脅威の調査

DragonForce、ライバルグループを標的に覇権争いを繰り広げる

この攻撃的なグループは、小売業者への攻撃に飽き足らず、他のランサムウェアオペレーターとの覇権争いを繰り広げています。
作成者
2025、 5月 21
Threat Research ctu dragonforce gold harvest RansomHub scattered spider サイバー犯罪 ランサムウェア 脅威の調査

** 本記事は、DragonForce targets rivals in a play for dominance の翻訳です。最新の情報は英語記事をご覧ください。**

DragonForce は、単なるランサムウェアグループではありません。ランサムウェアの勢力図を塗り替えつつあり、ランサムウェアグループを取り巻く環境は混沌としています。Counter Threat Unit (CTU) のリサーチャーは、このグループがもたらしている脅威の進化を継続的に追跡しています。

DragonForce の登場

DragonForce は、従来型の IT インフラと VMware ESXi などの仮想化環境の両方を標的とした攻撃に関与しており甚大な影響を及ぼしています。特に、認証情報の窃取、Active Directory の悪用、データの外部への持ち出しに重点を置いています。2025年3月には、加盟メンバーとの柔軟な提携モデルを導入し、他のランサムウェアグループを標的とすることでランサムウェアの界隈の支配権を主張し始めました。

同年4月下旬から英国小売業者に対する一連の攻撃が始まり、このグループの存在が注目されるようになりました。サードパーティベンダーの報告により、これらの攻撃は DragonForce および攻撃グループ GOLD HARVEST (別名:Scattered Spider) と関連付けられています。GOLD HARVEST は、ソーシャルエンジニアリング、リモート監視・管理  (RMM) ツールの悪用、および多要素認証 (MFA) を回避する手法を頻繁に用いており、不正アクセス、膨大なデータの窃取、ランサムウェアの展開を行っています。

DragonForce が登場したのは2023年8月で、当初は従来型の RaaS (Ransomware as a Service) モデルを提供していました。しかし 2025年3月19日、同グループは活動の再編を発表し、「カルテル」としてリブランディングし、影響力の拡大を図りました。これは LockBit などの成熟した RaaS グループの成功に追随しようとする試みでした。しかし実際のところ、カルテルというよりは加盟メンバーに対して DragonForce のインフラやランサムウェアを自由に利用させ、攻撃者が自分のブランドの下で活動できるようにするプラットフォームを採用しています (図1を参照)。

2025 年 3 月 19 日に DragonForce が公開した声明のスクリーンキャプチャ。その冒頭では以下のように記載されています。「本日、我々の新たな方向性について紹介します。我々は新たな方針に基づき、新しいやり方で活動を始めます。もはや我々のブランドの下で活動する必要はありません。実績あるパートナーのバックアップのもとで、自分自身のブランドを作り上げることが可能になりました!DragonForce ランサムウェアカルテルは、皆様が自身で立ち上げる『プロジェクト』を今ここに提供します。」

1:DragonForce カルテルの広告

DragonForce は単にビジネスモデルを刷新しただけでなく、競合する他のランサムウェアグループへの攻撃も開始しました。この「カルテル」宣言の投稿と時を同じくして、BlackLock および Mamona というランサムウェアグループが運営する暴露サイトが改ざんされました。これらの改ざんは、DragonForce によって実行されたと考えられています (図2のスクリーンショットを参照)。

BlackLock と Mamona の改ざんを示す 2 つの画面

2:改ざんされた Mamona (左)と BlackLock (右) の暴露サイトの画面

2025年4月には、RansomHub のリークサイトに DragonForce カルテルを宣伝するような投稿が確認されました (図3を参照)。また、アンダーグラウンドフォーラム「RAMP」にも DragonForce による投稿があり、DragonForce と RansomHub が連携している可能性を示唆する内容でしたが、追記の文面からは RansomHub 側がこの連携を正式に支持していない可能性があることも読み取れます(図4を参照)。なお、RansomHub は、2024年の LockBit の停止措置および ALPHV (別名:BlackCat) の崩壊の後に台頭した、最も活動的なグループの1つです。

RansomHub で DragonForce について言及されている画面のキャプチャ。

3 RansomHub 暴露サイトにおける DragonForce カルテルの言及

「協力関係」を示すスクリーンショットを以下に示します。テキスト本文「DragonForce & RansomHub — こんにちは。心配は要りません。RansomHub はすぐに復旧します。RansomHub は DragonForce のインフラに移行することを決めました!我々は信頼し合うパートナーです。これこそが「プロジェクト」の仕組みを示す好例です。これが、DragonForce ランサムウェアカルテルが提供する新たな選択肢です。」本文の最後には追記が記載されています。「追記:RansomHub を使っている方々、いかがお過ごしですか?我々の提案をぜひ検討してください。皆様が我々の仲間になることを心待ちにしています。」

4:RansomHub のメンバー「koley」が共有した、DragonForce 暴露サイトの改ざん画像

これらの投稿の直後、RansomHub の暴露サイトはオフラインになり、ホームページには「2025年3月3日、RansomHub 安らかに眠る」というメッセージが表示されました。実際には、DragonForce と RansomHub の「協力関係」は、DragonForce による敵対的な乗っ取りに近いものだったようです。RansomHub の主要メンバーとして知られる「koley」という人物は、アンダーグラウンドフォーラム RAMP 上で、DragonForce のホームページを改ざんしたとされる投稿(図5を参照)を行い、「dragonforce へ、裏切り者がいるようだな…」というメッセージを追記しています。さらに、koleyによる他の投稿では、DragonForce が法執行機関とつながっている、競合相手に攻撃を仕掛けている、嘘をついているなどと非難しています。

