-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
ブラックスーツとは何者なのか
ランサムウェアグループの概要
ブラックスーツ(BlackSuit)は、2023年に登場した新たなランサムウェア攻撃グループです。このグループは、被害者のデータを暗号化し、解読のために身代金を要求するサイバー犯罪者集団です。特に、医療や教育分野、IT産業など広範な業種を標的にすることで知られており、二重脅迫型の手法を特徴としています。この手法では、データの暗号化に加えてデータ漏洩のリスクを利用した脅迫を行います。
活動開始時期とその背景
ブラックスーツは2023年5月に初めてその活動が確認されました。彼らは、ロシア系ランサムウェアグループ「Conti」の残党とされ、2022年に活動を開始した別グループ「Royal」との関連性も強く指摘されています。これらのグループは、既存のランサムウェア技術やインフラを利用しながら、新たな攻撃手法を取り入れる形で活動していると考えられています。
関係が指摘される他の攻撃者グループ
ブラックスーツが関与しているとされる他の攻撃者グループには、「Conti」と「Royal」が挙げられます。Contiは高度なランサムウェア攻撃を行うことで悪名高い集団でしたが、解体後にはそのメンバーが新たなグループを形成。一方、Royalは2022年頃から活動が確認され、同様にランサムウェアを使用した攻撃を展開していました。さらに、最近では新しいグループ「Chaos」がブラックスーツと技術的な関連性を持つと指摘されています。
ターゲットと被害の特徴
ブラックスーツが主に狙うのは、医療機関、教育施設、IT企業といった企業や団体です。これらのターゲットは機密性の高いデータを保持していることが多く、攻撃を受けると業務が即時に停止する可能性が高い分野です。そのため、被害者が身代金を支払わざるを得ない状況を作り出すことがブラックスーツの主な狙いです。また、攻撃の結果、被害企業が大規模なデータ流出や経済的損失を被る事例が多く報告されています。
ブラックスーツ独自の攻撃手法
ブラックスーツは、ランサムウェアを使用した攻撃手法にいくつかの独自性を持っています。例えば、AES暗号化技術を用いたデータ暗号化と「.blacksuit」という拡張子の付与、さらに攻撃対象のフォルダ内に「README.BlackSuit.txt」という脅迫文を残すなどの特徴があります。また、二重脅迫型の手法を活用し、データ暗号化に加えて攻撃対象のデータを漏洩するリスクを示唆することで、被害者に身代金支払いを強いるなどの戦術を駆使しています。
これまでの主な攻撃事例
KADOKAWAやニコニコ動画への攻撃
ブラックスーツは、日本国内でも注目を集める攻撃を仕掛けてきました。その中でも特筆すべき事例が、2024年6月に行われたKADOKAWAグループへのランサムウェア攻撃です。この攻撃では、約1ヶ月間侵入を続け、最終的に1.5TBものデータを窃取しました。流出したデータには、契約書やプロジェクトファイル、個人情報、法的文書などが含まれており、特に個人情報では25万人分が影響を受けています。
この攻撃によるKADOKAWAの損害は甚大で、2025年3月期の通期連結業績予測では売上高が84億円も減少し、さらに36億円の特別損失も見込まれています。他にも、同社が運営するニコニコ動画にも一部のサービス停止が発生し、多くのユーザーに影響を及ぼしました。この事例は、ブラックスーツの高度な潜伏能力と企業基盤に大きな影響を与える破壊力を浮き彫りにしています。
国際的な被害事例とその影響
ブラックスーツの攻撃は日本国内だけに留まらず、国際的にも顕著な被害をもたらしています。特に注目されるのが、ヘルスケアや教育、IT業界への攻撃です。これらの分野は業務継続のためにデータへの迅速なアクセスが不可欠であるため、ランサムウェア攻撃によるデータ暗号化がより深刻な影響を与えます。
ある事例では、欧米の医療機関が攻撃を受け、患者データの流出や診療システムの停止が発生し、結果的に人命にも関わる重大なリスクをもたらしました。このような被害は、ランサムウェア攻撃の深刻さを世界に再認識させ、国際的な連携による対応の必要性を強調する結果となっています。
公開されたデータの詳細とその意味
ブラックスーツは「二重脅迫型」と呼ばれる戦略を採用しており、データの暗号化だけでなく、窃取した情報を公開するという脅迫も行います。KADOKAWAのケースでは、ダークウェブ上で流出データが一部公開され、企業や個人の信頼性を低下させるだけでなく、さらなる経済的損失も与えました。
公開されたデータには、機密度の高い契約書や企業戦略に関連する文書が含まれており、それらを悪用した詐欺や二次被害のリスクも懸念されています。このような情報漏洩は、ターゲット企業だけでなく関連する多くの関係者にも甚大な影響を及ぼします。
