イランの高度持続的脅威グループFox Kitten(UNC757)と関連するランサムウェア・アズ・ア・サービス(RaaS)グループPay2Keyが2025年2月にPay2Key.I2Pとして再浮上した。
同グループは2020年に初めて観測され、イスラエル組織への攻撃で知られていた。Pay2Key.I2Pは身代金ポータルと被害者通信にTorの代わりにInvisible Internet Project(I2P)を使用する初のランサムウェアグループである。
グループは2025年2月20日にロシアのダークウェブフォーラムで「Isreactive」名義でマーケティング攻勢を実施し、「イランの敵」に対する攻撃について、アフィリエイトの利益配分を70%から80%に引き上げた。
対象は主にイスラエルと米国である。2025年6月にはLinux対応版も追加された。4ヶ月間で51件の成功した身代金支払いを達成し、総額400万ドル以上を獲得、個別オペレーターは10万ドルの利益を得ている。MimicランサムウェアのELENOR-Corp亜種との技術的類似性も確認されている。
From: 
Pay2Key Ransomware Gang Resurfaces With Incentives to Attack US, Israel
【編集部解説】
今回のPay2Key.I2Pの再浮上は、単なるサイバー犯罪の枠を超えた、地政学的な緊張とサイバー戦争の融合を象徴する事案です。この動きを理解するためには、まず技術的な側面から解説していきましょう。
I2Pネットワークの戦略的意味
Pay2Key.I2Pが注目される理由の一つは、ランサムウェア・アズ・ア・サービス(RaaS)として初めてI2P(Invisible Internet Project)ネットワークを活用している点にあります。従来のランサムウェアグループの多くがTorネットワークを使用していたのに対し、I2Pの採用は技術的な進歩を示しています。
I2PはTorよりも匿名性が高く、特に双方向通信において優れた秘匿性を提供します。これにより、攻撃者と被害者間のコミュニケーション、アフィリエイトの管理、身代金の交渉などがより安全に行えるようになりました。
国家支援型APTとサイバー犯罪の境界線
Pay2Key.I2PとFox Kitten(UNC757)の関連性は、国家支援型の高度持続的脅威(APT)グループとサイバー犯罪組織の境界が曖昧になっている現実を浮き彫りにしています。Fox Kittenは2017年から活動しており、米国の学校、地方自治体、金融機関、医療施設を標的としてきました。
この融合により、従来の金銭目的のランサムウェア攻撃に、国家レベルの戦略的目標が組み込まれることになります。80%という高い利益配分は、純粋な経済的動機を超えた、イデオロギー的な目標達成への強いコミットメントを示しています。
RaaSビジネスモデルの革新
Pay2Key.I2Pは従来のRaaSモデルを革新しています。従来の開発者がツール販売のみで利益を得るモデルから、攻撃成功時の身代金全額を受け取り、実行者に一部を分配する新しいモデルに転換しました。
2025年2月20日にロシアのダークウェブフォーラムで「Isreactive」名義で投稿された募集では、1回の攻撃成功ごとに2万ドルの報酬が提示されており、この新しいビジネスモデルの実効性を示しています。
Mimicランサムウェアとの技術的連携
技術分析により、Pay2Key.I2PがMimicランサムウェアのELENOR-Corp亜種と多くの類似点を持つことが判明しています。これは単なる偶然ではなく、ランサムウェア・エコシステム内での技術共有や協力関係の存在を示唆しています。
具体的には、制限的なDACL(Discretionary Access Control List)の準備、プロセス権限の調整、監視プロセスの生成など、高度な回避技術が共通して実装されています。
サイバー戦争の新たなパラダイム
Pay2Key.I2Pの運営者が「停戦を破ることなくサイバー攻撃を実行できる」と主張している点は、現代のサイバー戦争における新たなパラダイムを示しています。物理的な軍事行動とサイバー攻撃の間に存在するグレーゾーンを巧妙に利用した戦略といえるでしょう。
この考え方は、サイバー空間における「戦争」と「平和」の概念を根本的に変える可能性があります。従来の国際法や軍事協定では対処しきれない新たな脅威の形態として注目されています。
経済的インパクトと業界への影響
4ヶ月で400万ドルという収益は、中小規模のランサムウェア組織としては驚異的な数字です。これは、地政学的動機と経済的インセンティブの組み合わせが、いかに効果的な動員力を持つかを示しています。
特に、個別オペレーターが10万ドルの利益を得ているという事実は、この種の活動への参加を促進する強力な経済的動機となっています。これにより、より多くのサイバー犯罪者がこの活動に引き寄せられる可能性が高まります。
防御側への技術的課題
Pay2Key.I2PがWindows Defenderの除外設定を悪用してアンチタンパリング防御を回避する手法は、従来のセキュリティ対策の限界を露呈しています。PowerShellスクリプトの難読化と組み合わせることで、検知を困難にする「盲点」を作り出しています。
Linux版の追加により、攻撃対象がさらに拡大し、企業のサーバーインフラストラクチャーも標的となる可能性が高まりました。これは、クロスプラットフォーム対応の包括的なセキュリティ戦略の必要性を強調しています。
地政学的背景と現在の情勢
この事案は、2025年5月から6月にかけてイランの脅威アクターによる攻撃が28件検出されるなど、現在の地政学的緊張の高まりと密接に関連しています。MuddyWater、APT33、OilRig、Cyber Av3ngers、Fox Kitten、Homeland Justiceといったイランのハッカーグループが、米国内の運輸・製造業組織を標的にしていることが確認されています。
