AIの進化とともに、新たなセキュリティのリスクが増えており、さらなる防御力が求められています。防御を強化する際、押さえておきたいのが脅威アクターの情報です。彼らが用いる攻撃手法を知ることで、有効な対策を講じることが可能になります。
そこで本連載では、フォーティネットの「Threat Actor Encyclopedia」から、特に注目すべき脅威アクターの情報をお届けします。今回は、日本企業でも被害が確認されている、ランサムウェアグループ「RansomHouse」を紹介します。
RansomHouseとは何か?特徴と活動の概要
RansomHouseは、2023年から活動している高度なランサムウェアグループで、ヘルスケア、製造、重要インフラなどの高価値セクターを標的とした二重恐喝攻撃で知られています。目的は、金銭的利益やデータ持ち出しと言われています。
公開されている脆弱性(Citrix NetScaler、Palo Alto GlobalProtectなど)を悪用し、カスタムのマルウェアに加えてCobalt StrikeやMimikatzのようなツールを使用してラテラルムーブメントを実行します。
当初は限られたメンバーだけで運用する非公開のグループとして活動していましたが、2024年から2025年の報告では、ハイブリッド型RaaSモデルへ移行し、選別したアフィリエイトとの提携を通じて到達範囲を拡大した可能性が示されています。
攻撃者の拠点は、ロシアもしくは旧ソビエト連邦圏が疑われています。
RansomHouseは日本企業にも影響?確認されている被害と今後のリスク
RansomHouseは、数年前から世界中の組織をターゲットに活躍しているランサムウェアグループです。グループの情報漏洩サイト(リークサイト)では日本の組織も3件確認されていますが、今のところ日本が集中的に狙われているわけではないと思われます。
しかし、年度別に見るとアジア圏での被害が増えており、その傾向が今後日本国内へ波及することが懸念されています。ひとたび被害に遭うと長期間の休業を余儀なくされるケースがあるため、厳重な警戒が求められます。
またRansomHouseはWindowsだけではなく、LinuxやVMWare ESXiなど幅広いシステムを攻撃対象としている点も大きな特徴です。
こうした攻撃に対しては、公開されている脆弱性の迅速な適用(パッチ管理)や、認証情報の適切な管理、多要素認証(MFA)の導入など、基本的なセキュリティ対策の徹底が重要となります。また、侵入後のラテラルムーブメントを防ぐため、ネットワークの分離やアクセス制御の見直しも有効とされます。
セキュリティ専門家が対談、能動的サイバー防御の前にすべきこととは
