DragonForceとAnubis：ランサムウェアギャングが新たなアフィリエイトモデルで革新、正規企業のように進化

2025年4月24日7:45

サイバーセキュリティニュース

DragonForceとAnubis：ランサムウェアギャングが新たなアフィリエイトモデルで革新、正規企業のように進化 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-24 10:22 by admin

拡張検知・対応ベンダーのSecureworks（Dell Technologiesが所有）は2025年4月24日、ランサムウェア・アズ・ア・サービス（RaaS）ギャングであるDragonForceとAnubisの拡張アフィリエイトモデルに関する調査結果を発表しました。

DragonForceは2023年8月に従来のRaaSモデルとして登場し、2025年3月に「カルテル」として再ブランド化しました。3月19日のダークウェブハッキングフォーラムへの投稿で、DragonForceはアフィリエイトが自分自身の「ブランド」を作成できると宣伝し、アフィリエイトがDragonForceのインフラを利用しながら自分自身のマルウェアを使用できるようにしました。

Anubisは2024年後半に出現した比較的新しいグループで、2025年2月23日にはサイバー犯罪フォーラムRAMPで新しいアフィリエイトプログラムを宣伝し始めました。これには、アフィリエイトが身代金の80％を取得する従来のRaaSモデル、データ恐喝攻撃後の被害者から恐喝を支援する「データ身代金」オプション（アフィリエイトに純利益の60％を提供）、そして既に侵害した被害者から恐喝するのを支援する「アクセス収益化」オプション（アフィリエイトに身代金の50％を提供）が含まれます。

「データ身代金」オプションでは、パスワード保護されたTorウェブサイトに被害者の機密データ分析を含む「調査記事」を公開し、被害者に支払い交渉のリンクを提供します。支払いがない場合、Anubisのリークサイトに記事を公開し、X（旧Twitter）アカウントを通じて被害者名を公開するとともに、被害者の顧客や米国、英国、欧州の規制当局に通知すると脅迫しています。

Secureworksの脅威インテリジェンスディレクターRafe Pillingによると、これらのアフィリエイトモデルの進化は、法執行機関の妨害作戦と被害者からの支払い率低下に対応したものであり、アフィリエイトに柔軟性を提供することで、より多くのアフィリエイトを引き寄せ、全体的な成功率を高める可能性があるとのことです。

from:Ransomware Gangs Innovate With New Affiliate Models

【編集部解説】

ランサムウェア攻撃は2025年に入り、さらに洗練された形で進化を続けています。今回のDark Readingの記事で紹介されたDragonForceとAnubisの事例は、サイバー犯罪者たちがいかに「ビジネス」として組織化されているかを示す重要な事例です。

検索結果から確認できる通り、DragonForceは2023年12月から活動を開始し、2025年3月には「カルテル」として再ブランド化しています。特に注目すべきは、2025年2月にサウジアラビアの不動産・建設会社から6TBものデータを盗み出した攻撃で、イスラム教の断食月「ラマダン」開始直前という象徴的なタイミングを狙った点です。

DragonForceの特徴として、LockBitのコードを基にした独自のランサムウェアを開発し、被害者との交渉音声をダークウェブサイトに公開するという非常に攻撃的な手法を採用している点が挙げられます。これは被害者に対する心理的圧力を高め、身代金支払いを促す戦略の一環です。

一方、Anubisは2024年後半に出現した比較的新しいグループですが、2025年2月23日にはサイバー犯罪フォーラムRAMPで新しいアフィリエイトプログラムを宣伝し始めました。Anubisの特徴は、通常のRaaSモデルに加えて「データ身代金」や「アクセス収益化」という複数の収益モデルを提供している点にあります。

拡大するランサムウェアの脅威
2025年第1四半期のランサムウェア攻撃は前年同期比で126%増加しており、この急増の背景には今回紹介したような新たなビジネスモデルの登場があります。

特に注目すべきは、ランサムウェア攻撃の敷居が大幅に下がっている点です。RaaSプラットフォームの拡大により、技術的知識の少ない攻撃者でもランサムウェア攻撃を実行できる環境が作り出されています。

また、「Initial Access Broker（IAB）」と呼ばれる侵入口を提供する専門業者の存在も、技術的知識の少ない攻撃者でもランサムウェア攻撃を実行できる環境を作り出しています。これらのサービスにより、資金さえあれば誰でもランサムウェア攻撃を実行できる状況が生まれています。

日本企業への影響と対策
2025年2月に公開された調査によると、2024年にランサムウェアの被害を受けた国内企業数は全体で243社となりました。そのうち自社そのものが被害にあった企業が103社、取引先がランサムウェア被害にあった企業が140社という結果が報告されています。

日本企業にとって重要なのは、これらのランサムウェアグループが「正規企業」のように組織化され、効率的に攻撃を実行している点を理解することです。特に、DragonForceが使用している脆弱性（CVE-2021-44228、CVE-2023-46805、CVE-2024-21412など）は最新のセキュリティパッチで対応できるものが多いため、定期的なアップデートが重要です。

Secureworksが推奨する対策として、インターネットに接続されたデバイスの定期的なパッチ適用、フィッシング耐性のある多要素認証（MFA）の実装、堅牢なバックアップの維持、そしてネットワークとエンドポイントの監視が挙げられています。これらは基本的な対策ですが、確実に実施することが重要です。

今後の展望：ランサムウェア対策の新たな方向性
ランサムウェアビジネスの進化に対抗するには、従来の技術的対策だけでなく、組織全体でのセキュリティ意識の向上が不可欠です。特に注目すべきは、これらのランサムウェアグループが「ビジネス」として機能している点です。

