【徹底解説】RansomHouse（ランサムハウス）とは？「善意の仲介者」を装う新たな脅威の手口と対策

近年、サイバーセキュリティの世界では、従来の「データを暗号化して身代金を要求する」という単純な図式から逸脱した、より巧妙で心理的な攻撃手法が目立つようになってきました。その中でも特に異彩を放ち、多くの企業や組織を震撼させているのが「RansomHouse（ランサムハウス）」と呼ばれるグループです。彼らは自らを単なる犯罪者集団ではなく、「プロフェッショナルな仲介者」や「セキュリティ監査の代行者」であるかのように振る舞い、被害組織の脆弱性を指摘するという名目で巨額の金銭を要求します。

2021年末頃から活動が確認され始めたこのグループは、AMDやKeringといった世界的な大企業を標的にし、その名を轟かせました。彼らの最大の特徴は、被害者の心理を巧みに操る交渉術と、暗号化を行わずにデータを盗み出すことに特化した攻撃スタイル、そして必要に応じて「Mario」や「White Rabbit」といった独自のランサムウェアを使い分ける柔軟性にあります。

この記事では、RansomHouseがどのような組織であり、具体的にどのような手口で攻撃を仕掛けてくるのか、そして私たち企業や組織はどのようにして彼らの魔の手から身を守ればよいのかを、専門的な知見を交えながら徹底的に解説していきます。単なるニュースの解説にとどまらず、実際の防御策に役立つ具体的な情報を提供しますので、ぜひ最後までお読みいただき、自組織のセキュリティ対策にお役立てください。

RansomHouseとは何か？その正体と起源

RansomHouseは、2021年12月頃に初めてその存在が確認されたサイバー犯罪グループです。彼らは当初から、既存のランサムウェアグループとは一線を画す独自のブランディングを行ってきました。多くのランサムウェアグループが「RaaS（Ransomware-as-a-Service）」という、攻撃ツールを貸し出すビジネスモデルを採用しているのに対し、RansomHouseは自らを「データ漏洩のマーケットプレイス」や「交渉のプラットフォーム」として位置づけています。

「私たちはランサムウェアグループではない」という主張

彼らの最も奇妙で、かつ厄介な点は、「自分たちはランサムウェアを使って攻撃するグループではない」と公言していることです。彼らの主張によれば、彼らはあくまで「セキュリティが脆弱な企業を見つけ、そのデータを管理しているだけ」であり、身代金の要求は「バグバウンティ（脆弱性報奨金）」の一種であるという理屈を展開します。

公式サイトや犯行声明文において、彼らはしばしば被害企業のセキュリティ管理者や経営陣を痛烈に批判します。「これほど杜撰な管理をしていれば、誰かが侵入するのは時間の問題だった」「私たちは親切にも、その脆弱性を教えてあげているのだ」といった、極めて独善的かつ挑発的なメッセージを発信するのが特徴です。これは、被害者に罪悪感や焦燥感を植え付け、支払いに応じやすくさせるための高度な心理戦術（ソーシャルエンジニアリング）の一環と考えられます。

組織構造とメンバーシップ

RansomHouseの正確な組織構造は謎に包まれていますが、セキュリティ研究者の分析によると、彼らは単一の固定されたメンバーによる集団というよりは、緩やかに連携した複数のハッカーやペネトレーションテスター（侵入テスト担当者）の集合体である可能性が高いとされています。

彼らはTelegramなどのチャットツールを積極的に活用し、情報発信や交渉を行います。また、他のランサムウェアグループ（例えばWhite RabbitやMarioなど）と密接な関係を持っており、状況に応じてそれらのグループのツールを借用したり、逆に自分たちのプラットフォームを他の攻撃者に提供したりしている形跡があります。これは、彼らが「犯罪のエコシステム」の中でハブ（中継点）のような役割を果たしていることを示唆しています。