長期的な地政学的影響
この事案は、サイバー空間における非対称戦争の新たな形態を示しています。国家支援型の攻撃グループが民間のサイバー犯罪者を動員し、経済的インセンティブと政治的目標を組み合わせることで、従来の抑止力を無効化する可能性があります。
今後、他の国家もこの手法を模倣する可能性があり、サイバー空間における「代理戦争」の常態化が懸念されます。これは、国際的なサイバーセキュリティ協力の枠組みや、サイバー攻撃に対する法的対応の見直しを迫る重要な転換点となるでしょう。
【用語解説】
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアを開発者が作成し、アフィリエイトが実際の攻撃を実行する分業モデル。開発者は技術提供、アフィリエイトは攻撃実行を担当し、身代金収益を分配する仕組みである。
高度持続的脅威(APT)
Advanced Persistent Threatの略。国家や組織が支援する高度なサイバー攻撃グループを指す。長期間にわたって標的に潜伏し、継続的に情報収集や破壊活動を行う特徴がある。
I2P(Invisible Internet Project)
Torと同様の匿名化ネットワーク技術。特に双方向通信において高い匿名性を提供し、ピアツーピア通信に特化している。Torよりも検知が困難とされる。
ハック・アンド・リーク攻撃
システムに侵入してデータを盗取し、身代金を要求すると同時に、支払いがない場合は盗んだ情報を公開すると脅迫する二重恐喝手法である。
侵害指標(IoC)
Indicators of Compromiseの略。サイバー攻撃の痕跡や特徴を示すデジタル証拠。IPアドレス、ファイルハッシュ、ドメイン名などが含まれる。
コマンド・アンド・コントロール(C2)
攻撃者がマルウェアに感染したシステムを遠隔操作するための通信チャネル。指令の送信や情報の収集に使用される。
PowerShell
Microsoftが開発したコマンドラインシェルとスクリプト言語。システム管理に使用されるが、攻撃者にも悪用される場合がある。
Windows Defender
Microsoft製のウイルス対策ソフトウェア。Windows OSに標準搭載されており、リアルタイムでマルウェアを検知・駆除する機能を持つ。
アンチタンパリング防御
セキュリティソフトウェアの設定や機能を無効化する攻撃を防ぐ保護機能。攻撃者による除外設定の追加などを阻止する。
Lemon Sandstorm
Microsoftが使用するFox Kittenの別名。同一のイラン系APTグループを指す異なる呼称である。
【参考リンク】
Morphisec(外部)
イスラエル発のサイバーセキュリティ企業。AMTD技術により未知の攻撃を予防的に防御するエンドポイントセキュリティソリューションを提供。
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)(外部)
米国国土安全保障省の機関で、国家のサイバーセキュリティとインフラ保護を担当。サイバー脅威に関する警告や対策情報を発信。
MITRE ATT&CK(外部)
サイバー攻撃の戦術、技術、手順を体系化したフレームワーク。セキュリティ専門家が脅威を分析・対策するための標準的な知識ベース。
Check Point Research(外部)
イスラエルのサイバーセキュリティ企業Check Pointの研究部門。最新のサイバー脅威に関する詳細な分析レポートを公開。
ClearSky Cyber Security(外部)
イスラエルのサイバーセキュリティ企業。中東地域のサイバー脅威に特化した分析を行い、APTグループの活動を追跡。
Nozomi Networks(外部)
OT(運用技術)セキュリティに特化したサイバーセキュリティ企業。産業制御システムやIoTデバイスのセキュリティソリューションを提供。
PRODAFT(外部)
スイスのサイバーセキュリティ企業。サイバー犯罪組織の追跡と分析に特化し、脅威インテリジェンスサービスを提供。
【参考記事】
Pay2Key’s Resurgence: Iranian Cyber Warfare Targets the West(外部)
Morphisecによる最新のPay2Key.I2P分析レポート。2025年2月の再浮上から4ヶ月で400万ドルを獲得した詳細な活動状況と技術的関連性を解説。
Iranian-Backed Pay2Key Ransomware Resurfaces with 80% Profit Share(外部)
The Hacker Newsによる包括的な分析記事。Pay2Key.I2PがI2Pネットワークを使用する初のRaaSプラットフォームとなった技術的意義を詳述。
イラン支援のPay2Keyランサムウェアが再登場、サイバー犯罪者に高額報酬(外部)
Black Hat Newsによる日本語解説記事。Pay2Key.I2Pの技術的特徴と地政学的背景、2025年2月20日のロシアダークウェブフォーラムでの活動開始について詳細に報告。
【編集部後記】
今回のPay2Key.I2Pの事案を通じて、サイバーセキュリティの世界が従来の「技術vs技術」の枠を超え、地政学的な複雑さを帯びてきていることを実感されたのではないでしょうか。
皆さんの組織では、このような国家支援型の脅威に対してどのような備えをされていますか?また、I2PのようなTorに代わる新しい匿名化技術の登場を、どのような視点で捉えていらっしゃるでしょうか。
私たちinnovaTopia編集部も、この急速に変化するサイバー脅威の状況を追いかけながら、技術の進歩が人類にもたらす光と影の両面を見つめ続けています。読者の皆さんと一緒に、この複雑な現代のテクノロジー環境を理解し、未来への備えを考えていければと思います。
