✅ レポートタイトル:脅威グループのプロファイリング:「Everest」
✅ レポートの要約:
- 「Everest」は2020年末から活動を開始したグループであり、データ漏洩と企業ネットワークへの不正アクセス権の販売を並行して行い、法律関連産業を起点として複数の国・産業を攻撃してきました。
📌 「Everest」グループとはどのような組織ですか?
- 「Everest」は、2020年11〜12月頃から活動を開始したグループです。
- 2020年12月には、「Everest ransom team」という名称のリークサイトが公開されました。
- コロニアル・パイプライン攻撃を契機に、主要なハッキングフォーラムにおいてランサムウェア活動が禁止されたことを受け、2021年5月に「Everest」グループのリークサイトも運営を停止しました。
- コロニアル・パイプライン攻撃:2021年5月、米国の主要な石油パイプライン運営企業であるColonial Pipelineがランサムウェア攻撃を受け、操業を停止した事件です。FBIは、ロシアを拠点とするとされるランサムウェアグループ「DarkSide」が攻撃の背後にいると発表しました。
- 「Everest」は、被害企業から窃取したデータをリークするだけでなく、企業ネットワークへのアクセス権を販売するアクセスブローカーとしての活動も確認されています。
- 2025年4月には、リークサイト自体が攻撃を受けてアクセス不能となり、正体不明の攻撃者によってサイトが改ざんされ、風刺的な警告メッセージが表示される事案が発生しました。
📌 攻撃対象となっている主な国・地域
- アメリカおよびヨーロッパ諸国を中心に攻撃が確認されています。
- そのほか、日本、中国、台湾、タイ、ベトナム、韓国など、アジア地域の国々も攻撃を受けた形跡が確認されています。
📌 攻撃対象となっている主な産業
- 2020年から2022年にかけては、法律関連産業を主な標的としていました。
- この期間に確認された被害者のうち、35%以上が法律関連産業に属していました。
- その後、攻撃対象を拡大し、2025年10月にはアイルランドの空港およびアメリカの大手通信企業がリークサイトに掲載されました。
- 2025年12月には、台湾のコンピューター製造企業が感染したとみられる状況も確認されています。
- 2026年1月10日には、日本の大手自動車メーカーN社が、「Everest」のリークサイトに掲載されたことが確認されました。「Everest」グループは約900GBのデータを入手したと主張しており、6件のサンプル画像を公開した上で、1月18日にデータを公開するとしています。
「Everest」グループのリークサイト
📌 悪用している脆弱性や攻撃手法
- ランサムウェア「Everest」は、2018年から2020年にかけて使用されていたランサムウェア「Everbe」の変種とされています。
- ファイルの暗号化には、国際的に最も広く利用されている標準暗号方式である AES(Advanced Encryption Standard) が使用され、AESの復号鍵はさらに RSA 方式で暗号化されます。
- 暗号化されたファイルには、「EVEREST」という拡張子が付与されるとされています。
- また、Microsoftが提供するメモリダンプ取得ツール「ProcDump」を悪用し、ユーザーのログイン情報が保存されているLSASS(Local Security Authority Subsystem Service)プロセスのメモリ内容を抽出することで、個別システムの認証情報を窃取します。
- さらに、アカウント情報を集中管理するディレクトリサービスであるNTDS(New Technology Directory Services)に保存されている、Active Directory情報を含むデータベースのコピーを作成します。
- Active Directory:組織内のユーザーアカウントおよびアクセス権限を一元管理するWindowsベースのディレクトリサービスです。
本内容の一部は、日経クロステック(xTECH)にて毎月連載されているレポートを参照しています。詳細については、以下のリンクをご確認ください(有料)。
https://xtech.nikkei.com/atcl/nxt/column/18/03053/122200014
🧑💻 レポート作成者: S2W 「TALON」
👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact
*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。