独自の手口：暗号化しない脅迫と「Mario」の影

RansomHouseの攻撃手法は多岐にわたりますが、大きく分けて「データ窃取のみを行うパターン」と「ランサムウェアを用いて暗号化も行うパターン」の2つが存在します。

データ窃取特化型の脅迫（ノーウェアランサム）

初期のRansomHouseの攻撃の多くは、ファイルを暗号化してシステムを使えなくするのではなく、機密データを盗み出し、それを公開すると脅す手法（Data Exfiltration）に重点を置いていました。これは「ノーウェアランサム（No-ware Ransom）」とも呼ばれる手法です。

暗号化を行わないことには、攻撃者にとっていくつかのメリットがあります。

• 検知回避: 大量のファイルを暗号化するプロセスはCPU負荷が高く、セキュリティソフトに検知されやすいですが、データのコピー（窃取）だけであれば、通常の業務通信に紛れ込ませやすく、発覚が遅れる可能性があります。
• 復号の手間削減: 暗号化キーの管理や、被害者が支払った後の復号ツールの提供といった技術的なサポートコストを削減できます。
• 「善意」の演出: 「システムは破壊していない、ただデータを預かっているだけだ」と主張することで、交渉のテーブルにつきやすくする狙いがあります。

独自ランサムウェア「Mario」と「White Rabbit」

しかし、彼らはデータ窃取だけにとどまりません。交渉が難航した場合や、より強い圧力をかける必要がある場合には、ランサムウェアを使用してファイルを暗号化します。ここで使用されるのが「Mario（マリオ）」や「White Rabbit（ホワイトラビット）」と呼ばれるランサムウェアです。

特に「Mario」ランサムウェアは、RansomHouseとの関連が強く疑われています。このランサムウェアは、イタリアのゲームキャラクターを連想させる名前ですが、その機能は凶悪です。Go言語やC++で記述されており、WindowsやLinux（ESXi）環境で動作します。暗号化されたファイルには「.mario」という拡張子が付与されることが確認されています。

また、「White Rabbit」は、悪名高いFin7というサイバー犯罪集団との関連も指摘されている高度なランサムウェアです。RansomHouseがこれらのツールを使用しているという事実は、彼らが単なる「仲介者」ではなく、強力な攻撃能力を持った危険な集団、あるいはそうした集団と強力なコネクションを持つ組織であることを証明しています。

攻撃の侵入経路と技術的特徴（TTPs）

RansomHouseがどのようにして企業のネットワークに侵入するのか、その技術的な手口（TTPs: Tactics, Techniques, and Procedures）を理解することは、防御策を講じる上で極めて重要です。

既知の脆弱性の悪用

彼らは、VPN機器やリモートデスクトップ接続（RDP）などの、外部に公開されているサービスの脆弱性を徹底的に突いてきます。特に、パッチが適用されていない古いシステムは格好の標的となります。

過去の事例やセキュリティレポートによると、以下のような脆弱性が悪用される傾向にあります。

• Citrix NetScaler/ADCの脆弱性: リモートアクセス製品の脆弱性を突き、認証を回避して内部ネットワークへ侵入します。
• VMware Horizonの脆弱性: Log4Shellなどの有名な脆弱性が悪用されるケースもあります。
• Fortinet製品の脆弱性: SSL-VPN製品の未修正の脆弱性が狙われます。

彼らは、インターネット全体をスキャンし、これらの脆弱性が放置されているサーバーを自動的に探し出します。そして、侵入に成功すると、そこを足掛かり（Initial Access）として内部ネットワークの探索を開始します。

認証情報の窃取とラテラルムーブメント

侵入後、彼らはすぐにランサムウェアを展開するわけではありません。まずはネットワーク内を慎重に移動（ラテラルムーブメント）し、管理者権限を持つアカウントの奪取を試みます。

この際、彼らは「Mimikatz」などのツールを使用してメモリ上のパスワードハッシュを盗んだり、Active Directory（AD）サーバーを攻撃してドメイン全体の制御権を奪おうとしたりします。また、正規の管理ツール（PowerShellやPsExecなど）を悪用する「Living off the Land（環境寄生型）」攻撃を行うことで、セキュリティソフトによる検知を回避しようとします。

