2026-01-19
ウクライナでブラックバスタランサムウェアグループの容疑者が襲撃される
ウクライナとドイツの法執行機関が、ブラックバスタランサムウェアグループの容疑者2名の自宅を襲撃し、サイバー犯罪活動に関与する証拠を押収しました。この襲撃は2026年1月15日に行われ、デジタルストレージデバイスや暗号資産が押収されました。容疑者は、情報システムのアカウントデータベースからパスワードを抽出する専門家であり、企業の内部システムへの不正アクセスを可能にしていました。ブラックバスタは2022年から2025年にかけて、数百の組織を攻撃し、数億ユーロの損害を引き起こしました。
メトリクス
このニュースのスケール度合い
5.5
/10
インパクト
7.0
/10
予想外またはユニーク度
6.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
6.0
/10
このニュースで行動が起きる/起こすべき度合い
5.0
/10
主なポイント
- ✓ ウクライナとドイツの法執行機関が、ブラックバスタランサムウェアグループの容疑者2名を襲撃しました。
- ✓ 容疑者は、企業の内部システムへの不正アクセスを行う役割を担っていました。
社会的影響
- ! この襲撃は、サイバー犯罪に対する国際的な取り組みの一環として重要な意味を持ちます。
- ! 法執行機関の協力により、サイバー犯罪者の摘発が進むことで、企業のセキュリティが向上することが期待されます。
編集長の意見
ブラックバスタランサムウェアグループの摘発は、サイバー犯罪に対する国際的な取り組みの重要な一歩です。特に、ランサムウェア攻撃は企業にとって深刻な脅威であり、経済的損失だけでなく、ブランドの信頼性にも影響を及ぼします。今回の襲撃により、サイバー犯罪者が法の手にかかる可能性が高まることは、企業にとって安心材料となるでしょう。さらに、国際的な法執行機関の協力が進むことで、サイバー犯罪の抑止力が強化されることが期待されます。しかし、サイバー犯罪は常に進化しており、新たな手法や技術が登場するため、企業は継続的にセキュリティ対策を強化する必要があります。特に、従業員の教育や意識向上が重要であり、フィッシング攻撃や不正アクセスに対する防御策を講じることが求められます。今後も、サイバー犯罪に対する監視を強化し、迅速な対応ができる体制を整えることが重要です。
解説
ウクライナとドイツの合同摘発が「Black Basta」に刺さる日──国際協調でランサムウェア経済に揺さぶり
今日の深掘りポイント
- 捜索差押と合わせて、暗号資産・ストレージを押収。Black Bastaの「初期侵入〜資格情報搾取」レイヤーを狙い撃つ動きです。
- 容疑者は「パスワード抽出の専門家」。攻撃のボトルネックが、マルウェア本体ではなく資格情報の獲得・横展開にあるという現実を映します。
- Europol/Interpolの最重要指名手配入りという政治的・抑止的圧力が、RaaSサプライチェーンのリスク・プレミアムを押し上げます。
- 技術面では、LSA保護回避、NTDS.ditの取得、クラウドIdP横断の「資格情報・セッション奪取」が主戦場。オンプレ境界の補強だけでは届かないフェーズです。
はじめに
1月15日に実施されたウクライナとドイツの法執行による家宅捜索で、Black Bastaランサムウェアに関与した疑いのある2名の居所からデジタルストレージや暗号資産が押収されました。報道によれば、両名はアカウントDBからのパスワード抽出を得意とし、企業内部への不正アクセスを実現する「資格情報パイプライン」を支えていたとされます。Black Bastaは2022年以降、医療・製造・自治体を含む数百組織を二重恐喝で脅し、甚大な損害を与えてきました。
今回のポイントは「RaaSの中核は暗号化器ではなく、侵入と横展開を回す“人と技術のミドル層”」にあると執行側が見抜き、そこを突いたことです。常に進化する手口に対し、われわれ防御側も“どこを折れば攻撃連鎖が崩れるか”を見極め直す好機です。
参考:
- Black Basta容疑者に関する報道(Infosecurity Magazine): https://www.infosecurity-magazine.com/news/suspects-black-basta-ransomware/
- Black BastaのTTPと防御策(米CISAほか合同勧告 AA24-131A): https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a
