アサヒを狙ったQilinや復活したLockBit　“RaaS連合”発足で高まるランサムウェア脅威：ReliaQuest報告

　DragonForceは、2023年に出現した新興グループで、英国の小売大手Marks and Spencer Groupを攻撃し、推定3億ポンド（約600億円）の損失を与えたことなどで知られる。

　LockBitは2019年ごろに活動を開始したとみられるRaaSグループで、英国家犯罪対策庁（NCA）によると、2022年6月から2024年2月にかけて、世界中で7000件以上の攻撃を仕掛けたという。日本でも2023年に名古屋港の貨物管理システム停止させたことで知られている。

　2024年はじめ、LockBitに対して米国、英国、欧州、日本などの取締機関が「Operation Cronos」と名付けた共同摘発作戦を実施した。しかし、2025年9月上旬、新たなランサムウェア亜種「LockBit 5.0」をダークWebフォーラムで発表して、復活が確認されていた。

　Qilinは2022年に現れたRaaS犯罪組織で、当初は「Agenda」と称していた。特に大手組織を標的とする傾向があり、身代金交渉で法務チームによる助言を提供する「Call Lawyer」機能などを持っている。アサヒGHD攻撃で犯行声明を出した。

重要インフラ攻撃の「解禁」

　今回の連合で特に懸念されるのは、LockBitが新バージョンの発表に合わせて明らかにした方針転換だ。ReliaQuestによると、LockBitは次のように宣言している。

　「原子力発電所、火力発電所、水力発電所、その他類似の組織などの重要インフラを攻撃することは許可される。これらの許可は、FBI（米連邦捜査局）とLockBitが特定のカテゴリーのターゲットを攻撃しないという合意に達するまで有効である」

　RaaS犯罪グループは通常、当局の注意を引くことでより厳しい取り締まりの対象になることを回避するため、重要インフラを攻撃対象から除外する傾向にある。しかしLockBitは、これを覆すことを宣言して、これまでにない攻撃を仕掛けることを公言している。

　ReliaQuestは、3者の連合がそれぞれの技術、リソース、インフラの共有を促進し、各グループの運用能力を強化すると推測。「重要インフラへの攻撃が急増したり、従来は低リスクとされた分野への攻撃が拡大したりする可能性がある」と警告している。

　ReliaQuestのレポートに対して、米国のセキュリティベンダーZeroFoxは「3グループの正式な合併を意味する可能性は低い」としながら、次のように指摘する。「相互に連絡を取り合い、今後の作戦やプロジェクトで協力する可能性が高い。ただし、これは資源や目的の統合というより、友好的な業務提携関係を示すものと考えられる」

被害者にならないために注意すべきこと

　RaaS組織の連合や提携では、2020年にLockBitとMazeが手を組んだ例がある。この提携では「二重脅迫戦術」が始まったとされている。被害者のデータを暗号化し、同時にデータを盗み出して脅迫する手法で、アサヒGHDへの攻撃でも確認されている。今回の3者連合が、さらに新しい攻撃手法を生み出す可能性もある。

　一方で、犯罪グループでは内部の対立や裏切りが起きやすい傾向がある。大同団結したと言っても維持できるかどうかは不透明で、協力が具体的にどのようなものになるかも未知数だ。現時点では、3グループの協力を示す攻撃や、リークサイトは確認されていない。

　こうしたRaaS組織の活発な動きに対して、ReliaQuestは、「今すぐ取るべき3つの重要なステップ」として以下の3つを挙げている。