データの特定と持ち出し

管理者権限を奪取した後、彼らは組織にとって最も価値のあるデータ（顧客情報、知的財産、財務データなど）がどこにあるかを特定します。そして、それらのデータを圧縮し、クラウドストレージサービス（MEGAやGoogle Driveなど）や、彼らが用意したサーバーへと密かに転送します。

このデータ転送の際にも、通信量を調整したり、業務時間外に行ったりすることで、ネットワーク監視システムのアラートに引っかからないよう細心の注意を払います。

被害事例から見る脅威の深刻さ

RansomHouseの脅威をより具体的に理解するために、いくつかの象徴的な被害事例を見てみましょう。これらの事例は、彼らがターゲットを選ばず、あらゆる業種に対して攻撃を仕掛けることを示しています。

半導体大手AMDへの攻撃

2022年、RansomHouseは半導体大手のAMDから約450GBのデータを盗み出したと主張しました。彼らは、AMDの従業員が使用していた単純なパスワード（「password」や「123456」のようなもの）を嘲笑し、セキュリティ意識の低さを公然と批判しました。

この事件では、実際に一部のデータがリークサイトで公開されました。AMD側は「ビジネスへの重大な影響はない」と発表しましたが、世界的なテクノロジー企業であっても、基本的なパスワード管理の不備を突かれれば被害に遭うという事実は、多くの企業に衝撃を与えました。

高級ブランドグループKeringへの攻撃

GucciやSaint Laurentなどを傘下に持つ高級ブランドグループKeringも、RansomHouseの標的となりました。このケースでは、ブランドの機密情報やデザインデータなどが盗まれた可能性があります。高級ブランドにとって、未発表のデザインや顧客リストの流出は、ブランドイメージの毀損に直結する重大なリスクです。

医療機関への攻撃

さらに深刻なのは、病院や医療機関への攻撃です。2023年から2024年にかけて、スペインの主要な病院などがRansomHouseの攻撃を受け、患者の診療記録や個人情報が盗まれる事件が発生しました。医療機関への攻撃は、単なる金銭的被害にとどまらず、手術の延期や救急受け入れの停止など、人命に関わる深刻な事態を引き起こします。

RansomHouseは「病院は攻撃しない」といった倫理規定を掲げるグループもいる中で、比較的無差別に、あるいは支払能力があると判断すれば医療機関であっても容赦なく攻撃する傾向が見られます。

なぜRansomHouseは「被害者のせい」にするのか？

RansomHouseの特異な点は、その「ナラティブ（語り口）」にあります。彼らは犯行声明の中で、執拗に「被害企業のセキュリティ担当者の怠慢」を強調します。

「我々は犯罪者ではない。セキュリティ監査を行い、その対価を求めているだけだ」
「もし管理者がパスワードを適切に設定していれば、こんなことにはならなかった」
「我々に支払う金額は、情報漏洩による制裁金や信用の失墜に比べれば安いものだ」

このような主張は、一見すると理不尽な言い訳に聞こえますが、実は計算された交渉戦術です。

1. 責任転嫁: 被害企業の経営陣に対し、「悪いのは攻撃者ではなく、無能なIT担当者だ」と思わせることで、組織内の分断を図ります。
2. 正当化: 自分たちの行為を「ビジネス取引」や「コンサルティング」の枠組みに当てはめることで、被害者が身代金を支払う際の心理的ハードル（犯罪者に金を渡すという罪悪感）を下げようとします。
3. 恐怖の増幅: 「我々はプロであり、あなたの弱点をすべて知っている」と誇示することで、支払いを拒否した場合の報復（全データの公開など）が確実に実行されるという恐怖を与えます。

