採用情報 お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. Linux/OSS ソリューションブログ
  4. 統合システム監視
  5. 脆弱性管理 BLOG
  6. SafePay ランサムウェアグループによる攻撃

脆弱性管理 BLOG

2025 年 07 月 16 日

SafePay ランサムウェアグループによる攻撃

~ 2025 年 5-6 月の脅威動向と代表的な攻撃(後編)~

前編「急増する「ClickFix」攻撃」は こちら

2. SafePay ランサムウェアグループによる攻撃。日本企業も被害に

2-1. エグゼクティブ サマリー

項目 内容
Who(誰が) SafePay ランサムウェアグループ
When(いつ) 2024 年 11 月ごろから活動が観測される
Where(どこで) 米国・オーストラリア・ドイツ(EU)・イギリスなど
What(何を) 所謂二重脅迫型ランサムウェアグループで、データを人質に身代金を要求
Why(なぜ) 金銭目的と思われる
How(どのように) ダークウェブで購入したと思しき認証情報で侵入。LOL 攻撃で防御機構を回避
回避策 重要なサービスへの認証には MFA を義務化

2-2. Who(誰が)

攻撃者

SafePay ランサムウェアグループ。比較的新しいランサムウェア グループとされており、最初の活動は 2024 年 9 月に確認されています。それ以来、SafePay の脅威アクターは急速にこの分野で重要な役割を担うようになりました。Check Point 社の調査によると 2025 年も被害は増加しており、2025 年第 1 四半期では SafePay は 9 番目に蔓延しているランサムウェアの亜種となっています。

また SafePay ランサムウェアグループは謎に包まれたグループとされています。これほど被害が増えてきているにも関わらず

  • ダークウェブのフォーラムやチャットルームではほとんど議論がない
  • グループのメンバーや所在地に関する情報は公開されていない

事が特徴です。

一方、通常のランサムウェアグループと同じような下記の特徴もあります。

  • ダークウェブでブログを運営する
  • 被害者とのコミュニケーションにオープンネットワーク(The Open Network: TON)を活用する
  • 過去の被害者をリストアップした Tor リークサイトを運営している
被害者

 現在判明している限りでは、下記の様な企業・団体が被害に遭っています。

2024/11
  • Snow Brand Australia ( 雪印メグミルクの子会社 )
    24GB のデータが流出。ファイルリストによると、主に請求書、発注書などの財務データ、様々なパートナーとの取引詳細、従業員の情報等とされています。
  • Euromedix
    105GB のデータが流出したとされています。
2024/12/24
  • Muswellbrook Shire Council(オーストラリアの議会)
    175GB のデータが流出したとされています。
2025/02/06
  • Inland Empire Components, Inc.
    65GB のデータが流出したとされています。
2025/03/12

以下の 7 企業が被害者リストとして追加されました。

  • Trading Acadamy
  • Ultimate Class Limousine
  • Haven Resorts & Spas
  • Luis Garraton, LLC
  • Jockey Salud
  • MMA
  • Los Olivos Cali
2025/05/12

以下の 13 企業が被害者リストとして追加されました。

  • Moore Coal Co
  • Industrial Growth Platform, Inc ( 株式会社経営共創基盤 )
  • Kinderzentrum Weißer Stein
  • Morrice Transportation
  • LifeSafe Services, LLC
  • Gravelec SA
  • Gewandhaus Gruber
  • Abfiad Group
  • The Engineering Quest
  • MALER SCHEUERLE GmbH
  • Maxus Group
  • Hagemann GmbH
  • Metten-Maas & Partner mbB

<参考情報>

2-3. When(いつ)

以下、被害者の時系列になります。

日時 内容
2024/10 英国のテレマティクス企業 Microlise(DHL や Serco といった企業に車両追跡サービスなどを提供している ) が被害に遭う
2024/11 Snow Brand Australia ( 雪印メグミルクの子会社 ) が被害に遭う。24GB のデータが流出。ファイルリストによると、主に請求書、発注書などの財務データ、さまざまなパートナーとの取引詳細、従業員の情報等とされる
2024/11 EuroMedix( 欧州の医療機器ディストリビューター ) が被害に遭う。105GB のデータが流出
2024/12 オーストラリア ニューサウスウェールズ州の マスウェルブルック・シャイア議会が侵入され、175GB のデータが流出
2025/02/06 米国の Inland Empire Components が攻撃され、65GB のデータが流出
2025/03/12 SafePay の被害者として新たに 7 組織が追加
2025/05/12 SafePay の被害者として新たに 13 組織が追加

<参考情報>

2-4. Where(どこで)

SafePay は公共や民間企業を含む幅広い業界の被害者をターゲットにしています。

2025 年は主に米国やイギリス、ドイツを標的としています。Check Point の「The State of Ransomware in the First Quarter of 2025」によると、ドイツでは活発な活動が見られ、ランサムウェア攻撃の 24% が SafePay によるものとされています。

