Palo Alto NetworksのUnit 42は2025年12月10日、Rustプログラミング言語で完全に書かれた新型ランサムウェア「01flip」を2025年6月にアジア太平洋地域で観測したと発表した。このランサムウェアはRustのクロスコンパイル機能を活用し、WindowsとLinuxの両プラットフォームをサポートする。
Unit 42はこの活動をCL-CRI-1036として追跡している。被害者には東南アジアの重要インフラを担当する組織が含まれ、フィリピンと台湾でも被害が確認されている。攻撃者は2025年4月上旬からCVE-2019-11580などの脆弱性を悪用し、5月にはSliverフレームワークを展開、その後ランサムウェアを配布した。
01flipはAES-128-CBCとRSA-2048で暗号化を行い、攻撃者は復号化のために1ビットコインを要求している。ランサムウェア展開の翌日には、ダークウェブフォーラムで被害組織のデータ漏洩が投稿された。
From: 
01flip: Multi-Platform Ransomware Written in Rust
【編集部解説】
今回発見された01flipランサムウェアは、Rustという比較的新しいプログラミング言語で書かれている点が大きな特徴です。Rustによるマルウェア開発は、2021年のBlackCat(ALPHV)以降、顕著なトレンドとなっています。
なぜ攻撃者がRustを選ぶのか。その理由は技術的な優位性にあります。Rustはメモリ安全性とパフォーマンスの両立を実現し、単一のソースコードから複数のプラットフォーム向けにコンパイルできるクロスコンパイル機能を持ちます。これにより、WindowsとLinuxの両方を狙う攻撃が、従来よりも効率的に実行可能になりました。
さらに重要なのは、Rustで書かれたマルウェアの解析が困難である点です。Rustコンパイラは従来のC/C++よりも複雑なアセンブリコードを生成するため、セキュリティアナリストによるリバースエンジニアリングが著しく難しくなります。実際、01flipのLinux版はVirusTotalに提出されてから3ヶ月間、検出率ゼロという状態が続いていました。
攻撃の手法も注目に値します。攻撃者は2019年の古い脆弱性CVE-2019-11580を悪用し、その後Sliverという公開されているフレームワークを使って侵入を拡大しました。この「古い脆弱性×最新技術」という組み合わせは、パッチ管理の重要性を改めて示しています。
01flipには興味深い技術的特徴があります。暗号化除外リストに「lockbit」という拡張子が含まれているのです。これはLockBitランサムウェアとの何らかの関連を示唆する可能性がありますが、現時点では推測の域を出ません。
現段階では被害は限定的ですが、東南アジアの重要インフラを狙っている点は看過できません。また、ランサムウェア展開の翌日にダークウェブで被害組織のデータ漏洩が投稿されたことから、データ窃取と暗号化を組み合わせた二重恐喝の可能性も示唆されています。
【用語解説】
Rust(プログラミング言語)
2015年にリリースされたシステムプログラミング言語。メモリ安全性とパフォーマンスを両立し、クロスプラットフォーム開発が可能。マルウェア開発者にとっては、解析を困難にする複雑なバイナリを生成できる点が魅力となっている。
ランサムウェア
ファイルを暗号化して使用不能にし、復号のための身代金を要求する悪意あるソフトウェア。近年は暗号化に加えてデータを窃取し、公開すると脅迫する「二重恐喝」が主流となっている。
クロスコンパイル
単一のソースコードから、異なるプラットフォーム(Windows、Linuxなど)向けの実行ファイルを生成できる技術。Rustはこの機能に優れており、マルチプラットフォーム対応のマルウェア開発を容易にする。
CVE-2019-11580
Atlassian Crowd Serverに存在する脆弱性。リモートコード実行を可能にする深刻な脆弱性で、攻撃者の初期侵入に悪用されることが多い。
Sliver
Goプログラミング言語で書かれた、公開されているクロスプラットフォームの敵対者エミュレーション(侵入テスト)フレームワーク。正規のセキュリティテスト用途で開発されたが、攻撃者にも悪用される。
AES-128-CBC
Advanced Encryption Standardの一種で、128ビット鍵を使用するブロック暗号。CBCはCipher Block Chainingの略で、暗号化モードの一つ。ランサムウェアのファイル暗号化に広く使用される。