攻撃の裏で暗躍する目的
ブラックスーツが攻撃を行う主な目的は金銭的利益ですが、それだけではありません。実行される攻撃には「情報収集」や「インフラ破壊」などの背景があると指摘されています。一部の専門家は、ブラックスーツが特定の国やグループの利益のために活動している可能性を挙げており、これは国家的サイバー戦争の一環としても解釈されています。
さらに、攻撃の対象や手法を分析すると、ブラックスーツは高度なサイバーインフラ及び専門知識を持つことがうかがえます。これにより、攻撃の結果としてターゲット国内のセキュリティ対策やシステム強化の遅れを引き起こすと同時に、社会的混乱を巻き起こすことを意図している可能性があります。
ブラックスーツの攻撃手法と技術
主に使用されるランサムウェアの特徴
ブラックスーツが主に使用するランサムウェアは、高度な暗号化技術を採用しており、被害を一層深刻化させています。具体的には、AES暗号化アルゴリズムを用いてファイルをロックし、その際に「.blacksuit」拡張子を付与する特徴があります。また、暗号化が行われた後、脅迫文として「README.BlackSuit.txt」を各フォルダに配置し、攻撃者との交渉を強要します。この方法により、被害者は暗号化解除キーとデータの漏洩防止を条件として、身代金の支払いを迫られることになります。この二重脅迫型の手法は、2023年以降に特に注目されています。
フィッシングや脆弱性悪用の事例
ブラックスーツは、ターゲットとなる企業や個人への攻撃において、不正メールを活用したフィッシング攻撃やソフトウェアの脆弱性を悪用する手法を駆使しています。フィッシング攻撃では、巧妙に仕立てられたメールに感染ファイルや悪意のあるリンクを仕込み、受信者にクリックを促します。また、システムやソフトウェアの既知の脆弱性を突く攻撃を頻繁に実行しており、これにより侵入の成功率が高まっています。これらの手法は、企業側に未更新のパッチやセキュリティ意識の欠如がある場合に特に有効です。
暗号化技術とデータ流出の手法
ブラックスーツの攻撃には、データの暗号化による作業妨害に加え、ターゲットの機密情報を盗み出す手法が含まれています。主にAES暗号化を使用して迅速かつ効率的にファイルをロックしながら、同時にターゲットシステムから大量のデータを窃取します。窃取されたデータは、ブラックスーツが運営するダークウェブ上のリークサイトに公開されるリスクがあり、これを盾に取って被害者への圧力をさらに強化します。この二重脅迫型アプローチは、近年のランサムウェア攻撃で一般化していますが、ブラックスーツはその中でも特に洗練された技術を用いています。
検出回避を可能にする高度な技術
ブラックスーツの攻撃は、セキュリティ製品や監視に対する検出回避技術が高度に発達している点が特徴的です。攻撃の際に処理を隠蔽する手法や、セキュリティソフトウェアを無効化するプログラムを組み込むことで、攻撃の痕跡をたどることが難しくなっています。また、通常のトラフィックに紛れてデータの送信や受信を行う技術も使用されており、これにより攻撃が発覚するまでに時間がかかるケースが多く見られます。これらの対策により、ブラックスーツは対象組織内に長期間潜伏することが可能なのです。
新たなマルウェア「Chaos」との関連性
ブラックスーツと新たなランサムウェア「Chaos」との関連性についても注目されています。「Chaos」は、ランサムウェア・アズ・ア・サービス(RaaS)モデルの新しい脅威であり、元ブラックスーツおよびRoyalグループのメンバーによって形成された可能性が指摘されています。「Chaos」による攻撃にはブラックスーツとの共通点が多く見られ、暗号化手法や被害者への脅迫文の構成などに類似性が確認されています。このため、Chaosの台頭はブラックスーツや関連グループの活動がさらに進化し、広がりを見せていることを示していると考えられます。
国際的な捜査と今後の展望
ブラックスーツのインフラ解体の事例
ブラックスーツによる大規模なランサムウェア攻撃が続く中、2025年8月7日にアメリカ国土安全保障省のICEが中心となり、「Operation Checkmate」と命名された大規模な捜査が行われました。この作戦の結果、ブラックスーツが使用していた攻撃インフラが解体され、グループが運営していたダークウェブ上のデータリークサイトも押収され、アクセス不能となりました。この成功には、EUROPOLやアメリカ司法省、イギリスNCA(国家犯罪対策庁)など、複数の国際機関間での連携と協力が不可欠でした。この事例は、国際的なサイバー犯罪捜査の成果を象徴するものです。
捜査機関の対策と国際協力