図は Check Point の「The State of Ransomware in the First Quarter of 2025」より引用した、ドイツのランサムウェア被害の様子。
24% が SafePay によるものとされている。

<参考情報>

2-5. What(何を)

N/A

2-6. Why(なぜ)

金銭目的と推定されています。

2-7. How(どのように)

SafePay の攻撃手法を、CheckPoint の資料を中心にして纏めます。

初期アクセス(Initial Access)

SafePay は主にダークウェブで購入したと思われる有効な認証情報(クレデンシャル)を使用して初期アクセスを行います。この認証証情報と VPN ゲートウェイ(既知の VPN の脆弱性を悪用していると思われます)を介して標的のエンドポイントにアクセスします。

 また、このグループは多段階的な手法を用いており、通常攻撃がリモートデスクトッププロトコル(RDP)経由のアクセスから始まることも判明しています。

防衛回避(Defense Evasion)

SafePay はLiving Off the Land Binaries(LOLBins)を使用して、Windows Defender などのセキュリティ対策を無効化します。LoLBin とは OS に元々組み込まれている機能を利用した攻撃 (Living Off the Land) の一種で、セキュリティ製品からの検知を回避するために、侵害したシステムに備わった機能を悪用します。

影響(Impact)
  1. 暗号化されたファイルには .SafePay 拡張子が追加されます。
  2. 以前の SafePay ランサムウェア攻撃では、身代金要求メッセージが readme_SafePay.txt というファイルに含まれていました。
  3. SafePay は以下のような戦術を採用しています。
    1. 回復オプションの無効化
    2. シャドーコピーの削除
技術的特徴

SafePay は、次のような機能を備えたモジュール設計になっています。

  • 権限昇格
  • UAC バイパス
  • ネットワーク伝播

調査により、このグループのランサムウェアバイナリは、2022 年後半の LockBit のバージョンと類似点があることが明らかになりました。ただし、SafePay には、ALPHV や INC Ransom など、他のランサムウェアグループが使用する要素も組み込まれています。

また、LockBit ランサムウェアの亜種との顕著な類似点として、東ヨーロッパで発生した過去の攻撃では、キリル文字のキルスイッチが組み込まれていたことなど、攻撃対象に応じてコードを適応させてくる点が認められています。

