新たに発見されたランサムウェアの一種は、Polygonのスマートコントラクトを利用してプロキシサーバーのアドレスの回転と配布を行い、デバイスへの侵入を図っていると、サイバーセキュリティ企業Group‑IBが木曜日に警告した。 このマルウェアはDeadLockと名付けられ、2025年7月に最初に特定されて以来、公開されたアフィリエイトプログラムやデータ漏洩サイトがなく、感染した被害者も限定的であるため、あまり注目されていないと同社は述べている。
🚨 DeadLock Ransomware: When Blockchain Meets Cybercrime
Group-IBは、ランサムウェアのプレイブックを書き換える洗練された新たな脅威を明らかにした。DeadLockはPolygonのスマートコントラクトを利用してプロキシアドレスを回転させる、ステルス性の高い、あまり報告されていない手法であり、従来の方法を回避している… pic.twitter.com/rlPu9gZd5F
— Group-IB Global (@GroupIB) 2026年1月15日
「低調でありながらも影響は小さいものの、革新的な手法を採用しており、進化するスキルセットを示している。これが組織によって真剣に受け止められなければ、危険な状況になる可能性がある」とGroup-IBはブログで述べている。 DeadLockがスマートコントラクトを利用してプロキシアドレスを配信する方法は、「攻撃者がこの手法の無限のバリエーションを実際に適用できる興味深い方法であり、想像力次第だ」と同社は指摘した。Group-IBは、北朝鮮のハッカーが用いた「EtherHiding」と呼ばれる類似の手法を強調した最近のGoogle Threat Intelligence Groupの報告書を引用している。
EtherHidingとは何か? EtherHidingは、昨年公開されたキャンペーンで、北朝鮮のハッカーがEthereumブロックチェーンを利用して悪意のあるソフトウェアを隠蔽・配布したものである。被害者は、しばしばWordPressのページなどの侵害されたウェブサイトを通じて誘導され、小さなJavaScriptの断片を読み込む。そのコードは、ブロックチェーンから隠されたペイロードを引き出し、攻撃者が高度に耐性のある方法でマルウェアを配布できるようにしている。 EtherHidingとDeadLockはともに、公開された分散型台帳を隠密チャネルとして再利用しており、防御側がブロックしたり解体したりするのが難しい。DeadLockは、定期的にIPを変更するサーバーである回転プロキシを利用しており、追跡やブロックを困難にしている。 Group‑IBは、「初期アクセスの経路や攻撃の他の重要な段階は現時点では不明な点が多い」と認めつつも、DeadLock感染は暗号化されたファイルに「.dlock」の拡張子を付け、デスクトップの背景を身代金のメモに置き換えると述べた。
新しいバージョンでは、被害者に対して敏感なデータが盗まれ、身代金を支払わなければ販売または漏洩の可能性があると警告している。これまでに少なくとも3つのバリアントが確認されている。 以前のバージョンは、いわゆる侵害されたサーバーに依存していたが、研究者は現在、グループが自前のインフラを運用していると考えている。ただし、最も重要な革新は、DeadLockがサーバーアドレスをどのように取得・管理しているかにある。
“Group-IBの研究者は、Polygonネットワーク上のスマートコントラクトとやり取りするJSコードをHTMLファイル内で発見した”と説明している。“このRPCリストには、Polygonネットワークやブロックチェーンとやり取りするためのエンドポイントが含まれており、アプリケーションを既存のノードに接続するゲートウェイとして機能している。” 最新のバージョンでは、被害者と攻撃者間の通信チャネルも埋め込まれている。DeadLockは、暗号化されたメッセージングアプリSessionのラッパーとして機能するHTMLファイルをドロップする。 “このHTMLファイルの主な目的は、DeadLockの運用者と被害者間の直接通信を促進することだ”とGroup‑IBは述べている。
