Trend Microの研究者が2025年4月に初めて観測した新しいランサムウェア「Bert」(同社では「Water Pombero」として追跡)が、WindowsとLinuxの両システムを標的とした攻撃を展開している。
このマルウェアは米国とアジアの医療、イベントサービス、技術セクターの組織を標的とし、その後ヨーロッパ、中東、アフリカで複数の被害者を出している。
BertのLinux版は暗号化に最大50スレッドを使用し、VMware ESXi仮想マシンを強制的にシャットダウンして影響を最大化する機能を持つ。
Windows版はPowerShellローダーと権限昇格メカニズムを使用してBertペイロードを読み込み、Windows Defenderやファイアウォールなどのセキュリティメカニズムを無効化する。
マルウェアのダウンロード元IPアドレスはロシアに位置しており、運営者がロシア系である可能性を示唆している。Bertの新版はConcurrentQueueとDiskWorkerを使用してマルチスレッド暗号化プロセスを改善し、ファイル発見と同時に暗号化を開始できる。
なお、2025年7月時点で日本国内でも日本セラミックや淀川製鋼所の連結子会社でランサムウェア被害が相次いで報告されており、国内企業への脅威が現実化している。
From: 
Bert Blitzes Linux & Windows Systems
【編集部解説】
マルチスレッド技術が変えるサイバー攻撃の速度
Bertランサムウェアの最も注目すべき特徴は、その暗号化速度にあります。従来のランサムウェアが順次処理でファイルを暗号化していたのに対し、Bertは最大50スレッドの並列処理を活用することで、被害者が対応する時間的余裕を大幅に削減しています。この技術的進歩は、サイバー攻撃における「時間との勝負」という側面を根本的に変える可能性があります。
日本国内での被害拡大と現実的脅威
2025年7月時点で、日本国内でもランサムウェア被害が深刻化しています。日本セラミックでは4月5日に攻撃を受け、最大3万7,600名分の個人情報と1,500社の取引情報が流出した可能性が報告されました。また、淀川製鋼所の連結子会社でも同様の被害が発生しており、Bertのような高速暗号化型ランサムウェアの脅威が日本企業にとって現実的なリスクとなっています。
クロスプラットフォーム攻撃の戦略的意味
WindowsとLinuxの両システムを標的とするBertの戦略は、現代企業のハイブリッドIT環境を狙った計算された選択です。特にLinux版では、VMware ESXi仮想マシンを強制停止する機能を搭載しており、これは企業の仮想化インフラ全体を麻痺させる威力を持ちます。この機能により、単なるデータ暗号化を超えて、企業の基幹システム全体を人質に取ることが可能になっています。
コード再利用とランサムウェア生態系の進化
興味深いのは、BertがREvilランサムウェアのLinux版と類似性を持つ点です。これは、過去に解体されたサイバー犯罪グループの技術資産が、新たな脅威として再生される現実を示しています。また、流出したBabukやContiのESXiロッカーコードの再利用も確認されており、ランサムウェア業界における「技術の民主化」が進行していることが分かります。
国内企業の対策状況と課題
ガートナージャパンの2025年7月調査によると、日本企業のランサムウェア対策は「方針は定めたがルール化していない」状況が最多となっており、事前準備に課題があることが明らかになっています。Bertのような高速暗号化型の脅威に対しては、従来の事後対応では間に合わず、予防的な多層防御の構築が急務となっています。
シンプルさが生む効果的な脅威
Trend Microの分析によると、Bertの効果は技術的複雑さではなく「合理化された攻撃実行と回避」にあります。これは、サイバー攻撃の成功要因が必ずしも高度な技術にあるのではなく、実行の確実性と効率性にあることを示唆しています。新興グループでも既存のツールを組み合わせることで、大きな被害を与えられる現実は、サイバーセキュリティ業界にとって重要な警鐘となっています。
地政学的な影響と帰属問題
Bertのコマンド&コントロールサーバーがロシアのIPアドレスに位置している事実は、地政学的な文脈での解釈を必要とします。ただし、インフラの所在地のみで攻撃者の国籍を断定することは危険であり、サイバー攻撃の帰属問題の複雑さを改めて浮き彫りにしています。
企業セキュリティへの長期的影響
Bertの登場は、企業のセキュリティ戦略に根本的な見直しを迫ります。特に、PowerShellスクリプトによるセキュリティ機能の無効化手法は、従来の境界防御モデルの限界を露呈しています。今後は、ゼロトラストアーキテクチャの導入や、仮想化環境の分離強化が急務となるでしょう。
