FortiBleedキャンペーンにINC/Lynxランサムウェアが関与か:SOCRadarが関連を指摘 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > FortiBleedキャンペーンにINC/Lynxランサムウェアが関与か:SOCRadarが関連を指摘

デイリーサイバーアラート

Silobreaker-CyberAlert

ランサムウェア

脆弱性

FortiBleedキャンペーンにINC/Lynxランサムウェアが関与か:SOCRadarが関連を指摘

佐々山 Tacos

佐々山 Tacos

2026.07.02

FortiBleedキャンペーンにINC/Lynxランサムウェアが関与か:SOCRadarが関連を指摘

BleepingComputer – July 1, 2026

大規模な認証情報窃取キャンペーンFortiBleedに、INCおよびLynxランサムウェアグループが関与している可能性があるという。SOCRadarが報告した。

 

FortiBleedは、インターネットに公開された大量の認証情報を含むサーバーが見つかったことで発覚したキャンペーン。これらの認証情報は73,000台超のFortinetデバイスから盗まれたとされ、研究者らはこれにダウンロードされたFortiGateの構成設定ファイルが含まれることを特定したほか、パスワードハッシュの解析およびクレデンシャルスタッフィング攻撃に使われたインフラも発見している。

 

その後、このキャンペーンでは侵害されたFortiGateファイアウォールに対してパケットスニッフィングツール「FortiGate Sniffe」が使われていたとSOCRadarが報告。このツールにより、攻撃者はVPN認証情報やその他の認証データをネットワークトラフィックから直接傍受することができたと伝えていた。

 

そして今回、SOCRadarは新たな調査結果を7月1日に報告。これによれば、FortiBleedのインフラの一部として使われるWindowsサーバー1件の発見をきっかけに、同キャンペーンとINCおよびLynxランサムウェア・アズ・ア・サービス(RaaS)グループとの結びつきが発見されたという。

 

INCは2023年半ばから存在するRaaSプラットフォームで、世界各地の医療や教育、政府、その他業界の組織を標的にしてきた。一方Lynxは2024年半ばに登場したグループ。セキュリティ研究者たちの間では、新しい恐喝グループというよりINCランサムウェアがリブランドしたグループと考えられている。

 

SOCRadarは、「このサーバーの調査の過程で、収集された証拠データを分析した結果、攻撃者がLynxおよびINCの両ランサムウェアグループのランサムウェア交渉パネルにアクセスしていたことが判明した」と述べている。同社は、FortiBleedの攻撃中に収集された被害者情報が、後にINCランサムウェアのリークサイトに掲載された組織の情報と一致することも発見したとされる。

 

SOCRadarはまた、当初このキャンペーンに関連付けられていたもの以外に、さらに200台以上の稼働中のサーバーを特定したことや、FortiBleedの背後にいるグループが明確な役割分担を持つ約20人のメンバーで構成されていることを示唆する証拠を突き止めたこと、Nextcloudにおける未公開のゼロデイ脆弱性が悪用された可能性があることなども伝えている。

 

同社は、IoCやアトリビューションに関する証拠、そしてさらなる技術的分析を盛り込んだホワイトペーパーを今後リリース予定とのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