アジアの金融機関狙う「Fogランサムウェア」とは？

2025年5月、アジアの金融機関が高度かつ異例の手口によるサイバー攻撃を受けた。
攻撃にはFogランサムウェアが使用され、従来の手法とは異なる正規ツールやオープンソースのペネトレーションツール（侵入テスト用ツール）が組み合わされていた。

背景と被害拡大の傾向

Fogランサムウェアは2024年5月に初めて確認され、当初はアメリカの教育機関を主な標的としていた。
2025年に入り、標的は金融・製造・専門サービス・小売業などへと拡大しており、Black Kiteの調査では103件の被害が報告されている。
被害のうち45%が情報窃取型マルウェアの影響も受けており、うち65件では認証情報の流出が確認された。

被害国は以下のとおり

アメリカ：67件
ドイツ：5件
ブラジル：4件
カナダ：3件
オーストラリア：3件

また、全被害企業の年間売上合計は約140億ドル（平均企業評価額8000万ドル）とされている。

正規ソフト「Syteca」の悪用が確認される

今回の攻撃では、従業員監視用の正規ソフトウェア「Syteca（旧称Ekran）」が悪用された。
Sytecaは本来、キーストローク記録や画面の録画などを目的とした製品だが、攻撃者はこれをマルウェアのように用い、被害者のネットワーク上で内部活動を監視していたとされる。
Sytecaは「sytecaclient.exe」や「update.exe」といった名前で設置され、タスクキルや削除コマンドにより活動の痕跡を消す試みも行われた。
また、PsExecやSMBExecといった正規ツールも用いてSytecaをネットワーク内に展開し、権限昇格や横展開を図った形跡がある。

オープンソースの侵入ツールを複数使用

攻撃者は以下のようなオープンソースツールを使用していた
・GC2（Google Command and Control）
Google SheetsやMicrosoft SharePointを通じてコマンド実行やファイルの送受信を行うバックドア。
・Stowaway
プロキシ通信によりファイル転送や隠密な通信を可能にするツール。
・Adaptix C2 Agent Beacon
Cobalt Strikeの代替として使用されることのある、ポストエクスプロイト用の指令・制御ツール。

これらのツールの使用は、国家支援型攻撃者（APT）に見られる手法に類似しており、ランサムウェア攻撃としては非常に異例である。

ランサムウェア展開後もネットワークに常駐

Fogランサムウェアは、被害組織内に約2週間潜伏した後に展開された。
特筆すべきは、暗号化実行後もネットワークへのアクセスを維持するために「SecurityHealthIron」と名付けられたサービスが作成されていた点。
通常のランサムウェア攻撃では、攻撃者は暗号化とデータ流出後に撤収するが、本件では持続的な侵入を意図したとみられる行動が確認されている。

攻撃経路と悪用された脆弱性

初期感染経路は不明だが、感染が確認されたシステムの一部はMicrosoft Exchangeサーバーであった。
過去の事例では、Fogは以下の脆弱性を悪用している

・Veeam Backup & Replicationの脆弱性（CVE-2024-40711）
・SonicWall SSL VPNの既知のバッファオーバーフロー等

これらはいずれも一般に公開されていた脆弱性であり、パッチ未適用のシステムが標的とされたとみられる。

データ流出手段と暗号化前の準備

攻撃者は、以下の正規ツールを利用してデータを外部へ送信していた

・7-Zip
ファイルの圧縮と暗号化に使用。
・FreeFileSync / MegaSync
フォルダ同期ツールとしてデータの外部転送に活用。
・Google Sheets / SharePoint API
GC2経由でC2通信やデータ受信。

これらのツールは正規のクラウドサービスを利用するため、ネットワーク上での検出が困難となる。

専門家コメントと警鐘

複数のセキュリティ専門家は、Fog攻撃における「正規ツールの悪用」に強い警鐘を鳴らしている。
・Keeper SecurityのCISO Shane Barney氏
「Fogはファイルレスマルウェアの手法『Living Off The Land（正規ツールによる攻撃）』を極限まで応用している。従来のセキュリティ対策では検知が困難で、組織は見えない脅威にさらされている」

・BugcrowdのCISO Trey Ford氏
「一般的な業務ソフトの利用が“正常”に見えるからこそ、監視対象から外れてしまう。攻撃者にとっては、それが最大の武器になっている」

今後の対策と教訓

本件は単なるランサムウェア被害にとどまらず、「正規ソフトがサイバー兵器に変わる」という現実を突きつけており、以下のような対策が求められる。

・パッチ管理の徹底
既知の脆弱性でも放置すれば重大な侵入口となる。
・ふるまい検知型のセキュリティ
正規ソフトであっても異常動作を検出できる仕組みが必要。
・クラウドサービスの監視強化
GoogleやSharePointを経由する不正通信への対策も急務。
・ソフトウェアサプライチェーンのリスク評価
正規ベンダーの信頼性も再検討が必要。

【参考記事】
https://www.security.com/threat-intelligence/fog-ransomware-attack?utm_source=chatgpt.com
https://www.securitymagazine.com/articles/101694-fog-ransomware-group-uses-unconventional-toolset-new-research-finds?utm_source=chatgpt.com
https://blackkite.com/blog/new-generation-ransomware-groups-are-a-growing-threat/?utm_source=chatgpt.com