S2W、活動再開した脅威グループ「Everest」を迅速に再プロファイリング
日本の製造業を狙う脅威を分析、標的産業・戦術の変化を特定1月18日の情報公開予告を受け警戒を呼びかけ
ダークウェブビッグデータ分析AI企業S2W(以下、S2W、代表:徐尚徳 ソ・サンドク)は、脅威グループ「Everest」による重大なサイバー攻撃を確認し、脅威アクターのプロファイリングを実施しました。2026年1月10日、日本の大手自動車メーカーが同グループのリークサイトに掲載され、約900GBのデータを窃取したと主張しています。「Everest」は、1月18日にデータを公開すると予告しており、日本の製造業全体に対する緊急の警戒が必要な状況です。
日本の大手自動車メーカーへの攻撃と迫る期限
S2Wの分析によると、2026年1月10日、脅威グループ「Everest」は日本の大手自動車メーカーを被害企業としてリークサイトに掲載しました。同グループは、約900GBの内部データを窃取したと主張し、すでに6件のサンプル画像を公開しています。さらに、1月18日にすべてのデータを公開すると明言しており、サプライチェーンや関連企業への影響拡大も懸念されます。
これは単一企業の問題にとどまらず、日本の基幹産業である製造業全体に対する重大な警告といえます。
脅威グループEverestとはどういった組織か
「Everest」は、2020年11〜12月頃から活動を開始した脅威グループです。2020年12月には「Everest ransom team」と名付けられたリークサイトを公開し、被害企業から窃取したデータの暴露を通じて金銭の要求を行ってきました。
2021年5月、米国のコロニアル・パイプライン攻撃を契機に、主要ハッキングフォーラムでランサムウェア活動が禁止されたことを受け、「Everest」は一時的に表立った活動を停止しました。しかし、その後も地下で活動を継続し、データ漏洩に加えて企業ネットワークへのアクセス権を販売する「アクセスブローカー」的な側面を強めていったことが確認されています。
さらに2025年4月には、「Everest」自身のリークサイトが第三者から攻撃を受け、一時的に改ざんされるという異例の事態も発生しました。こうした混乱を経て、同グループは再び活動を活発化させています。
日本を含むアジアの製造業へ拡大する標的
「Everest」は当初、法律関連産業を主要な標的としており、2020年から2022年にかけて確認された被害の35%以上が同分野でした。しかし近年は、攻撃対象を大きく拡大しています。
2025年以降、アイルランドの空港、米国の大手通信企業、台湾のコンピューター製造企業などが被害として確認されており、2026年に入り日本の製造業が明確な標的となったことが今回の事案で浮き彫りになりました。
脅威の手口:暗号化と認証情報窃取の組み合わせ
ランサムウェア「Everest」は、2018年から2020年にかけて拡散していた「Everbe」の亜種であると推定されています。
- ファイル暗号化にはAES(Advanced Encryption Standard)を使用
- AESの復号鍵をRSA方式でさらに暗号化する二重構造
- 暗号化されたファイルには「EVEREST」という拡張子を付与
加えて、同グループはMicrosoftが提供する「ProcDump」を悪用し、LSASSプロセスのメモリを取得することで、ユーザーの認証情報を窃取します。さらに、Active Directoryの中核データベースであるNTDSのコピーを作成し、組織全体のアカウント情報や権限構造を掌握する手口も確認されています。
これは単なるランサムウェア攻撃ではなく、長期的な侵入と二次被害を前提とした高度な侵害活動といえます。
一方、上記で言及しているランサムウェア「Everest」が、現在「Everest」グループによって使用されているランサムウェアであるかどうかは、現時点では特定されていません。
S2Wの分析と提言
S2Wは今回の事案を、「日本の製造業が国際的なサイバー犯罪の主要な標的となりつつあることを示している」と分析しています。今後も、グローバルな脅威インテリジェンスの分析を通じ、日本企業が直面するサイバーリスクを継続的に発信していきます。
🔗 記事詳細は、下記URLよりご確認いただけます。
🔗 民間企業・機関専用サイバー脅威インテリジェンスプラットフォーム:
https://s2w.inc/ja/product/pd02