2-8. 参考情報

2025 年 5-6 月の脅威動向一覧

2025 年 5-6 月の脅威動向を見るために、以下で発生したインシデント・攻撃を羅列します。

  1. 国際関係に起因するインシデント・攻撃
    1. ロシアのハクティビスト「NoName057」によるオランダ政府機関への DDoS 攻撃
    2. トランプ政権が使用する Signal クローンがハックされた模様
    3. CISA が OT(運用技術)に対する脅威の緩和策を公開
    4. Google の GTIH がロシア政府が支援する脅威グループ COLDRIVER(別名 UNC4057、Star Blizzard、Callisto)に起因する LOSTKEYS と呼ばれる新しいマルウェアを特定
    5. 北朝鮮、戦争リスク評価のため、ウクライナでサイバースパイ活動を強化
    6. オーストラリア人権委員会がデータ漏洩
    7. ロシアが背後にいる APT28 による「RoundPress」作戦
    8. FBI が米国当局者を標的にした Voice ディープフェイク攻撃の情報を公開
    9. UK Legal Aid Agency ( 法律補助庁 ) からのデータ漏洩
    10. APT28 がウクライナへの援助ルートを追跡するために侵入
    11. ロシア政府、モスクワの外国人に追跡アプリのインストールを義務付ける法律導入
    12. ロシアの Laundry Bear がオランダ警察への攻撃に関与
    13. APT31 がチェコ共和国外務省へのサイバー攻撃を行った可能性
    14. APT41 が Google カレンダーを C2 に利用するマルウェアを展開
    15. Microsoft が新たな欧州セキュリティプログラムを開始
    16. ウクライナがロシアの戦略戦闘機メーカー、Tupolev をハッキングしたと主張
    17. ロシアが背後にいる脅威アクターが "PathWiper" を用いてウクライナを攻撃
    18. 北朝鮮のハッカー「BlueNoroff」、Zoom 会議で幹部をディープフェイクして Mac マルウェア拡散
  2. マルウェア・ランサムウェア・その他のインシデント・攻撃
    1. 中国が背後にいる「TheWizards APT」が SLAAC スプーフィングを使用して中間者攻撃を実行
    2. 中国が背後にいる「TheWizards APT」が SLAAC スプーフィングを使用して中間者攻撃を実行
    3. Magento サプライチェーン攻撃により数百の電子ストアが侵害される
    4. 英国の NCSC が小売業向けのセキュリティ勧告
    5. Darcula PhaaS がフィッシングメール経由で 88 万枚のクレジットカード情報を窃取
    6. "Bring Your Own Installer" テクニックにより EDR を迂回
    7. "Luna-Moth" という IT ヘルプデスクを装う攻撃者
    8. "Airborne"。CVE-2025-24252 と CVE-2025-24206 を連鎖させることでゼロクリックの RCE が実現
    9. UK の Legal Aid Agency (LAA) がセキュリティインシデントに
    10. 米国司法省他、各国の警察当局が複数の DDoS 代行サービスプラットフォームを押収
    11. CoGUI フィッシングプラットフォーム、認証情報を盗むために 5 億 8000 万通のメールを送信
    12. 医療機器メーカーの Masimo 社がサイバー攻撃を受ける
    13. Play ランサムウェアグループが CVE-2025-29824(4/8 に修正済み ) を攻撃している模様
    14. LockBit RaaS が攻撃される。被害者との交渉内容が暴露
    15. 2022 年から Discord 開発者を標的にしたトロイの木馬入り PyPI パッケージが存在
    16. npm パッケージがサプライチェーン攻撃により侵害される
    17. Fake AI ビデオジェネレーターに仕組まれた「Noodlophile Stealer」が情報窃取
    18. ファッション大手の Dior がサイバー攻撃を受ける
    19. 英国小売業を標的にした Scattered Spider、米国小売業も標的に
    20. ランサムウェアギャングが「Skynet」マルウェアを使用
    21. TikTok で Vidar/StealC を拡散させるソーシャルエンジニアリング攻撃
    22. FBI が Luna Moth(UNC3753) の注意を呼びかける
    23. Dark Partner が大規模な仮想通貨強盗を推進
    24. ASUS ルータへの大規模な攻撃を観測
    25. InterLock ランサムウェアグループが新たな RAT(NodeSnake) を使用
    26. PumaBot ボットネットが SSH 認証情報をブルートフォースで取得し、デバイスに侵入
    27. ファッション大手 Victoria's Secret がサイバー攻撃を受ける
    28. AI ツールになりすましたマルウェア
    29. 認証情報の売買に「Russian Market」が浮上
    30. Cartier がサイバー攻撃により情報漏えい
    31. StopRansomware で Play ランサムウェアグループの TTP を公開(更新)
    32. Google の GTIG が「UNC6040」グループによる Salesforce アカウントを狙ったフィッシング攻撃の情報を公開
    33. FBI が「BADBOX 2.0」について注意喚起
    34. ハッカーが重要な Roundcube ウェブメールの脆弱性を販売
    35. ユーティリティを装った悪意のある npm パッケージがプロジェクトのディレクトリを削除
    36. サプライチェーン攻撃により Gluestack NPM パッケージが侵害される
    37. TDK DVR を狙った Mirai Bot が検出される
    38. SentinelLab が中国関連の脅威アクター "PurpleHaze" と "ShadowPad" の動きを追跡
    39. FIN6 が求職者を装い、リクルーターのデバイスにバックドアを仕掛ける攻撃
    40. カナダの WestJet がサイバー攻撃を受ける
    41. WashingtonPost がサイバー攻撃を受ける
    42. Scattered Spider が標的を米国の保険会社に変更の模様
    43. 衛星通信会社の Viasat が SaltTyphoon に攻撃を受ける
    44. UK の耐量子暗号(PQC)以降計画
    45. アフラック(米国本社)がサイバー攻撃に
    46. 記録的なデータ侵害で 160 億件のパスワードが流出、Facebook、Google、Apple などあらゆるサービスへのアクセスが可能に
この記事の著者

OSS/ セキュリティ / 脅威インテリジェンスエバンジェリスト
面 和毅

本記事に関連するリンク
MIRACLE Vul Hammer 脆弱性管理ツール「MIRACLE Vul Hammer(ミラクル・バル・ハンマー)」
SBOMを使った脆弱性管理を実現!MIRACLE Vul Hammer
< 前の記事へ
急増する「ClickFix」攻撃
次の記事へ >
SharePoint の脆弱性を悪用した攻撃
最新 BLOG 記事
アサヒ GHD を攻撃した Qilin ランサムウェアグループの一般的な TTP
アサヒ GHD を攻撃した Qilin ランサムウェアグループの一般的な TTP
2025 年 11 月 06 日
Red Hat 社を襲った攻撃
Red Hat 社を襲った攻撃
2025 年 11 月 06 日
Qilin ランサムウェア:第三世代RaaSの脅威と防御の最前線
Qilin ランサムウェア:第三世代RaaSの脅威と防御の最前線
2025 年 10 月 15 日
MIRACLE ZBX のマップの文字サイズを変更する
MIRACLE ZBX のマップの文字サイズを変更する
2025 年 10 月 10 日
Salesforce CRM を狙った Vishing 攻撃
Salesforce CRM を狙った Vishing 攻撃
2025 年 09 月 29 日
SharePoint の脆弱性を悪用した攻撃
SharePoint の脆弱性を悪用した攻撃
2025 年 09 月 29 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
iTrust SSL/TLS サーバー証明書