Cisco Talosは2025年7月24日、Chaosランサムウェアを報告した。Chaosは元BlackSuit構成員が2月に結成し、米国を中心にSalvation Army(5月侵害)やOptima Tax Relief(69 GB流出)などを攻撃した。
BlackSuitは2023年以降約200社、Royal時代を含め350社超を標的とし、先週「Operation Checkmate」で17機関によりダークサイトを押収された。
ChaosはRAMPでRaaSを販売し、.chaos拡張子で暗号化し初期要求額30万ドルを提示、支払い拒否時にDDoSと情報公開を脅迫する。
From: 
Chaos Ransomware Rises as BlackSuit Gang Falls
【編集部解説】
BlackSuitの摘発は確かに大きな成果ですが、同時にChaosの即座の台頭は、従来の法執行による「頭を潰す」手法の限界を示している点で注目すべきです12。特にChaosが2025年2月から活動を開始していたという事実は、BlackSuitの摘発前から既に後継組織が準備されていたことを意味します。
技術的な脅威レベルの向上について
Chaosが採用する「マルチスレッド高速選択暗号化」や反解析技術は、従来のランサムウェアと比較して格段に洗練されています1。Windows、ESXi、Linux、NASシステムという広範囲なプラットフォーム対応は、企業のIT環境全体を一括して暗号化する能力を示しており、復旧の困難さが飛躍的に高まっています。
特に注目すべきは、サンドボックス環境やデバッガーの検出機能です1。これにより、セキュリティベンダーによる解析や検知が困難になり、企業の防御システムが無力化される可能性が高まっています。
攻撃手法の心理学的巧妙さ
Chaosの攻撃手法で特に危険なのは、スパム攻撃後の電話による社会工学的手法(ビッシング)の組み合わせです2。メールでターゲットを混乱させた後、「IT担当者」を装って電話で直接接触する手法は、技術的防御を完全に迂回します。
この手法は、リモートワークの普及により企業のIT管理が分散化した現在の環境を巧妙に悪用しています。特に中小企業では、IT担当者の顔が見えない状況が多く、この種の攻撃に対して極めて脆弱です。
「ビッグゲームハンティング」戦略の経済的影響
30万ドルという身代金要求額は、ランサムウェア業界全体の「高額化」トレンドを反映しています3。2025年上半期のデータによると、ランサムウェアの平均身代金額は150万ドルに達しており、Chaosの要求額は比較的「控えめ」といえる状況です。
しかし、この戦略的価格設定こそが危険な点です。多くの企業にとって30万ドルは「支払い可能な範囲」であり、長期的な復旧コストと比較して「経済的合理性」を感じさせる金額設定になっています。
規制と国際協力への影響
Operation Checkmateの成功は、国際的なサイバー犯罪捜査の新たなモデルケースとなります45。特に米国、ウクライナ、ドイツ、英国など16の機関が連携した今回の作戦は、サイバー犯罪の「国境なき性質」に対する多国間協力の重要性を実証しました。
一方で、ChaosがBRICS諸国やCIS諸国を攻撃対象から除外している点1は、地政学的な配慮を示しており、サイバー犯罪の「政治化」が進んでいることを示唆しています。
将来的なリスクと対策の方向性
最も懸念すべきは、ランサムウェア業界の「断片化」が進んでいることです6。大手グループの摘発により、小規模で機動性の高い複数のグループが乱立する状況は、法執行機関にとってより対処困難な環境を生み出しています。
企業側の対策としては、技術的防御だけでなく、従業員教育、特に電話による社会工学攻撃への対応訓練が急務となります。また、FIDO キーなどのフィッシング耐性認証の導入は、リモートアクセスを悪用した攻撃に対する有効な防御策として期待されています。
今後は、ランサムウェアグループの「ブランド化」と「サービス化」がさらに進む可能性が高く、企業のセキュリティ投資も従来の境界防御から、内部脅威検知と迅速な復旧能力の強化にシフトしていく必要があるでしょう。
【用語解説】
ランサムウェア
ファイルを暗号化し身代金を要求する悪意ソフト。
RaaS
ランサムウェアをサービス化し、アフィリエイトが攻撃を担うモデル。
二重恐喝
暗号化+データ流出で支払いを迫る手法。
ビッシング
電話を使った音声フィッシング。
Operation Checkmate
2025年7月に17機関が参加しBlackSuitを摘発した国際共同作戦。
【参考リンク】
Cisco Talos Intelligence(外部)
Ciscoの脅威調査部門。Chaosの技術詳細を公開している
CISA(外部)
米国の重要インフラを守る政府機関。ランサムウェア警告を掲載
No More Ransom(外部)
無償復号ツールを提供する国際共同プロジェクト
Salvation Army(外部)
国際的慈善団体。5月にChaosの被害報告を受けた組織
Optima Tax Relief(外部)
米国税務支援サービス企業。Chaosに69 GB流出被害を受けた
【参考記事】
Unmasking the new Chaos RaaS group attacks(外部)
Chaosの出現時期、被害地域、技術詳細を分析したCisco Talosの原典レポート
BlackSuit ransomware extortion sites seized in Operation Checkmate(外部)
サイト押収と17機関連携を詳しく報道したBleepingComputerの記事
#StopRansomware: BlackSuit (Royal) Ransomware(外部)
BlackSuitのTTPと防御策を公開したCISAの公式警告
【編集部後記】
もし自社に「30万ドルなら払えるかも」という空気が少しでもあるなら要注意です。
Chaosはその心理を突いてきます。IT担当を名乗る電話が来たら、折り返し確認するプロセスは整っていますか。実際の現場で役立ったトレーニング事例やツールがあれば、ぜひSNSで共有してください。
互いの知恵が、次の攻撃を未然に防ぐ手がかりになります。