DragonForce のロゴにバツ印がつけられ、間の抜けた表情のドラゴン 3 匹のイラストが並ぶ画像

5: 2025年5月2日時点の DragonForce と RansomBay の暴露サイトのホームページ

本ブログの執筆時点では、DragonForce の暴露サイトは長期のダウンタイムを経て復旧しています。ダウンしていた期間中、ホームページには「近日中に再開予定」とのメッセージが表示されており、RansomBay の暴露サイトにも同様の内容が表示されていました (図6を参照)。

左側の画像、DragonForce からの告知:「まもなく再開します。当ブログおよびファイルサーバーは2025 年 4 月 29 日 00:00 UTC に再開予定です。今しばらくお待ちください。」右側の画像、RansomHub からの告知:「旅に出ています…海賊を今でも探しています!」

6: 2025 年 5 月 2 日時点の DragonForce と RansomBay のリークサイトのホームページ

2025年5月、英国の代表する大手小売チェーン Marks and Spencer が重大なサイバー攻撃の標的となり、この攻撃は GOLD HARVEST (報告では「Scattered Spider」と呼ばれています) によるものと公に報じられています。ただし、実際の攻撃者については公式には確認されていません。GOLD HARVEST は、個別の攻撃者がアンダーグラウンドフォーラムや暗号化されたチャットチャネルを通じて連携して、ゆるやかにつながっているサイバー犯罪グループです。このネットワークは、「The Com」と呼ばれる同じ目的を持つコミュニティによって支えられており、攻撃の実行、ツールの共有、戦術の交換などが分散したエコシステム内で行われています。

GOLD HARVEST は、この攻撃で DragonForce のランサムウェアを展開したと報告されています。されています。GOLD HARVEST はランサムウェアの加盟メンバーとして活動していることが知られており、2023年にMGM リゾーツへの攻撃では ALPHV ランサムウェアを展開し、2024年を通じて実行された攻撃では RansomHub を使用したと報告されています。この攻撃グループは、さまざまな戦術、手法、および手順 (TTPs) を用いていますが、特にソーシャルエンジニアリングを巧みに悪用することが知られています。多くの場合、企業の IT ヘルプデスクを標的として侵入の足がかりを得ます。Marks and Spencer への攻撃がこの攻撃グループによるものだと公に報告されたのは、その攻撃の起点がソーシャルエンジニアリングであった (おそらくヘルプデスクのスタッフが標的になった) という考えに基づいている可能性があります。

とはいえ、ソーシャルエンジニアリングは多くのサイバー攻撃で共通する手法であり、GOLD HARVEST 特有のものではありませんが、このグループは、メールや電話を通じた手口に非常に長けているとされています。また最近では、ソーシャルエンジニアリングと認証情報の窃取を組み合わせた攻撃が増えているとも言われています。GOLD HARVEST は、Vidar や Raccoon といった情報窃取マルウェアを使用して、ブラウザに保存されるパスワード、Cookie、セッショントークンなどを収集します。こうした情報は、侵入のために直接利用されることもあれば、社内システムの名前を引き合いに出したり、正規の従業員になりすましたりして、ソーシャルエンジニアリングで相手を信頼させるために使用されることもあります。

DragonForce は、イギリスの小売業者に影響を与えた 2件の攻撃について関与したと主張しています。これらの攻撃は、小売業界の企業が常に警戒を怠ってはならないことを改めて浮き彫りにしています。ランサムウェアグループ間の内部抗争は、これらのグループのオペレーションを混乱させることがありますが、企業のリスクが軽減するわけではありません。むしろ、覇権を争い、窃取したデータを新たな手段で収益化しようとするため、突発的で場当たり的な攻撃が増える恐れもあります。組織は、インシデント対応、脅威インテリジェンス、サードパーティのリスクを管理する戦略を再検討し、混沌とする脅威環境の中でレジリエンスを維持することが求められています。

防御のためのヒント

GOLD HARVEST や DragonForce の活動を検知し軽減ための技術的な対策は依然として不可欠ですが、それだけでは不十分であり、強固な社内プロセスを構築し、従業員による警戒を怠らないことで、技術的な対策を補完しなければなりません。これらの攻撃は、技術的な侵害の多くは、人を標的にした手口から始まっていることを改めて示しています。つまり、脆弱性の悪用ではなく会話が侵害の起点となっていることが多くあります。したがって、組織は技術的な対策に加えて、手続き上の規定を組み合わせることで、ソーシャルエンジニアリングによって攻撃にさらされるリスクを最小限に抑える必要があります。CTU のリサーチャーは、以下の対策を講じて、こうした攻撃のリスクを軽減することを推奨しています。

  • ブラウザ分離とパスワードマネージャーを導入して、保存された認証情報の窃取を防止する
  • 情報窃取マルウェアによる活動を検知できるエンドポイント対策を実装し、認証情報やセッションCookieの窃取に対応する
  • ダークウェブの情報や脅威インテリジェンスを活用して、継続的に認証情報の漏洩を監視するソリューションを導入する
  • ITサポートやヘルプデスクでのやり取りで厳格な本人確認の手続きを徹底する
  • 不審な要求や緊急性を装った依頼に対して、直接対応する従業員が即座に対応を拒否できるよう、明確なエスカレーション経路を構築する
  • ソーシャルエンジニアリングや内部不正の脅威を想定した定期的な机上訓練を実施する
著者について

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.

関連記事を読む