サイバーセキュリティの世界は常に進化する脅威との戦いを強いられていますが、最近、その戦術に新たな次元が加わったことが明らかになりました。サイバーセキュリティ企業Group-IBは、DeadLockと名付けられたランサムウェアファミリーが、検知を回避するためにPolygonスマートコントラクトを悪用していると警鐘を鳴らしています。この手口は、従来の防御メカニズムをすり抜ける可能性を秘めており、サイバー犯罪の新たな局面を示唆しています。
DeadLockは2025年7月に初めて確認されましたが、これまでのところ、その活動は比較的目立たないものでした。被害者数が少なく、アフィリエイトプログラムを持たず、公開されたデータ漏洩サイトも運営していないため、世間の注目をほとんど集めていませんでした。しかし、Group-IBは、その革新的な技術的アプローチが、他の脅威アクターによって再利用される可能性を秘めていると指摘し、その危険性を強調しています。
Group-IBの専門家は、「その知名度は低く、現時点での影響も限定的ですが、このランサムウェアは進化するスキルセットを示す革新的な手法を適用しており、組織がこの新たな脅威を真剣に受け止めなければ、危険な存在になる可能性があります」と警告しています。これは、サイバー犯罪者がブロックチェーンのような分散型技術を悪用し、その匿名性と耐障害性を攻撃インフラに利用するという、新たなトレンドの明確な兆候と言えるでしょう。
このランサムウェアの出現は、サイバーセキュリティコミュニティに対し、従来の脅威検知および阻止戦略の再評価を促すものです。特に、ブロックチェーン技術の悪用は、攻撃者がプロキシサーバーのアドレスを無限に変化させ、追跡を極めて困難にする可能性を秘めており、防御側にとって新たな課題を突きつけています。DeadLockは、まさにランサムウェアのプレーブックを書き換える存在として、その動向が注視されています。
ブロックチェーンを悪用する巧妙な手口:Polygonスマートコントラクトの役割
DeadLockランサムウェアの最も特徴的な革新は、そのコマンド&コントロール(C2)インフラストラクチャの管理にPolygonスマートコントラクトを利用している点にあります。従来のランサムウェアがハードコードされたサーバーや比較的固定的なインフラに依存していたのに対し、DeadLockはPolygonブロックチェーン上にプロキシサーバーのアドレスを分散して保存し、必要に応じてこれを更新・ローテーションさせることで、検知とブロックを極めて困難にしています。
Group-IBの研究者たちは、HTMLファイル内に埋め込まれたJavaScriptコードが、Polygonネットワーク上のスマートコントラクトと連携していることを発見しました。このコードは、Polygonネットワークと対話するための利用可能なエンドポイント、すなわちRPCリストをスマートコントラクトから取得します。これにより、攻撃者はプロキシアドレスを動的に変更し、その追跡を困難にすることが可能になります。この手法は、攻撃者が文字通り「無限のバリアント」を適用できる興味深い方法だとGroup-IBは述べています。
Infosecurity Magazineの報道によれば、マルウェアがブロックチェーンからデータを取得する際には、読み取り専用の呼び出しが利用されます。これは、トランザクションを生成したりネットワーク手数料を発生させたりしないため、従来のブロックチェーン分析やネットワーク監視による検知をさらに複雑にしています。攻撃者は、この仕組みを利用して、被害者と攻撃者のSession ID間で暗号化されたメッセージを中継するプロキシURLをスマートコントラクトから取得します。
このアプローチの重要な側面としては、Polygonブロックチェーン上でのプロキシアドレスの分散型ストレージ、複数のRPCエンドポイントを使用したフォールバックメカニズム、そしてスマートコントラクト機能を利用したオンデマンドでのインフラ更新が挙げられます。さらに、複数のスマートコントラクトが単一の作成者ウォレットにリンクされており、このウォレットはデプロイ直前に資金提供を受けていたことが判明しています。トランザクション履歴からは、時間の経過とともに新しいプロキシサーバーを設定するために同じ方法が使用されており、インフラが積極的に管理されていることが示唆されています。
「EtherHiding」との類似性:分散型台帳悪用の前例
