top of page

Latest Articles

Tag

インドのランサムウェア危機: 2025 年のユニット ゼロ戦略的脅威分析

  • niwanaga
  • 2 日前
  • 読了時間: 15分

著者: MD. アジム・ウディン

India's Cyber Digital Monsoon 2025 PIPELINE株式会社
Figure 1: India's Cyber Digital Monsoon 2025

私たちは、アジア太平洋(APAC)地域における脅威アクターの動向を監視し、経験の浅い攻撃者による低い技術水準の攻撃から、国家が関与する高度な作戦に至るまでの攻撃傾向とサイバー戦の進化を分析しています。その中で、2025年はインドのサイバーセキュリティにとって、看過できない重大な局面であったことが明らかになりました。


私たちの分析が示しているのは、憂慮すべき現実です。インドは現在、世界で最もランサムウェア攻撃の標的とされている国の一つとなっており、高度な脅威グループが、サイバー犯罪と地政学的対立の境界を曖昧にするようなキャンペーンを展開しています。


私たちは、インドに対するサイバー戦が急速に産業化している兆候を目の当たりにしています。問題なのは、攻撃者が高度化していることそのものではありません。脅威環境が予測型のインテリジェンスを求めているにもかかわらず、インドの防御態勢が依然として事後対応型である点です。


2025年において、私たちは 24種類のランサムウェア・ファミリーを追跡しました。これらは単なる犯罪組織ではなく、コードを弾薬、データを戦場とする地政学的な代理ネットワークの一部として機能していました。



Distribution of Ransomware Attacks by Group PIPELINE株式会社
Figure 2: Distribution of Ransomware Attacks by Group

数字が示すもの:インドにおけるランサムウェアリスクの激化


Unit Zero による 2025 年の戦略的脅威分析は、前例のない強度を持つサイバー脅威環境を明らかにしています。

2025年1月から11月の間に、私たちは 24の異なるランサムウェアグループがインドの組織を積極的に標的としていることを確認しました。特に Killsec、Clop、Nightspire は、数か月にわたる持続的な攻撃キャンペーンを展開していました。


インテリジェンスによると、パハルガム事件以降、インドは150万件を超えるサイバー攻撃に直面し、そのうち150件が重要インフラへの侵害として成功しています。


しかし、私たちが最も懸念しているのは件数そのものではありません。攻撃の高度さと持続性です。

Killsec のようなグループは、年間を通じて戦略的な一貫性を持って活動しており、SPARSH Hospital や ASRAM Medical College といった医療機関から、Lupin Limited や NewGen といった企業まで、幅広い被害を主張しています。


これは単なる機会主義的なサイバー犯罪ではなく、体系的な標的選定です。



インドの攻撃対象化を加速させる要因

1. セキュリティ成熟度を伴わない急速なデジタル拡大

インド政府は、数百万人をオンラインサービスにつなぐ極めて野心的なデジタル施策を進めています。

COVID-19危機により、インドのワクチンカードはすべてクラウドに移行しましたが、その後全面的に侵害されました。


厳しい現実として、インフラの成長速度が、セキュリティ能力を上回っています。

2025年には、マルウェア検出の62%がクラウド環境由来でした。これは、適切なセキュリティ対策を実装しないままクラウド移行が進められていることを明確に示しています。


私の現地調査では、多くのインド企業が、レガシーシステムと最新インフラを併用する「ITフランケンシュタイン環境」を抱えていることを確認しています。この複雑さが、重大な脆弱性を生み、攻撃経路を増やしています。


2. 高価値データと低い身代金耐性

インドの組織は、医療記録、金融情報、政府文書、企業の知的財産といった大量の機密データを保有しています。特に医療機関は患者データを抱え、脆弱です。

Future Generali や Sun Direct は、データ漏洩サイト(DLS)に頻繁に登場しています。インドの組織は欧米に比べて身代金額は低いものの、規制対応・業務継続・評判への懸念から支払いに応じる可能性が高いため、攻撃者にとって魅力的な標的となっています。


