セキュリティ研究者は、低プロファイルのランサムウェアグループがPolygonスマートコントラクトを利用して、その指揮命令・制御インフラを隠し、回転させていると指摘しています。概要* DeadLockランサムウェアは、2025年7月に初めて観測され、Polygonスマートコントラクト内に回転するプロキシアドレスを格納して、摘発を回避しています。* この手法はオンチェーンデータの読み取りだけに依存しており、Polygonや他のスマートコントラクトの脆弱性を悪用しているわけではありません。* 研究者は、この方法は安価で分散型であり、ブロックできるのが難しいと警告していますが、これまでのところ確認された被害者は限定的です。サイバーセキュリティ研究者は、最近特定されたランサムウェアの一種が、Polygonスマートコントラクトを異例の方法で利用しており、そのインフラの妨害が難しくなる可能性があると警告しています。2025年1月15日に公開されたレポートで、サイバーセキュリティ企業Group-IBの研究者は、DeadLockと呼ばれるランサムウェアが、Polygon (POL)ネットワーク上の公開読み取り可能なスマートコントラクトを悪用して、感染した被害者と通信するために使用されるプロキシサーバーのアドレスを格納・回転させていると述べています。DeadLockは2025年7月に初めて観測され、それ以来比較的低調に推移しています。Group-IBは、この運用には確認された被害者が限られており、既知のランサムウェアの提携プログラムや公開データ漏洩サイトとは関連付けられていないと指摘しています。その低い可視性にもかかわらず、同社は使用されている技術が非常に革新的であり、より確立されたグループによって模倣された場合、深刻なリスクをもたらす可能性があると警告しています。## 手法の仕組み従来のコマンド&コントロールサーバーに依存するのではなく、DeadLockは感染・暗号化されたシステムの後に特定のPolygonスマートコントラクトをクエリするコードを埋め込みます。そのコントラクトは、攻撃者と被害者間の通信を中継するために使用される現在のプロキシアドレスを格納しています。データはオンチェーンに保存されているため、攻撃者はいつでもプロキシアドレスを更新でき、マルウェアを再展開することなくインフラを迅速に回転させることが可能です。被害者はトランザクションを送信したりガス料金を支払ったりする必要はなく、ランサムウェアはブロックチェーン上での読み取り操作のみを行います。連絡が取れると、被害者には身代金要求とともに、支払いが行われない場合は盗まれたデータが売却されるという脅迫が送られます。Group-IBは、このアプローチにより、ランサムウェアのインフラがはるかに堅牢になると指摘しています。中央サーバーは存在せず、コントラクトのデータは世界中の分散ノードに残るため、摘発は格段に難しくなります。## Polygonの脆弱性は関与していない研究者は、DeadLockがPolygon自体や、分散型金融プロトコル、ウォレット、ブリッジなどのサードパーティスマートコントラクトの欠陥を悪用しているわけではないと強調しています。ランサムウェアは、単にブロックチェーンデータの公開性と不変性を悪用して設定情報を隠しているだけであり、これは以前の「EtherHiding」技術に似た手法です。Group-IBの分析によると、2025年8月から11月の間に、このキャンペーンに関連するいくつかのスマートコントラクトが展開または更新されています。現時点では活動は限定的ですが、同社はこの概念が他の脅威アクターによって無数のバリエーションで再利用される可能性があると警告しています。Polygonのユーザーや開発者は直接的なリスクに直面していませんが、研究者はこのケースが、公開ブロックチェーンがオフチェーンの犯罪活動を支援するために悪用される可能性を浮き彫りにしており、その検出と解体が難しいことを示しています。
ランサムウェアグループがPolygonを利用して摘発を回避
セキュリティ研究者は、低プロファイルのランサムウェアグループがPolygonスマートコントラクトを利用して、その指揮命令・制御インフラを隠し、回転させていると指摘しています。
概要
サイバーセキュリティ研究者は、最近特定されたランサムウェアの一種が、Polygonスマートコントラクトを異例の方法で利用しており、そのインフラの妨害が難しくなる可能性があると警告しています。
2025年1月15日に公開されたレポートで、サイバーセキュリティ企業Group-IBの研究者は、DeadLockと呼ばれるランサムウェアが、Polygon (POL)ネットワーク上の公開読み取り可能なスマートコントラクトを悪用して、感染した被害者と通信するために使用されるプロキシサーバーのアドレスを格納・回転させていると述べています。
DeadLockは2025年7月に初めて観測され、それ以来比較的低調に推移しています。Group-IBは、この運用には確認された被害者が限られており、既知のランサムウェアの提携プログラムや公開データ漏洩サイトとは関連付けられていないと指摘しています。
その低い可視性にもかかわらず、同社は使用されている技術が非常に革新的であり、より確立されたグループによって模倣された場合、深刻なリスクをもたらす可能性があると警告しています。
手法の仕組み
従来のコマンド&コントロールサーバーに依存するのではなく、DeadLockは感染・暗号化されたシステムの後に特定のPolygonスマートコントラクトをクエリするコードを埋め込みます。そのコントラクトは、攻撃者と被害者間の通信を中継するために使用される現在のプロキシアドレスを格納しています。
データはオンチェーンに保存されているため、攻撃者はいつでもプロキシアドレスを更新でき、マルウェアを再展開することなくインフラを迅速に回転させることが可能です。被害者はトランザクションを送信したりガス料金を支払ったりする必要はなく、ランサムウェアはブロックチェーン上での読み取り操作のみを行います。
連絡が取れると、被害者には身代金要求とともに、支払いが行われない場合は盗まれたデータが売却されるという脅迫が送られます。Group-IBは、このアプローチにより、ランサムウェアのインフラがはるかに堅牢になると指摘しています。
中央サーバーは存在せず、コントラクトのデータは世界中の分散ノードに残るため、摘発は格段に難しくなります。
Polygonの脆弱性は関与していない
研究者は、DeadLockがPolygon自体や、分散型金融プロトコル、ウォレット、ブリッジなどのサードパーティスマートコントラクトの欠陥を悪用しているわけではないと強調しています。ランサムウェアは、単にブロックチェーンデータの公開性と不変性を悪用して設定情報を隠しているだけであり、これは以前の「EtherHiding」技術に似た手法です。
Group-IBの分析によると、2025年8月から11月の間に、このキャンペーンに関連するいくつかのスマートコントラクトが展開または更新されています。現時点では活動は限定的ですが、同社はこの概念が他の脅威アクターによって無数のバリエーションで再利用される可能性があると警告しています。
Polygonのユーザーや開発者は直接的なリスクに直面していませんが、研究者はこのケースが、公開ブロックチェーンがオフチェーンの犯罪活動を支援するために悪用される可能性を浮き彫りにしており、その検出と解体が難しいことを示しています。