概要:合法ソフトウェアの悪用
ITソフトウェアとサイバー犯罪組織の間に驚くべき関連が浮上しました。最新の調査によると、「WantToCry」ランサムウェア集団の攻撃を分析したアナリストは、攻撃者が「WIN-J9D866ESIJ2」や「WIN-LIVFRVQFMKO」といった同一のコンピューター名(ホスト名)を持つ仮想マシン(VM)を使用していることに気づきました。これらの名前はランダムではなく、ウェブサーバー管理ソフトウェアを開発する合法企業ISPsystemの製品によって自動生成されたものでした。ISPsystemの「VMmanager」は顧客向けにWindowsサーバーを迅速に作成するためにホスティングプロバイダーによって利用されていますが、これらのテンプレートのデフォルト設定では、新しいサーバーすべてにまったく同じ名前が付けられるのです。この設計上の特異点がデジタル指紋となり、研究者がインターネット上で何千ものこれらのマシンを発見するきっかけとなりました。
「弾力性ホスティング」との繋がり
2025年後半、SophosLabsのアナリストは、いくつかのWantToCryリモートランサムウェア事件を調査しました。問題はソフトウェア自体ではなく、誰がそれを使用しているかです。研究者たちは、法律を無視し、犯罪サーバーのシャットダウンを拒否する特定の「弾力性(Bulletproof)」ホスティングプロバイダーが、悪意のある行為者にサーバーを販売するためにこのソフトウェアを購入していることを発見しました。
この疑わしいマシンの大半は、Stark Industries SolutionsとFirst Server Limitedという2つのプロバイダーによってホストされていました。Stark Industriesはロシアの国家支援型サイバー活動と関連付けられており、2025年5月には欧州連合から欧州諸国の不安定化を助長したとして制裁を受けています。また、MasterRDP(rdp.monsterとしても知られる)も特定され、これはアンダーグラウンドフォーラムでハッカー向けの匿名サーバーを公然と宣伝しています。
主要ホストと関連するサイバー犯罪グループ
特定のホスト名を使用しているデバイスのホスティングプロバイダーとホスト数は以下の通りです。
WIN-J9D866ESIJ2 ホスティングプロバイダー
- First Server Limited: 592ホスト
- Stark Industries Solutions Ltd: 576ホスト
- Zomro B.V.: 308ホスト
- Global Connectivity Solutions LLP: 189ホスト
- Kontel LLC: 148ホスト
2025年後半までに、これらの特定のISPsystem名を使用するインターネットに接続されたサーバーの95%以上がロシアに集中しており、わずか4つの異なるホスト名に関連していました。これらは小規模な詐欺だけでなく、LockBit、BlackCat (ALPHV)、Conti (過去のデータ)、Qilinなど、世界で最も危険なランサムウェア集団の活動拠点となっていました。あるケースでは、特定のサーバー名が、制裁対象の個人である「Bentley」(TrickBotおよびContiサイバー犯罪グループの既知のメンバー)に関連付けられていたことも判明しています。
WIN-LIVFRVQFMKO ホスティングプロバイダー
- Stark Industries Solutions Ltd: 634ホスト
- Zomro B.V.: 455ホスト
- First Server Limited: 414ホスト
- Partner Hosting LTD: 356ホスト
- JSC IOT: 355ホスト
この問題が持つ意味
何千ものサーバーが同じコンピューター名とデジタル証明書を共有していると、セキュリティチームがそれらを区別したり、攻撃の背後にいる人物を正確に特定したりすることが非常に困難になります。これにより、異なる犯罪グループが、同一の匿名サーバーの巨大なクラウドに隠れることが可能になります。
ISPsystemのソフトウェアは業界標準のツールですが、その低コストと使いやすさがサイバー犯罪経済にとって完璧な構成要素となっています。MasterRDPは、悪用を許容するインフラストラクチャ上でISPsystemの仮想マシンを悪意のある目的を持つ顧客にリースする、サイバー犯罪エコシステム内の多くのBPH(弾力性ホスティング)プロバイダーの1つに過ぎません。