3. Ransomware-as-a-Service(RaaS):サイバー犯罪の民主化


RaaS プラットフォームの台頭により、技術力の低い犯罪者でも高度な攻撃が可能になりました。現在、世界で 85の恐喝グループが活動しており、そのうち 47グループは10件未満の被害者しか持たない小規模組織です。

インドにとってこれは、LockBit や Qilin のような既存勢力に加え、Incransom、TheGentlemen、Sinobiといった新興グループにも対応する必要があることを意味します。


Depiction of RaaS - Ransomware-as-a-Service PIPELINE株式会社
Figure 3: Depiction of RaaS - Ransomware-as-a-Service

4. 地政学的標的化と代理戦争


ここからの分析は議論を呼ぶ内容ですが、インテリジェンスは明確です。2025年4月のパハルガムでのテロ事件以降、パキスタン系ハクティビストや APT36(Transparent Tribe)による、インド政府・防衛システムへの連携攻撃が発生しました。

さらに深刻なのは、中国とパキスタンのサイバー空間における協力関係です。中国が技術とインフラを提供し、パキスタンが実行部隊を担うことで、中国は否認可能性を保ったまま活動できます。


5. 制度的分断と連携不足


インドの連邦制は調整上の障壁を生み、悪意ある主体がこれを巧みに利用しています。CERT-In、NCIIPC、各州レベルのサイバー対策機関などは、データ共有が限定的でインシデント対応戦略も一貫せず、しばしば独立して活動しています。タミル・ナードゥ州の製造企業への攻撃とデリーの病院への別個の攻撃が発生した場合、これらのインシデントを結びつけ、組織的な脅威を認識する基盤が欠如していることが多いです。さらに、「デジタル個人情報保護法」などの規制枠組みは依然として発展途上であり、多くの組織がコンプライアンス達成に苦慮しています。その結果、異なるセクター間でセキュリティ環境が断片化し、攻撃者が最も脆弱なポイントを特定・標的とする機会を提供しています。


インドのサイバーセキュリティ課題は技術的なものではなく、構造的なものであると我々は推測します。組織が現代的なクラウドソリューションとレガシーインフラを組み合わせる様子は、流砂の上に超高層ビルを建設するようなものだす。クラウド起源マルウェアの検出率が62%であるのはクラウドセキュリティの失敗ではなく、可視性の欠如である。組織はセキュリティパラダイムを移行せずにデジタルトランスフォーメーションへ移行しました。その結果はどうでしょうか。防御側が何を保護しているか把握できないほど細分化された攻撃対象領域と、攻撃者が古い脆弱性を悪用する状況だと推測します。


インドで最も活発な脅威グループ:敵対者のプロファイリング


Figure 4: Groups primarily used exposed RDP, PsExec, SQL Injection, SMB
Figure 4: Groups primarily used exposed RDP, PsExec, SQL Injection, SMB

キルセックは最も執拗な脅威の一つとなっており、2025年1月から10月までの10ヶ月間にわたり攻撃が確認されています。彼らの標的戦略は意図的なものと思われ、医療(SPARSH病院、ASRAM医科大学、Nano Health)、金融サービス(FAAB Invest Advisors)、製薬(Lupin Limited)、テクノロジー企業(eMedicoERP、NewGen)といった業界を標的としています。こうした幅広い標的は、広大なアフィリエイトネットワーク、あるいは高度な標的技術の存在を示唆しています。

Qilinは、2025年第3四半期に世界中で月平均75人の被害者を出し、今年最も活発なランサムウェアグループとなったことで、その野心的な活動ぶりを示しました。彼らはイデオロギー的な動機を主張していますが、私の分析によると、彼らの活動は純粋に営利目的であり、様々な業種や地域を標的としています。インドの被害者には、製薬会社のRasi LaboratoriesやDhoot Transmissionなどのインフラ企業が含まれています。

Clopは標的型戦略を採用しており、主に製造業と工業部門を標的としています。FORBESMARSHALL.COM、WELCOMEIND.COM、RUIA.COMへの攻撃は、インドの産業インフラへの意図的な関心を示唆しており、おそらく金銭的利益の獲得と競争上の情報収集が目的と考えられます。