企業がとるべき防御策と対策

RansomHouseのような高度な攻撃者に対抗するためには、従来の境界型防御（ファイアウォールで守るだけ）では不十分です。多層的な防御と、侵入されることを前提とした対策（ゼロトラスト）が必要です。

1. 脆弱性管理の徹底（パッチマネジメント）

RansomHouseは既知の脆弱性を悪用します。したがって、VPN機器、ファイアウォール、サーバーOSなどのセキュリティパッチを迅速に適用することが最も基本的な、かつ効果的な対策です。特に、外部からアクセス可能な機器（境界デバイス）の更新は最優先で行う必要があります。

2. 多要素認証（MFA）の導入

パスワードだけの認証は、もはやセキュリティとは言えません。VPN接続やクラウドサービスへのアクセス、管理者アカウントのログインには、必ず多要素認証（MFA）を導入してください。これにより、万が一パスワードが盗まれたり推測されたりしても、攻撃者の侵入を防ぐことができます。

3. アカウント管理と権限の最小化

「特権ID」の管理を厳格化しましょう。不要な管理者アカウントは削除し、必要な場合でも作業が終われば権限を剥奪する運用が望ましいです。また、Active Directoryのセキュリティ設定を見直し、攻撃者がネットワーク内を自由に移動できないように制限をかけることも重要です。

4. データのバックアップとオフライン保管

ランサムウェアによってデータが暗号化された場合に備え、定期的なバックアップは必須です。しかし、RansomHouseはバックアップデータも狙って破壊や削除を試みます。そのため、バックアップはネットワークから切り離された場所（オフライン、またはイミュータブルなクラウドストレージ）に保管する「3-2-1ルール」を徹底してください。

5. 従業員教育とフィッシング対策

技術的な対策だけでなく、人の脆弱性を突く攻撃への対策も不可欠です。不審なメールを開かない、怪しいリンクをクリックしないといった基本的なセキュリティ教育を定期的に実施し、従業員の意識を高めることが重要です。

6. EDR/XDRの導入と監視

侵入を100%防ぐことは不可能です。そのため、侵入された後にいち早く検知し、対処するための仕組みが必要です。EDR（Endpoint Detection and Response）やXDR（Extended Detection and Response）などのソリューションを導入し、24時間365日の監視体制（SOC）を構築することで、被害を最小限に抑えることができます。

今後の展望：進化する脅迫ビジネス

RansomHouseの登場は、サイバー犯罪のエコシステムが変化していることを象徴しています。彼らは、高度な技術力と巧みな交渉術、そして「メディア戦略」を組み合わせることで、効率的に収益を上げています。

今後、2025年から2026年にかけて、以下のようなトレンドが予想されます。

• 二重・三重脅迫の常態化: データの暗号化だけでなく、窃取したデータの公開、DDoS攻撃、さらには被害企業の顧客やパートナー企業への直接的な連絡など、多角的な圧力をかける手法が標準化するでしょう。
• AIの悪用: 攻撃メールの作成や、脆弱性の探索、さらには交渉の自動化に生成AIが悪用されるリスクが高まっています。これにより、攻撃の精度と頻度がさらに向上する恐れがあります。
• リークサイトの高度化: 盗んだデータを検索可能な形で公開したり、競合他社に販売したりするなど、データ漏洩のプラットフォーム機能が強化される可能性があります。

結論：正しく恐れ、正しく備える

RansomHouseは、「善意の仲介者」を装う極めて悪質な犯罪集団です。彼らの言葉に惑わされてはいけません。彼らの目的は金銭であり、企業のセキュリティ向上ではありません。

しかし、彼らが指摘するように、多くの企業に基本的なセキュリティの不備があることも事実です。私たちは、彼らのような攻撃者の存在を「他山の石」とし、自組織のセキュリティ対策を根本から見直す機会と捉えるべきです。

「自分たちは狙われないだろう」という正常性バイアスを捨て、「いつか必ず狙われる」という前提に立って対策を進めること。それが、RansomHouseのような脅威から組織を守る唯一の道です。