RSA-2048
2048ビット鍵長を使用する公開鍵暗号方式。非対称暗号化アルゴリズムで、ランサムウェアではAESのセッションキーを暗号化するために使用される。
TCP Pivot
ネットワーク侵入後、攻撃者が到達できない内部ネットワークセグメントにアクセスするための中継技術。Sliverフレームワークの機能の一つ。
LockBit
Flighty Scorpiusとして追跡される、最も活発なランサムウェア・アズ・ア・サービス(RaaS)グループの一つ。Rustベースではなく、C/C++で書かれているが、高速な暗号化速度で知られる。
二重恐喝(Double Extortion)
データを暗号化するだけでなく、事前に窃取したデータを公開すると脅迫する手法。身代金を支払わない場合、機密情報が流出するリスクを被害者に突きつける。
RaaS(Ransomware-as-a-Service)
ランサムウェアをサービスとして提供するビジネスモデル。開発者が技術を提供し、アフィリエイト(実行者)が攻撃を実施して、収益を分配する仕組み。
ダークウェブフォーラム
通常のブラウザではアクセスできない、匿名性の高いインターネット上の掲示板。サイバー犯罪者が盗んだデータの販売や、マルウェアの取引を行う場所。
Zimbra Server
企業向けのオープンソースメールおよびコラボレーションソリューション。メールサーバー、カレンダー、連絡先管理などの機能を提供する。
【参考リンク】
Palo Alto Networks Unit 42(外部)
Palo Alto Networksの脅威インテリジェンスチーム。サイバー攻撃の調査、分析、レポート発行を行う。
Cortex XDR(外部)
Palo Alto Networksの拡張検知・対応プラットフォーム。エンドポイント、ネットワーク、クラウドを統合保護。
Advanced WildFire(外部)
Palo Alto Networksのクラウドベース脅威分析サービス。未知のマルウェアを検出・分析する。
Rust Programming Language(外部)
Rustプログラミング言語の公式サイト。言語仕様、ドキュメント、開発ツールなどを提供。
Sliver C2 Framework(外部)
BishopFoxが開発したオープンソースのクロスプラットフォーム敵対者エミュレーションフレームワーク。
VirusTotal(外部)
Google傘下のマルウェアスキャンサービス。複数のアンチウイルスエンジンでファイルを一括検査できる。
MITRE ATT&CK Framework(外部)
サイバー攻撃の戦術、技術、手順を体系化したナレッジベース。脅威分析の標準フレームワーク。
【参考記事】
Rust-Based 01flip Ransomware Hits Windows and Linux(外部)
01flipの技術的特徴を解説。Linux版が約3ヶ月間検出されなかった事実を報告。
New 01Flip Ransomware Targets Both Windows and Linux Systems(外部)
LockBit拡張子の暗号化除外や二重層暗号化メカニズムについて詳細分析。
Why Ransomware Groups Switch to Rust Programming Language?(外部)
BlackCat以降のRust採用トレンドを分析。メモリ管理の効率性など技術的優位性を解説。
Unveiling RIFT: Enhancing Rust malware analysis(外部)
MicrosoftのRustマルウェア解析ツールRIFTを紹介。解析困難性の実例を示す。
The many lives of BlackCat ransomware(外部)
Rust採用の最初の主要ランサムウェアBlackCatの詳細分析と著名アフィリエイトの動向。
【編集部後記】
サイバーセキュリティの世界では、攻撃者と防御者のイタチごっこが続いています。今回のRustベースのランサムウェアは、技術の進化が必ずしも私たちの味方とは限らないことを示しています。
みなさんの組織では、古い脆弱性へのパッチ適用は徹底されていますか?今回の攻撃では2019年の脆弱性が悪用されました。最新の脅威に目を奪われがちですが、基本的なセキュリティ対策の積み重ねこそが、最も効果的な防御になるのかもしれません。
また、クロスプラットフォーム対応の重要性も見えてきます。WindowsだけでなくLinux環境も含めた包括的な防御体制、みなさんの環境では整っていますか?