NightspireFunksecは、重要インフラを標的とする懸念すべきパターンを示しています。Nightspireによる電力機器メーカーLotus Powergearと労働力ソリューションプロバイダーTeamLeaseへの攻撃は、重要なサービスの妨害に重点を置いていることを示しています。同様に、Funksecによるpunjab[.]gov[.]inなどの政府インフラやgenrepurchase[.]bankatm[.]inなどの決済システムの標的化は、国家安全保障上の重大な懸念を引き起こします。


Babuk2は、drdo.gov.in(インド国防研究開発機構)やicmr.gov.in(インド医学研究評議会)といった政府機関を標的とし、国防省の文書にアクセスしたと主張しているため、最も懸念されるプロファイルを示しています。これは、ランサムウェア活動を装った国家支援のスパイ活動を示唆しています。地政学的緊張が高まる中でのこれらの攻撃のタイミングは、単なる偶然ではないようです。


脅威アクターの動機: 金銭的利益を超えて...


  1. APT36、Babuk2、そして国家支援を受けたアクターなどの戦略的情報収集グループ。防衛機関、政府機関、そして重要インフラを標的とし、通常、暗号化と組み合わせたデータ窃取を狙っていることから、スパイ活動が主な目的であり、身代金要求は目くらましとして機能していることがわかります。


  2. ハクティビズムと地政学的不安定性は、現実世界の緊張関係と連動した攻撃を誘発します。パハルガム攻撃に続くサイバー攻撃は、脅威アクターがデジタルキャンペーンを巧みに利用して物理的な衝突をエスカレートさせ、作戦を妨害し、偽情報を拡散し、政府の有効性に対する国民の信頼を損なっていることを示しています。


  3. テストと能力開発では、脆弱なデジタル環境がランサムウェア操作者にとって西側諸国の注目度の高い標的に対する方法、戦術、技術、手順を改善するための完璧なテストの場となっているため、新興グループがインドの組織に重点を置くことが多い理由について説明します。


シンドゥール作戦:サイバー戦争の成熟


2025年のインド・パキスタン危機は、サイバーアクターがハイブリッド戦争にどのように関与できるかを実証しています。APT36がパハルガムをテーマにしたフィッシングメールを仕掛けるCrimson RATマルウェアを使用したことは、国家戦略目標に沿った高度なソーシャルエンジニアリング戦術の好例です。情報筋によると、これらの取り組みはインドの軍事的位置付けと中国の国境作戦に関する機密データの収集に重点を置いていたことが示唆されています。中国とパキスタンのサイバー同盟は、インドにとって最も困難な脅威の一つとなっています。中国はAI搭載マルウェア、高度な侵入技術、インフラといった最先端のリソースを提供するハイテクサプライヤーとして機能しています。一方、パキスタンは、これらに起因する侵入を実行しています。これらの同盟は、北京がインドと国境紛争に対する戦略的目標を推進することを可能にしています。


Malicious Domains (Phishing Infrastructure)

jkpolice[.]gov[.]in[.]kashmirattack[.]exposed
iaf[.]nic[.]in[.]ministryofdefenceindia[.]org
virtualeoffice[.]cloud (registered June 16, 2025)
mail[.]mgovcloud[.]in (typosquatted domain)

Domain Registration Pattern:

Created 1-2 days after Pahalgam incident
Hosted across multiple ASNs:
AS 200019 (Alexhost Srl)
AS 213373 (IP Connect Inc)
AS16509 (Amazon AWS)

Command & Control (C2) Infrastructure:
IP: 93.127.133[.]58 (Crimson RAT C2 - decoded from hardcoded default)
IP: 99.83.175[.]80 (Amazon AWS - phishing infrastructure)
IP: 37.221.64[.]202 (credential harvesting)
IP: 78.40.143[.]169 (additional phishing support)

PowerPoint Weaponized File:
Filename: Report & Update Regarding Pahalgam Terror Attack.ppam
Format: PowerPoint add-in with malicious macros
Payload: Crimson RAT (disguised as "WEISTT.jpg")
Compilation: April 21, 2025 (pre-attack compilation timestamp)

最も深刻な被害を受けているのは?


