セキュリティ企業Trustwaveが2025年6月24日に発表した調査によると、新興ランサムウェアグループ「Dire Wolf」が2025年5月の出現以来、世界16組織を攻撃した。
被害は米国、タイ、台湾を含む11か国に及び、主にテクノロジーと製造業セクターが標的となった。このグループは二重恐喝戦術を採用し、身代金支払い期限を約1か月に設定している。
被害者の一人に対する身代金要求額は約50万ドル(約7500万円)であった。Dire Wolfランサムウェアはプログラミング言語Golangで開発され、Curve25519とChaCha20アルゴリズムを組み合わせた暗号化を使用する。
暗号化されたファイルには.direwolf拡張子が付与される。身代金要求書「HowToRecoveryFiles.txt」には被害者固有のルームIDとログイン情報が含まれ、個別の交渉チャネルが提供される。
2025年第1四半期のランサムウェア攻撃は前年同期比126%から169%の大幅増加を記録し、新興グループの活動が活発化している。
From: 
Dire Wolf Ransomware Comes Out Snarling, Bites Technology, Manufacturing
【編集部解説】
Dire Wolfランサムウェアの出現は、2025年のサイバーセキュリティ情勢における重要な転換点を示しています。明らかになったのは、このグループが単独の脅威ではなく、SafePayやDevMan、Gunraといった新興ランサムウェアグループの一連の台頭の一部であることです。
特に注目すべきは、2025年第1四半期のランサムウェア攻撃が前年同期比126%から169%という驚異的な増加を記録していることです。チェック・ポイント・リサーチの報告では、リークサイトで公開された被害者数が2,289件、ランサムウェアグループ数が74に達し、四半期として過去最多となりました。
Dire Wolfの技術的特徴である身代金要求書「HowToRecoveryFiles.txt」の使用は、被害者に対する心理的圧力を最大化する戦略の一環です。3日以内の連絡を求め、応じなければデータを公開すると脅迫する手法は、従来の暗号化のみの攻撃よりもはるかに効果的です。
日本国内でも、トーモク(Gunra攻撃)、原田工業(Qilin攻撃疑い)、光精工(Qilin攻撃)、デジタルテクノロジー(Cicada3301攻撃)など、製造業を中心とした被害が相次いでいます。これらの事例は、Dire Wolfが標的とする業界と完全に一致しており、国際的な攻撃パターンの一部であることを示しています。
Golangで開発されたマルウェアの検出困難性は、従来のシグネチャベース検出システムの限界を露呈しています。この言語の特性により、アンチウイルスソフトによる検出率が大幅に低下するため、企業は行動分析ベースの検出システムへの移行を急ぐ必要があります。
長期的な視点では、LockBitやGhostといった大手グループの摘発後も、新たな脅威アクターが次々と登場する現状は、ランサムウェア・エコシステムの根深い構造的問題を示しています。単発的な摘発ではなく、経済的インセンティブ構造そのものを変革する包括的な対策が求められています。
【用語解説】
ランサムウェア
コンピュータのファイルを暗号化し、復号化と引き換えに身代金を要求する悪意あるソフトウェア。近年は暗号化だけでなく、データを盗み出して公開すると脅迫する二重恐喝戦術が主流となっている。
二重恐喝(ダブルエクストーション)
ランサムウェア攻撃において、ファイルの暗号化に加えて機密データを窃取し、身代金を支払わなければデータを公開すると脅迫する手法。従来の暗号化のみの攻撃よりも被害者への圧力が強い。
Golang(Go言語)
Googleが開発したプログラミング言語。クロスプラットフォーム対応が容易で、アンチウイルスソフトによる検出が困難なため、近年サイバー犯罪者に好まれている。
Curve25519
楕円曲線暗号の一種で、128ビットのセキュリティレベル(256ビット鍵長)を提供する。軍事レベルの強度を持つ暗号化アルゴリズムとして知られる。
ChaCha20
高速で安全なストリーム暗号アルゴリズム。AES-GCMよりも高速な場合が多く、現代的な暗号化システムで広く採用されている。
RaaS(Ransomware-as-a-Service)
ランサムウェアをサービスとして提供するビジネスモデル。開発者がランサムウェアツールを作成し、実行者(アフィリエイト)に貸し出して収益を分配する仕組み。
データリークサイト(DLS)
ランサムウェアグループが被害者の機密データを公開する専用ウェブサイト。身代金を支払わない場合の脅迫材料として使用される。
【参考リンク】
Trustwave(外部)
マネージド・セキュリティ・サービスを提供する大手サイバーセキュリティ企業
Check Point Software Technologies(外部)
2025年第1四半期のランサムウェア攻撃126%増加を報告したセキュリティ企業
Cyble(外部)
2025年5月のランサムウェアランドスケープレポートを公開した脅威インテリジェンス企業
Enigma Software(外部)
Dire Wolfランサムウェアの技術的解析と除去ガイドを提供するセキュリティ企業
【参考動画】
【参考記事】
SafePayとDevMan、新たな有力ランサムウェア脅威として浮上(外部)
Cybleの2025年5月レポートによる新興ランサムウェアグループの分析
チェック・ポイント・リサーチ、2025年第1四半期のランサムウェアレポートを発表(外部)
2025年第1四半期のランサムウェア攻撃126%増の公式発表
Dire Wolf Ransomware 削除レポート(外部)
Dire Wolfの技術的詳細分析とHowToRecoveryFiles.txt解説
【編集部後記】
今回のDire Wolfランサムウェアの事例は、2025年に入って急激に増加している新興ランサムウェアグループの脅威を象徴しています。特に製造業やテクノロジー業界の皆さんは、SafePayやGunra、Qilinといった他のグループによる日本企業への攻撃事例も踏まえ、どのような対策を検討されているでしょうか。
また、Golangマルウェアの検出困難性や、データリークサイトを使った心理的圧力について、皆さんの組織ではどのような認識をお持ちですか。私たちinnovaTopia編集部も、この急速に変化するサイバー脅威の現実と向き合いながら、読者の皆さんと共に学び続けていきたいと思います。
