身代金を支払っても、ファイルは戻らない——そんな最悪のシナリオが現実になるランサムウェアが発見された。セキュリティ企業Check Pointの調査により、「VECT 2.0」ランサムウェアには暗号化処理の致命的なバグがあり、128KBを超えるほぼすべてのファイルを暗号化するのではなく永久に破壊していることが明らかになった。

VECT 2.0とは何者か

VECTはBreachForumsという犯罪フォーラム上でアフィリエイト(加盟)モデルを展開するRaaS(Ransomware-as-a-Service)だ。最近注目を集めているのは、Trivy、LiteLLM、Telnyxなどへのサプライチェーン攻撃を行ったとされるTeamPCPとのパートナーシップを宣言した点だ。欧州委員会への攻撃にも関与したTeamPCPの標的リストにある組織へのランサムウェア展開が主な狙いとされている。

バグの正体:nonce(ナンス)の上書き問題

技術的な核心はnonce(ナンス)の扱いにある。

暗号化においてnonceとは「一度しか使われない数値」で、同じ鍵でも毎回異なる暗号文を生成するために不可欠な値だ。VECT 2.0は大きなファイルをチャンク(分割ブロック)単位で処理して高速化を図っているが、すべてのチャンクが同一のメモリバッファを使いまわしてnonce出力を上書きしている

結果として:

  • 最後のチャンクのnonceだけがディスクに保存される
  • それ以前のチャンクのnonceは消滅
  • 復号できるのはファイルの末尾25%のみ
  • しかも失われたnonceは攻撃者側にも送信されていない

つまり攻撃者自身も復号鍵を持っていない。身代金を支払っても、技術的に復元は不可能だ。

「大容量ファイル」の定義が企業を直撃する

この問題が深刻なのは、「大容量ファイル」の閾値がわずか128KBだからだ。

Check Pointが指摘するように、128KBはメールの添付ファイル1つにも満たないサイズだ。つまり:

  • VMディスクイメージ → 完全消去
  • データベースファイル → 完全消去
  • バックアップアーカイブ → 完全消去
  • ExcelファイルやWord文書の大半 → 完全消去
  • メールボックス → 完全消去

「ランサムウェア被害を受けてもバックアップから戻せばいい」という想定が完全に崩れる。 バックアップ自体が狙われて消滅するからだ。

このバグはWindows・Linux・ESXiのすべてのVECT 2.0バリアントで確認されており、仮想化基盤を持つ企業は特に警戒が必要だ。

実務への影響:日本のIT管理者が今すぐすべきこと

バックアップの隔離を最優先で確認する

オンラインで接続されたバックアップはランサムウェアの格好の標的だ。3-2-1ルール(3コピー、2種類のメディア、1つはオフライン) を今すぐ見直し、オフラインまたはイミュータブル(変更不可)バックアップが実際に存在するかを検証してほしい。クラウドのバックアップも「ランサムウェアから本当に保護されているか」を改めて確認する価値がある。

サプライチェーン経由の侵入経路を見直す

TeamPCPとの連携を踏まえると、直接攻撃だけでなくOSSツールやSaaSプラットフォームを経由した侵入も考慮が必要だ。CI/CDパイプラインで利用するライブラリのセキュリティアドバイザリを定期的に確認する習慣をつけよう。

EDRの導入とネットワーク分離

ランサムウェアの展開前には必ず侵入・水平移動のフェーズがある。エンドポイント検出・対応(EDR)の導入と、重要サーバーのネットワーク分離が感染拡大の防止に直結する。

筆者の見解

セキュリティの話は細かい議論になりがちで積極的に書こうとはならないのだが、このVECT 2.0の件は「コードの品質問題が被害規模に直結する」という点でシンプルに興味深い事例だ。

皮肉なことに、攻撃者がこのバグを修正してVECT 3.0をリリースした場合、今度は正常に暗号化されるため「身代金を払えば戻る」状況になる。バグを直した版の方が、被害組織にとって「まだ選択肢が残る」という逆説が成立してしまう。

それ以上に気になるのはTeamPCPとの連携だ。Trivy(コンテナセキュリティスキャナ)への攻撃というのは象徴的で、「セキュリティツールそのものが攻撃ベクターになる」という現実をあらためて突きつけている。セキュリティ対策ツールを導入したから安全、という発想はもはや通じない。

ゼロトラストの原則でいえば、「信頼できる内部ネットワーク」などという概念はもはや存在しない。VECTのような攻撃が現実化している今、「今のところ大丈夫」という感覚こそが最大のリスクだと断言していい。バックアップの隔離とサプライチェーンリスクの把握——この2点だけでも、明日から見直す価値は十分にある。

出典: この記事は Broken VECT 2.0 ransomware acts as a data wiper for large files の内容をもとに、筆者の見解を加えて独自に執筆したものです。