  1. 医療業界は、Killsec、Medusa、Nightspireといったグループが特に医療機関を標的としているため、特に大きな影響を受けています。医療業界は機密データや生命に関わる機能に依存しており、サイバーセキュリティ対策も従来脆弱であるため、二重脅迫の手法を用いる攻撃者にとって非常に魅力的です。


  2. 製造業や工業部門は、Clop、Akira、Warlockといったグループからの絶え間ない圧力にさらされ続けています。BlacknevasによるToyota AsiaやToyota Indiaといった企業への攻撃は、たとえ確立されたセキュリティ対策を備えた大規模な多国籍企業であっても、現地子会社が独自の、時には安全性の低いインフラで運営されている場合、脆弱になり得ることを示しています。


  3. 金融サービス企業とフィンテック企業は依然として頻繁に標的となっており、MedusaはFuture Generaliを、Babuk2は金融機関を標的としています。金融サービス業界は金融システムと非常に機密性の高い金融情報に直接結びついているため、ランサムウェア攻撃グループと諜報機関の両方にとって魅力的な標的となっています。


  4. 政府機関と重要インフラは、その戦略的重要性ゆえに、極めて懸念される攻撃の脅威にさらされています。注目すべき事例としては、テランガーナ州とアーンドラ・プラデーシュ州の電力会社、Babuk2によるインドの通信インフラなどの通信ネットワーク、そしてFunksecによるpunjab[.]gov[.]inなどの政府ポータルへの標的型攻撃が挙げられます。これらは、インドの重要インフラをマッピングするための組織的な取り組みを示唆しており、将来的に、より被害の大きい攻撃の前兆となる可能性があります。


戦術の進化:2025年に変化した点とは?


Figure 5: Threat Groups VS MITRE Techniques Adoption Matrix
Figure 5: Threat Groups VS MITRE Techniques Adoption Matrix

  1. AIを活用した標的の特定と回避:攻撃者は、重要な標的を特定し、説得力のあるフィッシングスキームを作成し、従来の検出方法を回避するマルウェアを開発するために、AIをますます活用しています。例えば、APT36は大規模な言語モデルを利用して新しいマルウェアの亜種を迅速に作成していると報告されており、この傾向を物語っています。


  2. サプライチェーンへの侵入:高度な技術を持つ攻撃者が、主要な標的を直接攻撃するのではなく、セキュリティの低いベンダーやパートナーを標的とする。インド人回答者の90%がサプライチェーンパートナーを起点としたランサムウェアに遭遇したという報告書は、このアプローチの有効性を浮き彫りにしている。


  3. データ中心の恐喝:暗号化を完全に回避し、データの窃盗を優先し、盗んだ情報を公開すると脅迫するグループが存在します。この手法は、検知される可能性を低くしながらも、恐喝の手段であり続けます。これは、従来のバックアップ戦略では対応できない、不安を掻き立てる展開です。


  4. 多角的な恐喝戦略:攻撃者は、データの暗号化や情報窃取にとどまらず、顧客、パートナー、規制当局への脅迫、支払いを拒否する被害者へのDDoS攻撃、ダークウェブのマーケットプレイスでの盗用など、手口を拡大しています。こうした多様化により、攻撃者の影響力は増大し、複数の収入源が生まれています。


展望分析:脅威の軌跡


  1. 継続的な標的化:インドは、2026 年も引き続き最も標的となる上位 5 か国に残ると予想されています。急速なデジタル成長、戦略的な地政学的立場、そして悪意のある関心を継続的に惹きつける固有のシステム上の弱点がその理由です。


  2. 国家の関与の強化:ランサムウェア活動を通じて戦略的目標を達成しようとする、国家主体による、あるいは国家主体の支援を受けた攻撃が増加しています。中国とパキスタンのパートナーシップは、パキスタンのサイバーオペレーターと高度なスキルとリソースを共有することで、より強固なものになると予想されます。


  3. 重要インフラへの攻撃:今後の攻撃では、電力網、水道施設、交通システム、通信システムといった重要インフラへの攻撃がより集中することが予想されます。最近の偵察活動によると、攻撃者はこれらのシステムを研究し、将来の混乱の標的となる可能性のあるものを特定しようとしています。


