✅ レポートタイトル:脅威グループのプロファイリング:「Crimson Collective」
✅ レポートの要約:
📌 Crimson Collectiveとは?
- クリムゾン・コレクティブ (Crimson Collective) は、2025年9月に出現した国際的なサイバー脅威グループであり、ゲーム・通信・ソフトウェアなどの業界を対象に、金銭目的でデータの窃取および恐喝活動を行っています。
- 同グループは Telegram 上で盗んだデータのサンプルを公開し、被害企業に対して複数の連絡手段を通じて交渉を試みます。
- 2025年10月20日時点で、彼らの Telegram チャンネルには約2,200人の登録者が確認されています。
- 2025年9月には、日本のゲーム企業(以下、N社と記載)のウェブサイトを改ざんし、内部システムへのアクセスに成功したと主張して活動を開始しました。
- 2025年10月には、オープンソースソフトウェアを提供する企業(以下、R社と記載)に対してデータ漏えいを示唆し、身代金の支払いを要求しました。R社がこれを拒否すると、約800件の「顧客エンゲージメントレポート(CER)」のリストを公開しました。
- また、Scattered Lapsus$ Huntersと連携し、「恐喝サービス(Extortion-as-a-Service)」モデルを展開。R社に関するデータを「データリークサイト(DLS)」上で販売し、身代金交渉を進めると発表しました。
📌 活動タイムライン(時系列)
| No | 日付 (UTC+9) | 対象国 | 標的 | 概要 |
|---|---|---|---|---|
| 1 | 2025-09-24 11:06 | 日本 | N******* | ハッカー「crimson」が日本のゲーム企業N社のサブドメインtopicsを改ざん(Deface攻撃)。 |
| 2 | 2025-09-24 | - | - | Telegramチャンネル「Crimson Collective」を開設。 |
| 3 | 2025-09-24 23:30 | 日本 | N******* | N社への攻撃を主張。 |
| 4 | 2025-09-26 01:20 | メキシコ | Claro Colombia | メキシコの通信会社Claro Colombia(claro[.]com[.]co)への攻撃を主張。 |
| 5 | 2025-10-01 22:58 | アメリカ | R** H** | 米国ソフトウェア企業R社に脆弱性を報告したと主張。 |
| 6 | 2025-10-01 23:06 | アメリカ | R** H** | R社から28,000件のリポジトリおよび「顧客エンゲージメントレポート(CER)」を盗んだと主張。 |
| 7 | 2025-10-01 23:07 | アメリカ | R** H** | R社のインフラへ侵入し、ファイル構造を公開したと主張。 |
| 8 | 2025-10-01 23:14 | アメリカ | R** H** | 盗んだバックアップファイル「git[.]tar[.]gz」(570GB)のスクリーンショットを公開。 |
| 9 | 2025-10-06 03:20 | アメリカ | R** H** | Scattered Lapsus$ Huntersと連携し、R社関連のデータリークサイト(DLS)を開設。 |
| 10 | 2025-10-11 04:30 | ドイツ | Yunex Traffic | ドイツのモビリティ企業Yunex Trafficの1TBデータを販売すると主張。 |
| 11 | 2025-10-11 06:55 | タイ | JobThai | タイの求人プラットフォームJobThaiのS3バケットおよびユーザーデータベースを販売すると主張。 |
| 12 | 2025-10-11 10:27 | アメリカ、ブラジル | ChevroletDigital | ChevroletDigital(chevroletdigital-pp[.]accurate[.]com[.]br)の顧客ID、金融情報、証明書、内部メールを販売すると主張。 |
| 13 | 2025-10-11 10:35 | 日本 | N******* | N社から盗んだとされるスクリーンショットを公開。 |
| 14 | 2025-10-11 23:42 | コロンビア | Loteria de Medellin | Loteria de Medellin(loteriademedellin[.]com[.]co)の1TB(圧縮後)データを販売すると主張。 |
| 15 | 2025-10-13 23:58 | アメリカ | R** H** | R社のコンサルティングデータ販売を告知。 |
| 16 | 2025-10-13 23:58 | メキシコ | Claro Colombia | Claro Colombia(claro[.]com[.]co)のデータベース販売を告知。 |
| 17 | 2025-10-15 09:34 | アメリカ | R** H** | R社のコンサルティングデータを独占販売すると告知(価格: $70,000~$100,000)。 |
| 18 | 2025-10-15 09:34 | メキシコ | Claro Colombia | Claro Colombiaのデータベースを独占販売すると告知(価格: $20,000~$30,000)。 |
📌 主な活動内容
1) 日本のゲーム企業N社ウェブサイト改ざん
- (2025-09-24 11:06) 日本のゲーム企業N社のトピックドメインが、「crimson」と名乗るハッカーによって改ざんされました。
- (2025-09-24 23:30) Telegramチャンネル開設後、Crimson Collectiveは「found inside n******* data that mario got cucked by peach that was the final scenario」と投稿し、N社の内部システムにアクセスしたとみられるスクリーンショットを公開しました。
- (2025-10-11 10:35) Crimson Collectiveは「Who said we did not have n******* topics files?」と発言し、N社への侵入を裏付ける追加スクリーンショットを公開しました。
- 公開されたスクリーンショットには「infra-test」「mail」「dev」「production」「staging」などのフォルダーが確認されました。
- (2025-10-15) 日本の産経新聞によると、N社は「個人情報の漏えいは確認されておらず、事業データやシステム侵入の痕跡もない。一部の外部サーバーが改ざんされたが、顧客への影響はなかった」と回答しました。
2) オープンソースソフトウェア企業R社からのデータ窃取
- (2025-10-01 22:58) Crimson Collectiveは、R社のセキュリティチームに脆弱性を報告したが、回答がなかったと主張しました。
- (2025-10-01 23:06) Telegram上で「git[.]tar[.]gz」イメージを公開し、R社から約570GBのデータを盗んだと主張。28,000以上の内部リポジトリが対象だったと述べています。
- 盗まれたデータには、約800件の顧客エンゲージメントレポート(CER)が含まれており、ネットワーク情報や認証トークンなどの機密情報が含まれている可能性があります。
- (2025-10-03) R社は公式声明で「社内で使用されているGitLabインスタンスへの不正アクセスを確認。第三者が一部データをコピーした」と発表しました。
3) Scattered Lapsus$ Huntersとの連携
- (2025-10-06) Crimson Collectiveはデータ漏えいを公開した後、ShinyHuntersおよびScattered Lapsus$ Huntersとの協力を発表しました。
- (2025-10-10) Scattered Lapsus$ HuntersはCrimson Collectiveを代表してR社との交渉を進め、期限(現地時間10日)までに合意が得られなければデータを公開すると警告しました。
- (2025-10-16) Scattered Lapsus$ Huntersのデータリークサイト(DLS)は匿名ユーザーによって改ざんされ、アクセス不能になりました。
- 改ざんを行った匿名ユーザーは、かつてScattered Lapsus$ Huntersに攻撃されたChangeNOW社の元社員であり、事件の責任を問われ解雇された後、報復としてハッキングを行ったと述べました。
🧑💻 レポート作成者: S2W 「TALON」
👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact
*本レポートは、S2Wのプラットフォームにて提供されます。詳細はお問い合わせください。