ランサムウェア集団Black Bastaの会話が流出　明らかになった攻撃者の“本音”：狙い目や攻撃のスピード感が判明

流出したチャットログの分析によって、ランサムウェア集団Black Bastaの攻撃手法の全容が明らかになった。大手ベンダー製品／サービスの脆弱性を狙い、計画的に攻撃を進めようとする実態とは。防御側はこの情報をどう活用すべきか。

≫ 2025年04月14日 05時00分公開

[Alexander Culafi，TechTarget]

ランサムウェア集団の“本音”から見える実態

併せて読みたいお薦め記事

攻撃者の実態

　脆弱性62件のうち、44件は米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）のKEV（既知の悪用された脆弱性）リストに、53件はVulnCheckの脆弱性リストに掲載されているものだった。Black Bastaのメンバーがチャットログで言及していた脆弱性の例を以下に挙げる。

CVE-2020-1472（別名Zerologon）
- MicrosoftのID・アクセス管理システム「Active Directory」のドメインコントローラーとクライアント間の通信プロトコル「Netlogon」に存在する脆弱性。認証なしでドメイン管理権限を取得できる。
CVE-2023-36884
- 「Windows」の検索機能「Windows Search」で遠隔でのプログラム実行を可能にする脆弱性。
- 修正プログラムの配布前に悪用されていた。
CVE-2024-23109とCVE-2024-23108
- FortinetのSIEM（Security Information and Event Management）「FortiSIEM」に存在する脆弱性。
- 共通脆弱性評価システム（CVSS）のスコアで10点満点と評価された。
CVE-2022-41040とCVE-2022-41082（別名ProxyNotShell）
- Microsoftのメールサーバ「Microsoft Exchange Server」の脆弱性。
CVE-2017-5754（別名Meltdown）とCVE-2017-5753（別名Spectre）
- CPUに存在する脆弱性。

　VulnCheckのセキュリティ研究者パトリック・ギャリティー氏は、2025年2月に公開したブログエントリ（投稿）で、「Black Bastaは既知の脆弱性を持つ標的を好み、エクスプロイト（脆弱性悪用プログラム）が存在する脆弱性に重点を置いている」と分析する。

　ギャリティー氏の推測では、Black BastaはMicrosoft、Cisco Systems、Citrix Systems（Cloud Software Group傘下）、Fortinet、Palo Alto Networks、Check Point Software Technologies、Atlassianなど、企業が広く採用しているベンダーの製品／サービスを好む。ただし、「Black Bastaが特定の脆弱性に言及しているからといって、必ずしもそれらを攻撃に使用したとは限らない」とも補足する。

　Black Bastaは新しい脆弱性が見つかると、ベンダーやセキュリティ機関がセキュリティアドバイザリーを発表してから数日以内に議論していた。Black Bastaは既知のエクスプロイトを使用することに加えて、新興のランサムウェア集団からエクスプロイトを購入することについても「ためらいながら」話し合っていた。Black Bastaがエクスプロイトを開発できる人材や技術などのリソースを有することを示す証拠もあるという。

　「チャットログの分析から、Black Bastaが計画的でありつつも日和見的な手法を用いて、広く知られた脆弱性と価値の高い標的を狙っていることが明らかになった」とギャリティー氏は述べる。それらのやりとりは、新たなエクスプロイトの開発と戦術変更の可能性を示唆するものだ。「セキュリティ対策で重要なのは、実証データに基づいて脆弱性対策の優先順位を決めることだ」と同氏は説明する。

　「Black Bastaの攻撃手法や戦略は、他のランサムウェア集団と類似している。われわれの調査結果は、こうした攻撃集団は機会を見つけて素早く行動し、標的システムへの侵入口、Microsoft関連の技術、メールサービスを主な標的にしていることを物語っている」（ギャリティー氏）

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