深掘り詳細
事実関係の整理
- 2026年1月15日、ウクライナとドイツの当局がBlack Basta関係の容疑者2名の自宅を捜索。暗号資産やデータストレージを押収し、サイバー犯罪関与の証拠を確保したと報じられています。容疑者は「アカウントDBからのパスワード抽出」に長け、内部システムへの不正アクセスを実現したとされています。Infosecurity Magazine
- Black Bastaは2022年以降、RaaS(Ransomware-as-a-Service)モデルを展開。初期侵入は脆弱機器悪用、フィッシング、購入した初期アクセスの活用など多様。横展開においてはドメインコントローラ、バックアップ、仮想基盤を素早く制圧し、暗号化と情報窃取を組み合わせる二重恐喝で金銭を要求してきました。米CISA/FBI/他機関の合同勧告は、Black Bastaが利用するTTPを詳細に列挙しています(有効なIoC、YARA例、緩和策を含む)AA24-131A。
- 黒幕・共同創設者級の人物がEuropol/Interpolの最重要指名手配に加えられたという追加報道は、執行連携の加速を示唆します(最重要指名手配は通常、金融トレースや域外引渡し戦略とセットで進む傾向があります)。注: ここは公開された各機関連携の発表と報道を総合した状況把握であり、個別の氏名・逮捕状の写し等の一次資料が未公開の部分については推測が含まれます。
インサイト──「資格情報の政治経済学」と抑止の新しい重心
- 技術的抑止の重心は「暗号化器」から「資格情報の獲得・横展開」へ移っています。資格情報は転売・再利用可能な“資産”で、Access Broker市場を通じてRaaS全体に流通します。摘発がこの層を狙うことで、調達コストと成功確率が揺らぎ、RaaSのROIが悪化します。
- 欧州・ウクライナの連携は、戦時下のハイブリッド環境でも「越境での経路遮断(資金・通信・宿主国のサプライチェーン)」を具体化する流れです。サイバー犯罪と国家関与の曖昧な境界に対し、金融制裁・仮想通貨ミキサー摘発・KYC強化を含む“圧力の束”が効いてきます。結果として、短期的には派生クランの分裂と再ブランド化が増えますが、中長期ではクオリティの高い初期アクセスとクラウド横展開の価格が上がり、攻撃の選好が「高価値・長滞在」へ偏る可能性が高いです。
- 現場の課題は、オンプレADの護りを固めるだけでは足りず、IdP・SaaS・仮想化基盤・バックアップの「権限境界」を横断した“資格情報・セッション衛生”にシフトすることです。特に、セッション奪取(Token/Refresh Tokenの窃取)と“認証連携の濫用”がBlack Bastaに限らず現在の主戦場になっています。
脅威シナリオと影響
以下は、Black Bastaを含むRaaSが取りうる代表的なシナリオをMITRE ATT&CKに沿って仮説化したものです。具体的な技術・ファミリはCISAの合同勧告AA24-131AのTTPと整合する範囲で記載します。
- 初期アクセス
- フィッシング/添付マルウェア(T1566)
- 公開アプリケーションの脆弱性悪用(T1190)および外部リモートサービス悪用(T1133)
- 初期アクセスブローカーからのクレデンシャル・セッション購入(T1078)
- 実行・持続化・権限昇格
- PowerShell/LOLBin活用(T1059, T1218)
- アカウント作成・GPO悪用・サービス登録(T1136, T1484, T1543)
- 資格情報アクセス
- LSAダンピング/Mimikatz/LSASSメモリ読み出し(T1003.001)
- NTDS.dit/Shadow Copy取得(T1003.003, T1003.003/Windows)
- クラウドIdPのRefresh Token/ブラウザCookie奪取(T1550, T1539)
- 発見・横展開
- AD列挙(T1069.002)、RDP/SMBラテラル(T1021)
- PsExec/WMIによる遠隔実行(T1570, T1047)
- 収集・Exfil・影響
- 高速データ窃取(Rclone等, T1567)
- バックアップ無力化(ESXi/Hyper-V停止、スナップショット削除, T1490)
- 暗号化+二重恐喝(T1486)
影響評価の観点では、以下を強調します。
- 経営インパクトは「事業停止の長期化+復旧コストの逓増」。虚偽の再恐喝を含む交渉フェーズ長期化が恒常化しており、保険条件の厳格化とあわせて総費用は上振れしやすいです。