規制環境への潜在的影響
医療、技術、イベントサービス業界を標的とするBertの活動は、これらの業界における規制強化の議論を加速させる可能性があります。特に、重要インフラを狙った攻撃の増加は、各国政府によるサイバーセキュリティ規制の厳格化を促進する要因となり得ます。
技術進歩の二面性
マルチスレッド処理やクロスプラットフォーム対応といった技術は、本来は生産性向上やシステム効率化を目的として開発されたものです。しかし、Bertはこれらの技術を悪用することで、従来以上に破壊的な攻撃を実現しています。この現実は、技術進歩の恩恵とリスクが表裏一体であることを改めて示しています。
【用語解説】
ランサムウェア
コンピュータのファイルを暗号化し、復号化の対価として身代金を要求する悪意のあるソフトウェア。近年、企業や組織を標的とした攻撃が急増している。
マルチスレッド処理
複数の処理を同時並行で実行する技術。Bertランサムウェアは最大50スレッドを使用してファイル暗号化を高速化している。
PowerShell
Microsoftが開発したコマンドラインシェルおよびスクリプト言語。システム管理タスクの自動化に使用されるが、攻撃者にも悪用される。
ESXi
VMwareが開発した仮想化プラットフォーム。物理サーバー上で複数の仮想マシンを動作させることができる企業向けソリューション。
権限昇格
通常のユーザー権限から管理者権限への昇格。攻撃者がシステムの深部にアクセスするために使用する手法。
ConcurrentQueue
.NET Frameworkで提供される並行処理用のデータ構造。複数のスレッドが安全にデータを共有できる。
REvil(Sodinokibi)
2019年から2021年にかけて活動した大規模なランサムウェアグループ。BertのLinux版は同グループのコードと類似性を持つ。
Babuk・Conti
過去に活動していたランサムウェアグループ。これらのグループが開発したESXiロッカーのコードがBertに流用されている可能性がある。
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアをサービスとして提供するビジネスモデル。技術的知識のない犯罪者でも攻撃を実行できる仕組み。
【参考リンク】
Trend Micro(トレンドマイクロ)(外部)
日本を含む世界50万社以上の企業にサイバーセキュリティソリューションを提供する大手セキュリティベンダー。
VMware(外部)
仮想化技術のリーディングカンパニー。ESXi仮想化プラットフォームを提供している。
Dark Reading(外部)
サイバーセキュリティ業界の専門メディア。企業のセキュリティ担当者向けに最新の脅威情報を提供。
ガートナージャパン(外部)
IT分野の調査・助言を行う世界的企業の日本法人。2025年7月に日本企業のランサムウェア対策状況調査を発表。
NISC(内閣サイバーセキュリティセンター)(外部)
日本政府のサイバーセキュリティ政策を統括する機関。サイバーセキュリティ戦略の策定と推進を担当。
【参考動画】
【参考記事】
BERT Ransomware Group Targets Asia and Europe on Multiple Platforms(外部)
Trend Microによる公式レポート。Bertランサムウェアの技術的詳細、攻撃手法、被害状況を包括的に分析。
日本企業のランサムウェア対策、依然として事前準備に課題(外部)
ガートナージャパンによる2025年7月調査結果。日本企業のランサムウェア対策状況と課題を詳細に分析。
BERT Ransomware Escalates Attacks on Linux Machines with Advanced Encryption(外部)
BertランサムウェアのLinux版に焦点を当てた詳細分析。REvilとのコード類似性、地理的な被害分布などを報告。
【編集部後記】
今回のBertランサムウェアの事例を見て、皆さんの職場や身の回りのセキュリティ対策はいかがでしょうか?特に注目すべきは、日本国内でも日本セラミックや淀川製鋼所の関連会社で実際に被害が発生している現実です。
私たちも日々、この分野の最新動向を追いかけながら学んでいる身ですが、読者の皆さんは高速暗号化技術を悪用したこうした脅威をどのように捉えていらっしゃいますか?また、ガートナーの調査で明らかになった「方針は定めたがルール化していない」という日本企業の現状について、どう感じられるでしょうか?
ぜひSNSで、皆さんの率直なご意見や疑問をお聞かせください。一緒に未来のテクノロジーと向き合っていければと思います。