ブラックスーツのような高度なランサムウェアグループを抑止するため、国際的な捜査機関はますます緊密な協力体制を構築しています。特にアメリカやEU諸国は、ブラックスーツや類似のランサムウェアグループに対する活動記録をデータベース化し、攻撃パターンや背後にいる関係者を追跡するための分析を進めています。また、情報共有の促進によって、被害を未然に防ぐ取り組みも重要視されています。これらの協力は、ブラックスーツが使用する暗号化技術や二重脅迫型の手法に対抗するための基盤を築いています。
関連するグループ「Royal」と「Conti」の影響
ブラックスーツは、過去に活動していたロシア系ランサムウェアグループ「Conti」の残党から構成されているとされています。また、「Royal」という別のグループとの関係性も指摘されており、双方の技術やリソースの共有が行われている可能性があります。「Conti」は過去に広範な被害を引き起こしており、その影響力を受け継いだブラックスーツもまた、国際社会での脅威とみなされています。「Royal」や「Conti」との関連性を明らかにすることで、ブラックスーツの動向を把握し、さらなる攻撃を封じる手がかりとなるでしょう。
ブラックスーツの動向と今後の予測
ブラックスーツは2023年5月に初めて確認されて以来、世界中でランサムウェア攻撃を展開してきました。彼らは特に医療や教育、IT分野を標的にしており、今後も同様の重要インフラを狙った攻撃が予測されています。また、新たなマルウェア「Chaos」との関連が示唆されており、このことがブラックスーツにさらなる攻撃能力を付与する可能性があります。今後の捜査と監視が進むほど、彼らの活動が一層洗練されるリスクも存在するため、引き続き国際社会による監視と対応が求められます。
被害者企業が取るべきリスク対策
ブラックスーツの攻撃から企業を守るためには、事前のリスク対策が不可欠です。特に以下のポイントが重要です。
- セキュリティソフトの導入とシステムの定期的なアップデート
- 重要データの定期的なバックアップと復元テスト
- 従業員に対するフィッシングメール対策やサイバーセキュリティ教育の実施
- 外部セキュリティ専門家による脆弱性診断の実施
これらの対策により、ランサムウェア被害のリスクを最小限に抑えることが可能となります。また、攻撃を受けた場合には、迅速に捜査機関や専門家に相談し、適切な対応を取ることが重要です。
サイバー攻撃への備えと対処法
ランサムウェア被害を防ぐためにできること
ランサムウェア被害を防ぐには、事前の対策が最も重要です。まずは定期的なデータバックアップを行い、攻撃を受けても重要なデータを復旧できる体制を整えることが基本です。また、OSやソフトウェアを最新の状態に保つことで、既知の脆弱性を狙った攻撃のリスクを軽減できます。さらに、従業員のセキュリティ教育を実施し、不審なメールやリンクを開かないよう注意喚起することも有効です。
セキュリティソフトとリスク管理の必要性
信頼性の高いセキュリティソフトを導入することは、ランサムウェア対策の基本です。ブラックスーツのような高度な攻撃グループに対抗するためには、ネットワークの監視や脅威検出機能を備えた総合的なセキュリティ対策が求められます。また、定期的に脆弱性診断を実施し、不備を洗い出すことでリスクを最小化する努力も欠かせません。情報セキュリティ管理体制を整え、サイバー攻撃に対する防御力を強化することが企業の存続にも直結します。
被害時に企業が取るべき行動
ランサムウェアの被害を受けた場合、迅速かつ冷静な対応が必要です。まずは影響範囲を特定し、感染が拡大しないようネットワークを遮断するなどの応急処置を講じます。その後、専門的なセキュリティ業者や捜査機関に相談し、正確な被害状況を把握します。企業の体制によっては、インシデント対応計画(IRP)を事前に策定し、それに基づいて行動することが効果的です。
支払い交渉のリスクとガイドライン
ランサムウェア攻撃者から要求される身代金の支払いは、慎重に検討する必要があります。身代金を支払ったとしても必ずしもデータが復旧される保証はなく、さらなる攻撃を受ける可能性を残す行為にもなります。そのため、多くの国際的な捜査機関や専門家は、身代金の支払いを推奨していません。企業がこうした状況に直面した場合、法的助言を受けながらリスクを評価し、対応方針を決定することが重要です。
法的措置と情報共有の重要性
ランサムウェア被害が発生した場合、被害を適切に報告し、法的措置を講じることも重要です。ブラックスーツのような犯罪グループに対抗するためには、被害情報を捜査機関や関連団体と共有し、攻撃者の行動パターンや手法を特定することが必要です。さらに、同じ業界内で情報共有を行うことで、他の企業への被害拡大を防ぐことにも繋がります。法的措置や報告を行うことで、企業の信頼性維持にも寄与するでしょう。