DeadLockが採用するスマートコントラクト悪用の手法は、全く新しいものではなく、過去に報告された他のキャンペーンとの類似性が見られます。Group-IBは、Google脅威インテリジェンスグループが昨年(2025年)開示した「EtherHiding」と呼ばれるキャンペーンに言及しています。このキャンペーンでは、北朝鮮のハッカー集団がEthereumブロックチェーンを悪用し、悪意のあるソフトウェアを隠蔽・配信していました。
EtherHidingの被害者は、多くの場合、侵害されたウェブサイト、特にWordPressページを通じて誘い込まれます。これらのサイトは、小さなJavaScriptスニペットを読み込み、そのコードがブロックチェーンから隠されたペイロードを引き出す仕組みです。これにより、攻撃者はマルウェアを、テイクダウンに対して極めて耐性の高い方法で配布することが可能になります。DeadLockとEtherHidingは、どちらも公開された分散型台帳を、防御側がブロックしたり解体したりすることが困難な隠蔽チャネルとして再利用している点で共通しています。
この類似性は、サイバー犯罪者がブロックチェーン技術の持つ分散性と耐障害性を、マルウェアの配信やC2通信の隠蔽に積極的に活用しているという、広範なトレンドを示しています。従来の集中型サーバーに依存するC2インフラは、法執行機関やセキュリティ企業によるテイクダウンの標的になりやすいですが、ブロックチェーン上に構築されたC2は、単一の障害点を持たないため、はるかに堅牢です。
このような手法は、攻撃者にとって非常に魅力的であり、今後も同様のブロックチェーン悪用事例が増加する可能性が高いと予測されます。セキュリティ研究者たちは、この新たな脅威ベクトルに対し、従来のネットワークベースの検知手法だけでは不十分であり、ブロックチェーン上の活動を監視し、悪意のあるスマートコントラクトを特定する新たなアプローチが必要であると警鐘を鳴らしています。
攻撃の実行と被害の痕跡:多層的な手口の解剖
DeadLockランサムウェアの感染経路の初期段階は、現時点では不明な点が多いものの、Group-IBの調査により、感染後の挙動や被害の痕跡が詳細に分析されています。感染したシステムでは、ファイルが暗号化され、その拡張子が「.dlock」に変更されます。さらに、デスクトップの背景が身代金要求のメモに置き換えられ、被害者に攻撃の事実を突きつけます。
初期のバージョンでは、単にファイルの暗号化と身代金要求に焦点を当てていましたが、最近観測されたバージョンでは、被害者に対し、機密データが盗まれ、身代金が支払われない場合にはデータが販売または漏洩される可能性があると警告するようになりました。これは、二重恐喝の手法を取り入れていることを示しており、被害者への心理的圧力を高め、支払いへと追い込むことを目的としています。
攻撃者は、被害者との直接的なコミュニケーションチャネルも確立しています。DeadLockは、暗号化されたメッセージングアプリ「Session」のラッパーとして機能するHTMLファイルをシステムにドロップします。このHTMLファイルの主な目的は、DeadLockのオペレーターと被害者との間で直接的な対話を促進することであり、身代金交渉や支払い指示のために利用されます。この手法は、従来のメールやウェブサイトを通じた連絡よりも匿名性が高く、追跡が困難です。
さらに、Infosecurity Magazineの報告によれば、DeadLockはリモート管理ツールとして「AnyDesk」を使用し、PowerShellスクリプトを展開してサービスを停止させたり、シャドウコピーを削除したりすることで、暗号化の影響を最大化します。シャドウコピーの削除は、被害者が暗号化されたファイルを以前のバージョンに戻すことを防ぎ、復旧をさらに困難にする一般的なランサムウェアの手口です。これまでに少なくとも3つのマルウェアの亜種が特定されており、初期のバージョンは侵害されたサーバーに依存していましたが、研究者たちは現在、このグループが独自のインフラストラクチャを運用していると考えています。
低い知名度と高い潜在的脅威:なぜDeadLockは危険なのか
DeadLockランサムウェアは、その活動が大規模なアフィリエイトプログラムや公衆に知られたデータ漏洩サイトに結びついていないため、他の著名なランサムウェアグループに比べて知名度が低いのが現状です。被害者数も限定的であると報じられており、この点が多くの組織にとって、差し迫った脅威としての認識を薄れさせているかもしれません。しかし、Group-IBは、この「低い知名度」こそが、その真の危険性を覆い隠していると警告しています。