彼らは利益最大化のために市場環境の変化に適応し、法執行機関の対策や被害者の支払い率低下といった課題に対して、新たなビジネスモデルで対応しています。このような「ビジネス」としての側面を理解することで、企業は自社のセキュリティ対策をより効果的に構築できるでしょう。

2025年は、ランサムウェア攻撃が量的にも質的にも拡大する年になると予測されています。企業はこの脅威に対して、技術的対策、組織的対策、そして保険や法的対応も含めた総合的なアプローチを取ることが求められています。

最後に、ランサムウェア攻撃に対する最も効果的な対策の一つは、攻撃を受けた際の対応計画を事前に策定し、定期的に訓練することです。被害を最小限に抑え、迅速に復旧するための準備が、今後ますます重要になってくるでしょう。

【用語解説】

ランサムウェア・アズ・ア・サービス（RaaS）：
犯罪者がランサムウェア攻撃に必要なツールやインフラを提供し、技術的知識の少ない「アフィリエイト」と呼ばれる協力者に貸し出すビジネスモデル。アフィリエイトが攻撃を実行し、得られた身代金を提供者と分配する仕組みである。

アフィリエイトモデル：
ランサムウェアの文脈では、ランサムウェアツールの開発者（運営者）と実際に攻撃を行う実行者（アフィリエイト）の間の協力関係を指す。通常、身代金の一定割合（記事では60〜80%）がアフィリエイトに支払われる。

ダークウェブ：
通常のブラウザではアクセスできない、匿名性の高いインターネット空間。Torブラウザなどの特殊なソフトウェアを使用してアクセスする。犯罪者が身元を隠しながら違法な商品やサービスを取引する場として利用されている。

Tor：
匿名通信を可能にするネットワーク技術。複数のリレーを経由して通信を行うことで、発信元を特定しにくくする。ランサムウェア運営者はTorを使って.onionドメインと呼ばれる匿名サイトを運営し、被害者とのコミュニケーションや身代金交渉を行う。

多要素認証（MFA）：
パスワードだけでなく、スマートフォンのアプリや物理的なセキュリティキーなど、複数の認証要素を組み合わせてアクセスを許可する仕組み。単一の認証情報が漏洩しても不正アクセスを防止できる。

Initial Access Broker（IAB）：
企業や組織のネットワークへの侵入口（アクセス権）を専門に取引する犯罪者。彼らは侵入に成功したシステムへのアクセス権を他の犯罪者に販売し、ランサムウェア攻撃の初期段階を担当する。

3-2-1ルール：
バックアップデータの保管に関する基本原則。保護したいデータを3箇所に保持し、2つの異なる形態のデバイスにバックアップを保存、バックアップの1つはオフサイト（遠隔地）に保存する構成。アメリカの国土安全保障省が公表したガイドラインに記載されているデータ保護の基本ポリシー。

Secureworks：
1999年に設立された米国のサイバーセキュリティ企業で、現在はDellの子会社。従業員数約1,516人。Taegisと呼ばれるセキュリティプラットフォームを提供しており、AIを活用した脅威検出や対応サービスを展開している。2024年10月には日本市場向けにTaegis ManagedXDR PlusとTaegis ManagedXDR Eliteを発表した。

DragonForce：
2023年8月に登場したランサムウェアグループ。当初は従来のRaaSモデルで運営していたが、2025年3月に「カルテル」として再ブランド化。LockBitのコードを基にした独自のランサムウェアを開発し、被害者との交渉音声をダークウェブサイトに公開するなど攻撃的な手法を採用している。2025年2月にはサウジアラビアの不動産・建設会社から6TBのデータを盗み出し、ラマダン開始直前というタイミングで公開すると脅迫した。

Anubis：
2024年後半に出現した比較的新しいランサムウェアグループ。2025年2月23日にサイバー犯罪フォーラムRAMPで新しいアフィリエイトプログラムを宣伝し始めた。通常のRaaSモデルに加えて「データ身代金」や「アクセス収益化」という複数の収益モデルを提供している。2025年2月25日時点で、Anubisのブログには4つの被害組織（うち2つが医療機関）が掲載されており、最初の被害者はオーストラリアの医療会社Pound Road Medical Centre（PRMC）であった。なお、同名の「Anubis」は2016年から存在するAndroid向けバンキングトロイの木馬とは別物である。

【参考リンク】

Secureworks公式サイト（外部）
サイバーセキュリティのグローバルリーダーで、Taegisプラットフォームを通じて脅威検出・対応サービスを提供している企業の公式サイト。

SOMPO CYBER SECURITY（Anubis解説ページ）（外部）
Androidをターゲットにしたバンキング型トロイの木馬Anubisについての解説ページ。

Resecurity（DragonForce分析レポート）（外部）
DragonForceランサムウェアの技術的な分析と動作メカニズムを詳細に解説したレポート。

【参考動画】

【編集部後記】

サイバー犯罪者たちは「ビジネス」として進化を続けています。あなたの会社では、ランサムウェア対策は十分でしょうか？もし攻撃を受けたとき、どのように対応するか計画はありますか？DragonForceやAnubisのような新たな脅威に対して、「パッチ適用」「多要素認証」「バックアップ」といった基本対策を見直す良い機会かもしれません。最新の脅威動向を把握することが、効果的な防御の第一歩です。みなさんの組織ではどのようなセキュリティ対策を実施していますか？