- ICSや医療セクターでは、OT/IoMTの侵入経路が間接的(IT側資格情報からの横断)であることが多く、ネットワーク分離の“未定義ゾーン”が狙われます。
- クラウド化が進むほど、バックアップと認証連携の設計ミスが致命傷になりやすいです。特に“バックアップへのアイデンティティ境界が本番と同等/同一”という設計は即時再考が必要です。
セキュリティ担当者のアクション
実務で「攻撃連鎖の折れやすい箇所」を優先して、90日間で手当てできるアクションを提案します。
-
資格情報・セッション衛生の再設計
- LSA保護とLSASSアクセス制御、Credential Guard/WDACの適用。高リスク端末でのミニマル管理者権限を徹底します(T1003系対策)。
- ブラウザ内セッション保護(企業プロファイル化、Token保護ポリシー、Fast-FailのSSOタイムアウト)とIdP側のトークンバインディング/デバイス固有化を検討します。
- 管理者資格の階層化(PAW/ESAE相当)、相互に使い回さないJIT管理(PIM/PAM)を導入します。
-
横展開ブロックと可視化
- Lateral Movementに使われるRDP/SMB/WMIの既定露出を削減、PsExec相当の双方向通信をゼロトラストセグメンテーションで遮断します。
- DC/仮想基盤/バックアップ系の“東西”トラフィックを独立監視。Kerberoasting/AS-REP Roasting兆候、DCERPC異常、認証失敗の系列相関を、UEBAで検出します。
-
バックアップと復旧の“攻撃耐性”化
- 不可変バックアップ(WORM/オブジェクトロック)とオフラインコピーを運用に組み込み、復旧までのRTO/RPOを実測で検証します。
- バックアップ管理プレーンと本番のアイデンティティを分離。別IdP/JIT権限で運用し、同時に潰れない設計にします。
-
初期侵入面のホットスポット対処
- 公開系中核(VPN/VDI/リバースプロキシ/メールGW)の脆弱性SLAを短縮化し、Exploit公表から72時間以内の緊急パッチ適用フローを既設化します。
- メールは「Dropper/Loader系」の検出を優先(LNK/ISO/OneNote/HTMLスモグリング)。Attachment SandboxingとOAuth同意ワークフローの警戒レベルを引き上げます。
-
インシデント対応の実効性向上
- 初動で必要な「特権リセット計画」「クラウドトークン一掃」「バックアップ検証復旧」を事前演習。ラテラル封じ込め用のネットワーク制御Runbookを自動化します。
- 交渉・法務・広報の3点セットをBCPに織り込み、二重恐喝への広報ポリシー(偽サイト/偽リーク対策を含む)を明文化します。
-
情報共有とIoCの運用
- CISA AA24-131AのIoC/YARA/緩和策を現行SOCの検知ロジックと突合し、欠落シグネチャを補完します。CISA勧告 AA24-131A
- 取引先ガバナンス(サプライヤ・MSP)に対し、トークン保護・PAM・不可変バックアップの実装状況を定例レビュー項目に追加します。
最後に。今回の摘発は、ランサムウェアの「儲かる仕組み」の要である資格情報サプライチェーンに風穴を開ける動きです。防御側は、同じ場所──資格情報・セッション・横展開の結節点──に資源を集中し、攻撃者のROIを継続的に悪化させる設計へと舵を切るべきタイミングにあります。ニュースの一歩先、実務に落ちる“打ちどころ”を、チームで共有していきたいです。
参考情報
- Black Basta容疑者に関する報道(Infosecurity Magazine): https://www.infosecurity-magazine.com/news/suspects-black-basta-ransomware/
- Black BastaのTTP/緩和策(米CISAほか合同勧告 AA24-131A): https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a
背景情報
- i ブラックバスタランサムウェアグループは、特に企業を標的にしたサイバー攻撃を行い、データの盗難やランサムウェアの展開を行っています。彼らは、パスワードを抽出する技術を駆使して、企業の内部システムに侵入し、情報を盗む手法を用いています。
- i このグループは、2022年から2025年にかけて、数百の組織に対して攻撃を行い、数億ユーロの損害を引き起こしました。国際的な法執行機関の協力により、容疑者の特定と逮捕が進められています。