FortiBleedキャンペーンにINC/Lynxランサムウェアが関与か:SOCRadarが関連を指摘
BleepingComputer – July 1, 2026
大規模な認証情報窃取キャンペーンFortiBleedに、INCおよびLynxランサムウェアグループが関与している可能性があるという。SOCRadarが報告した。
FortiBleedは、インターネットに公開された大量の認証情報を含むサーバーが見つかったことで発覚したキャンペーン。これらの認証情報は73,000台超のFortinetデバイスから盗まれたとされ、研究者らはこれにダウンロードされたFortiGateの構成設定ファイルが含まれることを特定したほか、パスワードハッシュの解析およびクレデンシャルスタッフィング攻撃に使われたインフラも発見している。
その後、このキャンペーンでは侵害されたFortiGateファイアウォールに対してパケットスニッフィングツール「FortiGate Sniffe」が使われていたとSOCRadarが報告。このツールにより、攻撃者はVPN認証情報やその他の認証データをネットワークトラフィックから直接傍受することができたと伝えていた。
そして今回、SOCRadarは新たな調査結果を7月1日に報告。これによれば、FortiBleedのインフラの一部として使われるWindowsサーバー1件の発見をきっかけに、同キャンペーンとINCおよびLynxランサムウェア・アズ・ア・サービス(RaaS)グループとの結びつきが発見されたという。
INCは2023年半ばから存在するRaaSプラットフォームで、世界各地の医療や教育、政府、その他業界の組織を標的にしてきた。一方Lynxは2024年半ばに登場したグループ。セキュリティ研究者たちの間では、新しい恐喝グループというよりINCランサムウェアがリブランドしたグループと考えられている。
SOCRadarは、「このサーバーの調査の過程で、収集された証拠データを分析した結果、攻撃者がLynxおよびINCの両ランサムウェアグループのランサムウェア交渉パネルにアクセスしていたことが判明した」と述べている。同社は、FortiBleedの攻撃中に収集された被害者情報が、後にINCランサムウェアのリークサイトに掲載された組織の情報と一致することも発見したとされる。
SOCRadarはまた、当初このキャンペーンに関連付けられていたもの以外に、さらに200台以上の稼働中のサーバーを特定したことや、FortiBleedの背後にいるグループが明確な役割分担を持つ約20人のメンバーで構成されていることを示唆する証拠を突き止めたこと、Nextcloudにおける未公開のゼロデイ脆弱性が悪用された可能性があることなども伝えている。
同社は、IoCやアトリビューションに関する証拠、そしてさらなる技術的分析を盛り込んだホワイトペーパーを今後リリース予定とのこと。
関連資料をダウンロード

デジタル時代における世界の紛争
地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...
-300x200.png)
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report
本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド
国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...














