Home / ソーシャルエンジニアリング / 3AMランサムウェア、電話詐称と仮想マシンで巧妙な侵入手口を確認

3AMランサムウェア、電話詐称と仮想マシンで巧妙な侵入手口を確認

2025年10月31日

出典: Sophos Security Operations – https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/

原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist

3AMランサムウェアの巧妙な侵入手法と最新攻撃動向の解説

2024年後半から2025年初頭にかけて、3AMランサムウェアグループによる高度なサイバー攻撃が確認されました。本記事では、電話詐称や仮想マシンを用いた巧妙な侵入手法を中心に、攻撃の詳細な流れや防御対策について解説します。

主要なポイント

  • 電話詐称(なりすまし)とビッシング攻撃:攻撃者は組織のIT部門の電話番号を偽装し、Microsoft TeamsやVoIPを通じて従業員に接触。技術サポートを装いリモートアクセスを許可させる手口を用いました。
  • 仮想マシンを利用した防御回避:QEMUエミュレーター上でWindows 7の仮想環境を起動し、バックドアを展開。これによりエンドポイント保護ソフトの検知を回避しつつネットワーク内に侵入しました。
  • 多要素認証(MFA)による横移動阻止:攻撃者はMFAを複数の方法で無効化しようと試みましたが失敗。これによりRDPを用いた横展開は大幅に制限されました。
  • データ窃取と限定的なランサムウェア展開:約868GBのデータをクラウドに持ち出し、未管理デバイスから限定的にランサムウェアを展開。Sophosのエンドポイント保護が被害拡大を防ぎました。
  • 高度な偵察とカスタマイズされた攻撃:攻撃前に従業員のメールアドレスや内部電話番号を収集し、標的を絞ったメールボンビングやソーシャルエンジニアリングを実施しました。

技術的な詳細と背景情報

3AMランサムウェアは、2023年にシマンテックが初報告したブラックスーツ/ロイヤルランサムウェアのリブランディング版で、解散したコンティグループの主要メンバーに関連しています。攻撃者はMicrosoft Teamsを利用したビッシング(音声フィッシング)を巧みに活用し、2024年5月にはビッシング電話オペレーター向けのスクリプトもリークされていました。

攻撃の初期段階では、メールボンビングにより標的従業員に大量の迷惑メールを送りつけ、混乱を誘発。次にVoIP電話でIT部門を装い、Microsoft Quick Assistを使ってリモートアクセスを獲得しました。Quick AssistはWindows標準のリモート支援ツールで、攻撃者はこれを悪用して侵入しました。

侵入後、攻撃者はQEMUエミュレーターを用いてWindows 7の仮想マシンを起動。仮想環境内にQDoorトロイの木馬を設置し、ネットワークトンネリングを行うことでエンドポイント保護の検知を回避しました。QEMUは管理者権限不要で展開可能なため、検知が困難です。

攻撃者は仮想マシンからドメインサービスアカウントを侵害し、PowerShellやWMICを駆使して横展開を試みましたが、MFAの導入によりRDPによる横移動は阻止されました。さらに、SophosのXDRエンドポイント保護によりマルウェアの展開やEDR無効化の試みも失敗しています。

データ窃取には正規のクラウド同期ツール「GoodSync」を悪用し、約868GBの重要データをBackblazeクラウドストレージにアップロードしました。ランサムウェアの展開は未管理デバイスに限定され、SophosのCryptoGuard機能により被害拡大は防がれました。

影響と重要性

今回の3AMランサムウェア攻撃は、単なる脆弱性の悪用に留まらず、電話詐称や仮想マシンを使った高度な防御回避技術を組み合わせた点で非常に高度です。特に、Microsoft TeamsやQuick Assistといった正規ツールを悪用した点は、組織のセキュリティ意識と技術的対策の両面で新たな課題を示しています。

多要素認証の有効性が証明された一方で、WMICやPowerShellの悪用は防ぎきれなかったことから、複数層の防御と厳格なポリシー運用が不可欠です。また、正規ツールの悪用を前提とした検知・防御策の強化も急務となっています。

まとめ

  • 3AMランサムウェアは電話詐称と仮想マシンを活用し、巧妙に初期侵入と防御回避を実現。
  • 多要素認証やSophosのXDRエンドポイント保護が横展開やマルウェア展開を阻止し、被害拡大を防いだ。
  • 攻撃者は正規ツールやサービスを悪用し、ソーシャルエンジニアリングを駆使したため、従業員教育が重要。
  • 管理者アカウントの監査、アプリケーション制御、ネットワークセグメンテーションなど多層防御の実装が必要。
  • 今回の攻撃は高度化するランサムウェアの脅威を示すものであり、最新の防御策と継続的な監視が求められる。

本攻撃の侵害指標(IOC)はSophosのGitHubにて公開予定です。組織は今回の事例を踏まえ、技術的対策と従業員教育の両面からセキュリティ強化に努めることが重要です。

タグ付け処理あり:
security-user

Related Posts

オーククリフのカード詐欺団を率いるネイサン・マイケルの犯罪手口
2025年11月5日
オーククリフを拠点とした大規模カード詐欺組織の実態
2025年11月3日
OMGケーブル開発者MGが語る高度なハードウェアハッキング技術
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です