ランサムウェアグループ Play（PlayCrypt）の活動実態とサイバー攻撃への対策|セキュリティニュース

投稿日時: 2025年06月10日更新日時: 2025年06月10日

2025年6月4日、FBI（米連邦捜査局）、CISA（米国サイバーセキュリティ・インフラセキュリティ庁）、およびオーストラリア信号局のサイバーセキュリティセンター（ASD’s ACSC）は、共同で「Playランサムウェア」に関する最新の技術情報と対策を含む勧告（CSA）を発表しました。

Play（別名：PlayCrypt）は、2022年6月以降、北米・南米・欧州の企業や重要インフラを標的に活発な攻撃を展開しているランサムウェアグループです。2024年は最も活動が多いグループの一つとされ、被害組織数は約900件（2025年5月時点）に上っています。

このグループは「二重脅迫」型攻撃を用い、データを窃取した後にシステムを暗号化。被害者に対しては、初期の身代金要求額を提示せず、個別の連絡手段（@gmx.de / @web.de）を通じて接触してくる手口を取ります。

さらに一部の被害者には電話連絡も行い、データ公開の脅しと共に身代金支払いを迫ってきます。

メディアリンクスの米国法人や伊藤園へのサイバー攻撃と不正アクセスを主張していました。

主な侵入経路とサイバー攻撃の手口：Playランサムウェアはどうやって侵入してくるのか？

Playランサムウェアの攻撃は、非常に現実的かつ巧妙な手段で始まります。企業や組織が気づかないうちに、脅威アクターが内部に入り込むための“入口”を見つけ、そこから少しずつ攻撃の準備を整えていくのです。

最もよく使われるのが、既に漏洩していたり盗まれたりした正規のアカウント情報を悪用する手口です。つまり、管理者や従業員になりすまして、正面からログインしてくるわけです。

また、VPNやリモートデスクトップ（RDP）の設定不備、あるいはFortiOSやMicrosoft Exchangeといったソフトウェアに存在する既知の脆弱性を突いて、外部から直接システムに侵入してくるケースも確認されています。

2025年には、リモート管理ソフト「SimpleHelp」の脆弱性（CVE-2024-57727）を悪用して、遠隔からコードを実行される被害も報告されています。

内部に入った攻撃者は、すぐにセキュリティソフトやEDR、監視ツールの無効化を試みます。Windows Defenderの設定変更や、セキュリティソフトのバイパスを行うためのスクリプトをPowerShellで実行したり、GMERやIOBitのような正規ツールを使って検知を回避します。

Playの攻撃者は、いきなりデータを暗号化したりはしません。まずは組織内のネットワークを調べ、他のサーバや端末にアクセスするための道を探ります。

その際に使用されるのが、PsExecやCobalt Strike、SystemBCなどのリモート実行ツールです。また、AdFindやWinPEASといった公開ツールを使って、Active Directoryの構造や権限情報を収集します。

Mimikatzを使ってドメイン管理者などの認証情報を抜き取り、企業全体に対して自由に操作できるようになります。重要なファイルはWinRARで分割圧縮され、WinSCPなどで外部のC2サーバへ転送されます。

攻撃の最終段階では、暗号化ツールを実行し、企業内の重要なデータを一斉にロック。ファイルの拡張子を「.PLAY」に変え、企業に圧力をかけるランサムノートを残します。

しかも、このランサムノートには金額の記載がなく、攻撃者との個別連絡を促すような手口を使っています。中には、電話までかけてきたケースも報告されており、心理的圧力も巧みに利用しています。

参照