  4. 規制圧力: 規制圧力が高まると、デジタル個人データ保護法や業界固有のサイバーセキュリティ規制の導入が加速します。組織は、セキュリティに積極的に投資するか、違反後に罰則を受けるリスクを負うかを判断する必要があります。


推奨事項


  1. 国家レベルの連携:組織間のサイロ化を打破し、CERT-In、NCIIPC、諜報機関、そしてセクター別対応チーム間でリアルタイムの情報共有を実現する、統一されたサイバー指揮体制を構築します。


  2. 官民パートナーシップ:政府だけでは民間インフラの安全を確保することはできません。脅威情報の共有、共同インシデント対応訓練、そして協調的な脆弱性開示プログラムを義務付ける必要があります。


  3. 検知と対応への投資:予防は不可能であり、侵害は避けられません。組織は高度な検知機能を導入し、オフラインバックアップを維持し、インシデント対応を定期的に実施する必要があります。ランサムウェア攻撃の平均滞留時間は24時間未満に短縮されており、対応能力もこの速度に追いつく必要があります。Pipeline Unit Zeroは、あらゆる組織の検知と対応を支援します。


  4. サプライチェーンリスクへの対応:重要なシステムにアクセスするすべてのサードパーティベンダーにセキュリティ評価を義務付けます。サプライチェーンの最も脆弱な部分がセキュリティ境界となります。


  5. サイバーレジリエンスの構築:コンプライアンス遵守のためのチェックリストのチェックにとどまらず、真のレジリエンス構築へと進みましょう。これは、分離されたネットワーク、変更不可能なバックアップ、災害復旧機能、そしてすべての新規システムにおけるセキュリティ・バイ・デザインを意味します。


  6. 戦略的抑止力:インドは抑止力として信頼性の高い攻撃的サイバー能力を開発する必要がある。敵対国は、継続的な攻撃が経済、外交、そしてサイバーキネティックな対応といった結果をもたらすことを理解する必要がある。


危機はかつてないほど深刻化している

2025年のインドにおけるランサムウェア情勢は、サイバー犯罪にとどまらず、ハイブリッド戦争、スパイ活動、そしてデジタル形態を呈する戦略的競争を象徴しています。Killsec、Qilin、Babuk2といったグループは単なる犯罪者ではなく、コードが武器化され、データが標的と武器の両方となる、新たなタイプの紛争におけるデジタルプロキシです。脅威アクターは、言論と現実のギャップを巧みに利用することが分かっています。さらに、インドはデジタル超大国を目指していますが、サイバーセキュリティ対策は1990年代に遡る時代遅れのものです。この乖離により、洗練度の低い敵でさえも継続的に悪用できる脆弱性が残されています。明るい兆しは何でしょうか?これらの課題は解決可能であり、他の国々も同様の岐路に直面し、より強力に立ち上がっています。しかし、そのためには、パフォーマンスベースのセキュリティ対策から脱却し、デジタルインフラの設計、防御、運用方法を根本的に変革する必要があります。問題は、インドがさらなる攻撃に直面するかどうかではなく、インドが2025年を警鐘と捉えるかどうかだ。私たちは慎重に悲観的だが、間違いを証明しようと決意している。

PIPELINE(パイプライン)のUnit Zero(ユニットゼロ)について



この分析は、ダークウェブフォーラム、ランサムウェア漏洩サイト、インシデントレポート、マルウェアリポジトリ、そしてPipelineの監視インフラから得られる独自のテレメトリなど、847のデータソースを対象とする12ヶ月にわたる継続的な脅威ハンティングの結果を統合したものです。本レポートのすべての主張は、複数の独立したインテリジェンスストリームによって裏付けられています。


Pipeline Horizon – Unit Zeroは、Pipelineのアジア太平洋地域におけるサイバー脅威インテリジェンス、分析、緊急対応に特化したチームです。サイバー攻撃やセキュリティインシデントの疑いがある場合は、 下記までご連絡ください。




参考URL

 
 

Latest Articles

Tag

Latest Articles

bottom of page