トレンドマイクロは新たなサイバー犯罪の兆候としてランサムウェアのDragonForceを指摘しています。DragonForceの何が今後のサイバー脅威を予兆させるのでしょうか? そもそもDragonForceとはどのような脅威なのでしょうか?
リソースを提供、RaaSからカルテルへ
DragonForceは2023年にランサムウェア・アズ・ア・サービス(RaaS)として登場した脅威です。今年6月にイギリスの老舗百貨店のハロッズや大手小売チェーンのマークス&スペンサーなどを攻撃したことで名前が知られるようになりました。しかし、その実態は謎に包まれているようです。マレーシアを拠点とするハクティビストグループのDragonForce Malaysiaとの関係が取り沙汰されていますがDragonForce Malaysiaは関係を否定しているようです。バラクーダネットワークスのブログによると、DragonForceはロシア語圏の脅威アクターが使用しているツールを使っており、ロシアの匿名マーケットで積極的に活動し、アフィリエイトの規則ではロシアや旧ソ連諸国への攻撃が禁止されていることなどからロシアあるいはCIS(独立国家共同体)に紐づいた脅威との見方もあるようです。
バラクーダネットワークスのブログによると、DragonForceは2024年初頭にRaaSの運用を発表しアンダーグラウンドフォーラム等でアフィリエイトの募集を開始しましたが、2025年3月にカルテルとして活動していることを発表したということです。カルテルとしての活動とはどういうことでしょうか?一般にランサムウェアのRaaSというと実際の攻撃者であるアフィリエイトにツールや手法を提供してランサムウェア攻撃を行わせて、その結果、得られた収益の一部をアフィリエイトに分配するサイバー犯罪ビジネスの形態を言うわけですが、RaaSがランサムウェア攻撃の事実上の請負であるのに対して、カルテルはより緩やかな自由度の高いグループ間の結びつきを言うようです。DragonForceのカルテルのメンバーはDragonForceのリソースを活用しつつ独自の攻撃を行うことができ、必要に応じて協力、情報の共有を図る、そのような連合体がDragonForceによって形成されている、あるいはDragonForceがそのような連合体の形成を目指しているということです。
恐喝の電話スクリプトデータなど
トレンドマイクロによると、DragonForceは最近、カルテルの傘下グループに対してデータ分析サービスを行うことを発表したということです。これは恐喝の電話スクリプトや経営陣への手紙の草稿、疑似による法的分析のレポートなどでカルテルの傘下グループをサポートするためのデータ分析レポートになるようです。トレンドマイクロはDragonForceがデータ分析レポートの提供を開始したことについて、「解析エージェントの自作プロトタイプを開発する非常に近い仕組みを実運用している」と指摘しています。そして将来的にはサイバー犯罪、サイバー攻撃のAIエージェントが登場し、そのことによりサイバー犯罪の動向が大きく変化する可能性を指摘しています。
投資の世界などでは株価の予測や売買の判断をAIエージェントが行い、より優れたあるいは目的にかなったAIエージェントが求められている実態がすでにあるわけですが、アンダーグラウンドのサイバーコミュニティの世界においてもサイバー犯罪のためのAIエージェントが登場して脅威の動向に大きな変化をもたらすとトレンドマイクロは見ているようです。
【出典】
https://blog.barracuda.com/2025/06/09/dragonforce-ransomware-cartel-vs–everybody
https://www.sophos.com/en-us/blog/ransomware-groups-evolve-affiliate-models
TrendMicro「Vibe Crime エージェント型サイバー犯罪の次世代に向けた組織の備え」