ランサムウェアグループ BlackSuitの身代金総額は約543億円

セキュリティニュース

投稿日時: 更新日時:

ランサムウェアグループ BlackSuitの身代金総額は約543億円

米国移民税関捜査局(ICE)ワシントンD.C.支局は2025年8月、米国内外の法執行機関と連携し、BlackSuit(ブラックスーツ)ランサムウェアの重要インフラを摘発・押収したと発表しました。

BlackSuitはRoyalランサムウェアの後継とされ、世界各地で重要サービスを狙った大規模な攻撃を展開してきました。

今回の作戦では、ランサムウェアの配布・被害者からの恐喝・不正資金洗浄に使用されていたサーバー、ドメイン、デジタル資産が押収されました。

被害規模と手口

  • 活動開始:Royal(2022年〜)および後継のBlackSuit

  • 既知の被害者数:米国内だけで450件以上

  • 被害業種:医療、教育、公共安全、エネルギー、政府機関など

  • 身代金総額推定3億7,000万ドル超(約543億円)(暗号資産換算)

  • 手口:二重脅迫(システム暗号化+窃取データの公開脅迫)

HSIサイバー犯罪センター副所長マイケル・プラド氏は、「サーバーの停止だけでなく、サイバー犯罪者が活動を続けるためのエコシステム全体を破壊することが重要だ」と述べ、今回の摘発が国際的な連携の成果であることを強調しました。

BlackSuit(ブラックスーツ)とは

BlackSuitは、2023年5月に活動を開始したロシア系のランサムウェア攻撃グループで、前身にあたる「Royal」や「Conti」といった凶悪な攻撃集団とのつながりが指摘されています。

攻撃対象は製造業、ヘルスケア、政府系機関など多岐にわたり、特定業種に偏らない無差別的な戦略を採用しています。

BlackSuitによるKADOKAWAへの攻撃概要

2024年6月、BlackSuitは日本の大手コンテンツ企業KADOKAWAグループを標的にサイバー攻撃を実行。ニコニコ動画などの主要サービスが長期にわたり停止に追い込まれました。

攻撃者はKADOKAWAのネットワークに約1ヶ月間潜伏し、eSXIやV-sphereといった制御基盤を通じてネットワーク全体を制圧、合計1.5TBに及ぶデータを窃取したと主張しています。

その後、リークサイトにて契約情報や個人情報、プロジェクトファイル、法的文書など多数のデータが公開され、N高生徒の個人情報や社員の私的保存フォルダからの情報漏洩が明るみに出ました。

KADOKAWAは公式には身代金支払いを否定していますが、NewsPicks等の報道では支払いの可能性が報じられ、信頼性への影響が懸念される事態となっています。

攻撃による影響とその後の対応

この攻撃によりKADOKAWAは2025年3月期に36億円の特別損失を計上。出版やMD事業、そしてニコニコ動画などのWebサービスに深刻な打撃を受けました。

2024年8月5日には主力サービスの一部が復旧し、9月以降に完全復旧が見込まれています。流出したとされる個人情報は最大で約25万人分に達する可能性があり、調査と通知対応が続いています。

KADOKAWAはその後、外部調査機関と連携しながら再発防止に向けたセキュリティ強化に着手。悪質な情報拡散への削除要請や法的対応も進めており、社会的信頼の回復を目指しています。

 

国際連携と捜査体制

この摘発は「Operation Checkmate」の一環として実施され、欧州刑事警察機構(Europol)のJoint Cyber Action Task Forceによって調整されました。
捜査には以下の国内外組織が関与しています。

  • 米国:HSI(ワシントンD.C.、ハーグ、フランクフルト、ロンドン、ブカレスト、サンディエゴ)、IRS-CIサイバー犯罪部門、FBI、司法省国家安全サイバー部門、バージニア東部・コロンビア特別区連邦検事局

  • 欧州:英国国家犯罪対策庁(NCA)、ドイツ・ニーダーザクセン州刑事局、アイルランド国家警察サイバー犯罪局、リトアニア刑事警察局、フランス国家警察サイバー犯罪対策室

  • その他:ウクライナ国家警察サイバー部門、カナダ連邦警察(RCMP)、カナダ・デルタ警察署

 

Chaosへリブランディングか

BlackSuitはChaosという新たなランサムウェアグループへのリブランディングを指摘されています。

Chaosは2025年2月頃にその活動が確認され、比較的新しいグループながら、既に複数の国・業種に対して攻撃を実施しています。特徴としては以下が挙げられます

  • ランサムウェアはWindows、Linux、ESXi、NAS環境に対応
  • ロシア語圏のダークウェブフォーラムRAMPで活動し、アフィリエイトを募集中
  • 一部の対象(BRICS/CIS諸国、政府、医療機関)は攻撃対象外と公表
  • 通信手段として専用のonionドメインとメールアドレスを提供
  • 被害企業に対してデータ漏洩とDDoSを併用して脅迫

このグループの手法には、既存のChaosビルダー系とは異なる独自性が見られ、過去に存在した同名のツールとは一線を画します。