Group-IBの研究者たちは、DeadLockの技術的アプローチが革新的であり、他の脅威アクターによって容易に模倣され、再利用される可能性が高い点を強調しています。特に、PolygonスマートコントラクトをC2インフラに利用するという手法は、従来のセキュリティ対策では検知が困難であり、将来的に広範なサイバー攻撃に採用されることで、その影響が劇的に拡大する恐れがあります。これは、サイバー犯罪の世界における「スキルセットの進化」を示す明確な例と言えるでしょう。
このランサムウェアの脅威は、単に現在の被害規模で測られるべきではありません。分散型プラットフォームを悪用する能力は、攻撃者に極めて高い耐障害性と匿名性を提供します。これにより、攻撃者は法執行機関やセキュリティ企業によるテイクダウンの試みから逃れやすくなり、長期にわたるキャンペーンを維持することが可能になります。このような特性は、小規模なグループが高度な攻撃を実行するための基盤となり得るため、その潜在的な影響は計り知れません。
防御側にとっての課題は、分散型技術の正当な利用を妨げることなく、その悪用を検知し、阻止する新しい戦略を開発することです。DeadLockの事例は、サイバーセキュリティの専門家に対し、ブロックチェーンのトランザクション履歴やスマートコントラクトの挙動を分析する新たな脅威インテリジェンスの必要性を示唆しています。このランサムウェアが示す技術的洗練度は、サイバー脅威の進化が止まることのない現実を改めて浮き彫りにしています。
分散型プラットフォーム悪用の未来:サイバーセキュリティへの警鐘
DeadLockランサムウェアがPolygonスマートコントラクトを悪用する手口は、サイバー犯罪が分散型プラットフォームをいかに巧妙に利用し始めているかを示す、重要な警鐘です。ブロックチェーン技術は、その透明性、不変性、分散性から、多くの分野で革新的な可能性を秘めていますが、同時に、悪意あるアクターにとって新たな隠れ蓑や攻撃インフラを提供する側面も持ち合わせています。DeadLockは、この技術が回復力の高いコマンド&コントロール(C2)チャネルとして悪用され得ることを明確に実証しました。
Infosecurity Magazineの分析は、ブロックチェーンベースの技術が、悪意のあるペイロードの保存やC2ロケーションの隠蔽に利用される事例が最近他にも報告されていることを指摘しています。これは、DeadLockが単一の特異な事例ではなく、サイバー犯罪の広範なトレンドの一部であることを示唆しています。攻撃者は、従来のサーバーインフラが持つ脆弱性や検知の容易さを回避するため、ブロックチェーンの持つ特性を積極的に探求し、悪用しています。
このような分散型プラットフォームの悪用は、防御側にとって新たな、そして複雑な課題を提示します。従来のネットワークトラフィック分析やIPアドレスベースのブロックリストだけでは、ブロックチェーンを介して動的に変化するC2インフラに対応することは困難です。セキュリティ企業や研究者は、ブロックチェーン上のスマートコントラクトの挙動、トランザクションパターン、そして関連するウォレットの活動を監視・分析する新しい検知戦略を開発する必要に迫られています。
DeadLockの事例は、サイバーセキュリティの未来が、単一の技術領域に留まらない、より複合的な知識とアプローチを要求することを示しています。ブロックチェーン技術の急速な普及に伴い、その悪用もまた増加する可能性が高く、サイバーセキュリティコミュニティ全体が、この進化する脅威の状況に適応し、先手を打つための協力と研究を強化することが不可欠です。このランサムウェアが示した技術的洗練度は、我々が直面する脅威の複雑さを改めて浮き彫りにしています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -DeadLock Ransomware Using Polygon Smart Contracts to Evade Detection - https://decrypt.co/354731/deadlock-ransomware-using-polygon-smart-contracts-to-evade-detection
- -DeadLock Ransomware Uses Polygon Smart Contracts For Proxy Rotation - https://www.infosecurity-magazine.com/news/deadlock-polygon-smart-contracts/