Medusaランサムウェア攻撃キャンペーン
北朝鮮と関連のある脅威アクター「Lazarus Group」(別名Diamond Sleet、Pompilus)が、中東の匿名組織への攻撃でMedusaランサムウェアを展開したことが確認されました。セキュリティ研究者らはさらに、同じアクターが米国の医療機関を標的とした侵入未遂事件を特定しました。
Medusaは、ランサムウェア・アズ・ア・サービス(RaaS)モデルを採用しており、2023年にSpearwingと名乗るサイバー犯罪グループによって開始されました。出現以来、この攻撃は366件以上の攻撃の犯行声明を出しています。Medusaのリークポータルを調査したところ、2025年11月以降、米国を拠点とする4つの医療機関および非営利団体が被害者としてリストアップされていました。これには、メンタルヘルス関連の非営利団体や自閉症児を支援する教育機関が含まれていました。すべてのインシデントが北朝鮮の工作員による直接の犯行なのか、それとも他のMedusa関連組織が侵入行為の一部に関与していたのかは不明です。この期間中、平均身代金要求額は約26万ドルでした。
目次
北朝鮮におけるランサムウェアの進化のパターン
北朝鮮のサイバー部隊によるランサムウェアの使用は既に周知の事実です。2021年には、Lazarusのサブクラスター「Andariel」(別名Stonefly)が、SHATTEREDGLASS、Maui、H0lyGh0stといった独自のランサムウェアファミリーを用いて、韓国、日本、米国を標的とした攻撃を実行しました。
2024年10月、このグループはPlayランサムウェアの展開に関与していたことが判明し、カスタムビルドのペイロードだけに頼るのではなく、市販のランサムウェアの使用へと戦略的に転換していることが示唆されました。
この移行はAndarielに限ったことではありません。かつてカスタムランサムウェアFakePennyに関連していた別の北朝鮮の脅威アクターMoonstone Sleetは、Qilinランサムウェアを使用して韓国の金融機関を標的にしていたと報告されています。これらの展開は、北朝鮮の攻撃者が独自のランサムウェアツールチェーンを維持するのではなく、既存のRaaSエコシステム内のアフィリエイトとして機能することが増えているという、より広範な戦術的変化を示唆しています。
Medusa作戦を支援する運用ツールセット
Lazarusに起因するとされるMedusa関連の活動には、独自に開発されたマルウェアと公開されている攻撃用ユーティリティが組み込まれています。確認されたツールには以下が含まれます。
- 独自のプロキシ ユーティリティである RP_Proxy。
- Mimikatz は、エクスプロイト後の活動で広く使用されている認証情報ダンプツールです。
- Comebacker、Lazarus 専用のバックドア。
- InfoHook は、以前は Comebacker の展開に関連付けられていた情報窃盗マルウェアです。
恐喝の手法は以前のアンダリエルの活動に似ているものの、現在の活動は特定のラザルスサブグループによるものとは決定的に特定されていません。
戦略的意味合い:独自開発よりも実用主義
MedusaやQilinといったランサムウェア亜種の採用は、運用上の実利主義を反映しています。カスタムランサムウェアファミリーの開発と維持には、多大なリソース、テスト、そしてインフラが必要です。確立されたRaaSプラットフォームを活用することで、成熟した暗号化機能、運用サポート、そして実績のある収益化メカニズムに即座にアクセスできます。アフィリエイト報酬体系は、開発・保守コストと比較した場合、妥当なトレードオフと言えるでしょう。
執拗かつ無制限の標的攻撃
既製のランサムウェアへの移行は、北朝鮮が金銭目的のサイバー犯罪に継続的に関与していることを改めて浮き彫りにしています。標的の選択パターンは、北朝鮮の組織に対する抑制が最小限であることを示しており、医療機関を含む米国の組織が標的に含まれています。一部の犯罪グループは、評判の低下を防ぐために医療機関を標的にしないことを公言していますが、Lazarus関連の活動には、同様の制限は見られません。
