件と継続的に攻撃が行われており、これは単なる数字ではなく、実際に企業や教育機関が業務停止に追い込まれた事例が多数含まれています。

注目すべきは、攻撃手法の巧妙さです。「Pay Adjustment.zip（給与調整.zip）」と名付けられたZIPアーカイブを含むフィッシングメールから始まるこの攻撃は、一見すると給与関連の正当な文書に見せかけています。人事や経理部門をターゲットにした巧妙な社会工学的手法と言えるでしょう。

さらに興味深いのは、Fogランサムウェアの運営者たちが採用している心理的戦術です。彼らは身代金要求メモにDOGEへの言及を含めるだけでなく、政治的なYouTubeビデオを開いたり、スクリプト内に直接政治的なコメントを含めたりしています。これは被害者を混乱させ、冷静な判断を妨げる効果があると考えられます。

特筆すべきは、このランサムウェアが採用している高度な位置情報追跡技術です。IPアドレスに依存する代わりに、被害者のルーターのMACアドレス（BSSID）を使用してWigle.net APIに問い合わせることで、より正確な物理的位置を特定しています。これにより、「あなたの住所を知っている」という脅しがより説得力を持つようになっています。

Fogランサムウェアの攻撃速度も警戒すべき点です。Darktraceの観測によると、初期アクセスから暗号化までの最短時間はわずか2時間とされています。これは従来のランサムウェア攻撃と比較しても非常に速く、セキュリティチームが対応する時間的余裕がほとんどないことを意味します。

また、Fogランサムウェアは当初データ流出やリークサイトの運営はなかったものの、その後の攻撃では展開前にデータ窃取が行われるようになり、二重恐喝モデルを採用したことが示唆されています。これは単にデータを暗号化するだけでなく、機密データを盗み出して公開すると脅す手法で、被害者に対するプレッシャーを大幅に高めています。

最近の調査では、このランサムウェアが「DOGE BIG BALLS Ransomware」という名前でブランド化された変種も確認されており、実在する公人の名前や住所を含めることで、混乱や脅迫、あるいは誤認を誘発する意図があると指摘されています。

セキュリティ研究者たちの間では、Fogは「ランサムウェアグループ」ではなく「ランサムウェア変種」として分類されています。多くのランサムウェアグループは、実際には独立した提携グループを通じて運営されているにもかかわらず、統一されたエンティティとして自己表現することがあります。

企業や組織がこのような脅威から身を守るためには、ビジネスクリティカルなデータの安全なバックアップの維持、復元プロセスの定期的なテスト、ネットワークセグメンテーション、すべてのソフトウェアの定期的なパッチ適用と更新、そしてフィッシングやソーシャルエンジニアリング詐欺に対する定期的なトレーニングが不可欠です。

特に注目すべきは、このランサムウェアが使用している脆弱なドライバーを悪用する「Bring Your Own Vulnerable Driver（BYOVD）」と呼ばれる手法です。これはIntelドライバー（CVE-2015-2291）の脆弱性を悪用してカーネルレベルのアクセスを獲得し、メモリを操作し、権限を昇格させ、セキュリティログ記録メカニズムを無効化するという高度な攻撃手法です。

最新の調査によると、Fogランサムウェアはテクノロジー、製造、教育、輸送部門だけでなく、ビジネスサービス、ヘルスケア、小売、消費者サービスなどの企業も標的にしています。これは特定の業界に限定されない広範な脅威であることを示しています。WindowsとLinuxの両方のシステムを標的にしている点も、その脅威の範囲の広さを示しています。

このような高度なランサムウェア攻撃に対しては、単なる技術的対策だけでなく、組織全体のセキュリティ意識の向上と、インシデント発生時の迅速な対応計画の整備が重要です。特に、フィッシングメールの見分け方や、不審なファイルを開かないといった基本的なセキュリティ習慣を従業員に徹底することが、第一の防衛線となります。

Fogランサムウェアの事例は、サイバー犯罪者たちが技術的手法と心理的操作を組み合わせて、より効果的な攻撃を仕掛けてくる傾向を示しています。2025年3月27日から4月2日の間にVirusTotalに9つのFogランサムウェアサンプルがアップロードされており、これが最新の攻撃キャンペーンの一部である可能性があります。今後も同様の手法を用いた攻撃が増加する可能性があり、継続的な警戒が必要です。

【用語解説】

ランサムウェア
コンピュータやデータを「人質」にとり、「身代金」を要求するマルウェア。家に侵入した泥棒が住人を縛り上げ、家族に身代金を要求するようなもの。

DOGE（Department of Government Efficiency）
イーロン・マスク氏が2023年に提案した米国政府の効率化を目指すイニシアチブ。正式な政府機関ではなく、現政権の取り組みの一つ。今回の攻撃ではこの名称を悪用している。

二重恐喝モデル
データを暗号化するだけでなく、盗み出したデータを公開すると脅す手法。「金を払わないと家を燃やすだけでなく、盗んだ家族の秘密も公開する」と脅すようなもの。

BYOVD（Bring Your Own Vulnerable Driver）
攻撃者が脆弱性のある正規のドライバーを悪用する手法。警備の厳しい建物に入るために、脆弱性のある正規の入館証を偽造して侵入するようなもの。

LNKファイル
Windowsのショートカットファイル。一見すると通常のファイルに見えるが、クリックすると悪意のあるコードを実行する。

PowerShellスクリプト
Windowsに標準搭載されているコマンドライン環境で実行されるスクリプト。システム管理に使われるが、攻撃者にも悪用される。

IoC（Indicators of Compromise）
侵害の指標。マルウェア感染や不正アクセスなど、セキュリティ侵害の痕跡を示す証拠。IPアドレス、ドメイン名、ファイルハッシュなどが含まれる。

【参考リンク】

トレンドマイクロ（外部）
日本に本社を置く世界的なサイバーセキュリティ企業。ウイルスバスターなどのセキュリティソフトで知られる。

Arctic Wolf（外部）
2012年に設立された米国のサイバーセキュリティ企業。中小企業向けのセキュリティ監視サービスを提供。

Darktrace（外部）
2013年に英国ケンブリッジで設立されたAIサイバーセキュリティ企業。人間の免疫システムに着想を得たAI技術を活用。

【編集部後記】

皆さんの組織では、ランサムウェア対策は万全でしょうか？Fogのような新手の攻撃は、技術的な脆弱性だけでなく、人間の心理を巧みに突いてきます。「給与調整」というメールが届いたら、つい開きたくなりますよね。WindowsとLinuxの両方を標的にする攻撃も増えています。日頃からのバックアップ習慣や、「おかしいな」と感じる直感を大切にすることが、最強の防御になるかもしれません。皆さんならどんな対策を講じていますか？ぜひSNSで共有してください。