Last Updated on 2025-06-20 19:49 by admin
セキュリティ企業Sophosは2025年5月23日、3AMランサムウェアグループがメール爆撃と音声フィッシング(ビッシング)を組み合わせた新しい攻撃手法を採用していることを発表した。
攻撃の概要
2025年第1四半期に発生したこの攻撃では、3AM関連組織がSophosの顧客企業を標的とした。攻撃者は事前偵察により標的組織の従業員メールアドレスと内部IT部門の電話番号を収集し、攻撃をカスタマイズした。
攻撃手法の詳細
攻撃は以下の手順で実行された
- メール爆撃: 標的従業員に対し、3分間で24通の迷惑メールを送信
- 電話番号偽装: 組織の実際のIT部門の電話番号を偽装して通話
- リモートアクセス誘導: ITサポートを装い、Microsoft Quick Assistでのリモートアクセスを許可させる
- 仮想マシン展開: QEMUエミュレーター上でWindows 7仮想マシンを実行し、QDoorトロイの木馬を配置
攻撃の結果
攻撃者は9日間ネットワークに潜伏し、データをBackblaze クラウドストレージに流出させた。Sophosの製品により横展開と防御無効化の試みは阻止され、ランサムウェアの実行も防がれたため、被害は限定的に留まった。
攻撃規模の拡大
Sophosは2024年11月から2025年1月中旬までの間に、この攻撃パターンを使用する2つの異なる脅威クラスターによる15件以上のインシデントを確認し、さらに55件の攻撃試行を検出している。この手法はBlack Bastaランサムウェアグループによって開発され、現在は複数のランサムウェア組織に拡散している。
3AMランサムウェアの背景
3AMランサムウェアは約2年前に出現し、当初はBlack Bastaの展開が失敗した場合のバックアップとして使用されていた。2023年9月にSymantecによって初めて報告され、BlackSuit/Royalランサムウェアのリブランディングであり、解散したContiグループの中核チームとの関連が指摘されている。
References:
3am Ransomware Adopts Email Bombing, Vishing Combo Attack
【編集部解説】
今回のSophosレポートは、ランサムウェア攻撃の戦術的進化を示す重要な事例として注目されます。2025年版ソフォス脅威レポートでも指摘されているように、攻撃者は技術的脆弱性の悪用から人間の心理的弱点を突く高度なソーシャルエンジニアリングへとシフトしており、3AMグループの手法はその典型例と言えるでしょう。
この攻撃の最も巧妙な点は、認知負荷の悪用にあります。短時間で大量のメールを受信した従業員は混乱状態に陥り、その直後にかかってくる「IT部門」からの電話に対して冷静な判断力を失いがちです。攻撃者は人間の認知バイアスを熟知しており、緊急性と権威性を演出することで、通常であれば疑うべき要求を受け入れさせています。
リモートランサムウェア攻撃の増加という観点でも、この事例は重要な示唆を与えています。Sophosの統計によると、2024年のリモートランサムウェア使用は前年比50%増、2022年比では141%増と急激に増加しており、3AMグループの仮想マシン技術悪用もこの傾向の一環です。
特に懸念されるのは、この攻撃がSTAC(セキュリティ脅威活動クラスタ)として体系化されている点です。Sophosが追跡する複数の脅威クラスターが同様の手法を採用しており、攻撃手法のパッケージ化と商品化が進んでいることを示しています。
企業の防御戦略においては、従来のエンドポイント保護だけでは限界があり、ゼロトラスト原則に基づく包括的なセキュリティアーキテクチャの構築が急務となっています。また、MFA(多要素認証)の導入だけでなく、MFAフィッシング対策も重要な課題として浮上しています。
長期的な視点では、このような攻撃の巧妙化により、サイバーセキュリティ人材の育成と組織全体のセキュリティ文化醸成がより重要になっています。技術的対策と人的対策の両輪で対応することが、現代のサイバー脅威に立ち向かう唯一の方法と言えるでしょう。
【用語解説】
メール爆撃(Email Bombing)
短時間で大量のメールを送りつけて受信者を混乱させる攻撃手法。例えるなら、玄関のチャイムを1分間に何十回も鳴らし続けて住人をパニック状態にするようなもの。
ビッシング(Vishing)
Voice(音声)とPhishing(フィッシング)を組み合わせた造語。電話を使った詐欺手法で、IT担当者などになりすまして被害者を騙す。振り込め詐欺の企業版と考えると分かりやすい。
QEMU(Quick Emulator)
オープンソースの仮想マシンソフトウェア。コンピューター内に別のコンピューターを作り出す技術。攻撃者はこれを悪用してセキュリティソフトの監視を回避する。
STAC(セキュリティ脅威活動クラスタ)
Sophosが定義する脅威分類手法。特定の攻撃者集団ではなく、共通のツール、戦術、手順(TTP)を共有する攻撃パターンを指す。
【参考リンク】
Sophos公式サイト(外部)イギリスのサイバーセキュリティ企業。エンドポイント保護やネットワークセキュリティ製品を提供している。
QEMU公式サイト(外部)
オープンソースの仮想化ソフトウェア。様々なアーキテクチャのエミュレーションが可能な汎用マシンエミュレーター。
【参考動画】
【編集部後記】
今回の3AMランサムウェアの事例を見て、皆さんの職場ではどのようなセキュリティ対策が取られているでしょうか?特に「IT部門を名乗る電話」への対応ルールは明確になっていますか?Sophosの最新レポートでは、このような攻撃が急増していることが報告されています。もし皆さんが同じ状況に置かれたら、冷静に対処できる自信はありますか?ぜひSNSで、職場のセキュリティ体験や疑問をシェアしていただければと思います。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
