概要

Check Point Researchは2026年4月28日、ランサムウェア「VECT 2.0」の詳細な分析レポートを公開した。同マルウェアには暗号化実装に致命的な欠陥があり、131,072バイト(約128KB)を超えるファイルを完全かつ永続的に破壊することが明らかになった。分析を担当したEli Smadja氏は「設計上はランサムウェアだが、結果的にワイパーとして機能している」と評しており、被害者が身代金を支払っても攻撃者側も復号できない状態であることを強調している。VECTはWindows・Linux・ESXiのマルチプラットフォームに対応しており、2025年12月にRaaS(Ransomware as a Service)として登場した。

暗号化実装の致命的な欠陥

VECTの暗号化エンジンはChaCha20-IETF(RFC 8439)を使用しているが、その実装に根本的な設計ミスがある。131KBを超えるファイルを暗号化する際、マルウェアはファイルを4つの独立したチャンク(それぞれ最大32,768バイト)に分割し、それぞれに固有のnonce(使い捨ての暗号乱数)を生成する。しかし、ディスクに保存されるのは最後のnonceのみであり、最初の3つのnonceは処理後に永久に破棄される。これにより、大容量ファイルの4分の3のデータは誰にも復号できない状態となる。

また、公式レポートではChaCha20-Poly1305 AEADを使用していると主張されているが、実際の実装にはPoly1305 MACによる認証機能が存在しない点も確認されている。131KB未満の小規模ファイルについては単一パスで暗号化され、nonceがファイル末尾に保存されるため技術的には復号可能だが、実際の企業データの大半(仮想マシンイメージ、データベース、バックアップファイルなど)は131KBを大幅に超えるため、被害の大部分は回復不能となる。

マルチプラットフォーム対応と主な機能

VECTはWindows・Linux・ESXiの3プラットフォーム向けのバリアントが単一のコードベースからコンパイルされており、暗号化エンジンの実装はすべて同一である。

Windowsバリアントでは、ローカルストレージ・リムーバブルメディア・ネットワーク共有フォルダを標的とする。防御回避手段としてWindows Defenderの無効化、ボリュームシャドウコピーの削除、イベントログのクリアを実行し、bcdeditを用いてセーフモード起動時も動作するよう設定する。横展開にはWMI・DCOM・SMB・リモートサービス・PowerShellリモーティングを利用する。

Linux/ESXiバリアントでは、Linuxはシステムルート(/)、ESXiはVMwareファイルシステムのマウントポイント(/vmfs/volumes)を標的とする。Oracle・MySQL・MongoDB・Docker・Veeam・Symantec・VMware製品など61のサービスを停止させ、/var/log以下のログファイルやシェル履歴を削除する。また、CIS諸国(旧ソ連圏)向けの地理的ジオフェンシング機能が実装されており、該当地域では攻撃を回避する設定になっている点が注目される。

なお、複数の「宣伝されている機能」(暗号化速度モードの切り替えなど)は実際には実装されておらず、セキュリティツール検出機能も無効化されたコンパイル分岐に存在するなど、技術的な成熟度の低さが随所に見られる。研究者らは、VECTが2022年に流出したランサムウェアのソースコードを元に構築されている可能性を指摘している。

運用モデルと被害状況

VECTはRaaSモデルで運営されており、新規アフィリエイトにはMoneroで250ドルの登録料が課される一方、CIS諸国からの参加は無料とされている。BreachForumsおよびサプライチェーン攻撃グループ「TeamPCP」との提携を公表しており、TeamPCPによるAqua Securityへのサプライチェーン攻撃を通じた被害も報告されている。ただし、2026年4月時点でダークウェブのリークサイトに掲載された被害組織数はごく少数にとどまっている。また、将来的にはクラウドストレージサービスを標的とした「Cloud Lockers」の開発も予告されている。

推奨対策

Check Point ResearchはVECT被害を受けた組織に対し、身代金の支払いは復旧戦略として機能しないことを明示的に警告している。推奨される対応策は以下のとおりだ。

  • 身代金を支払わない: 攻撃者側も技術的に復号不可能なため、支払いは無意味である
  • オフラインバックアップからの復旧: クリーンな状態のオフラインバックアップのみが有効な復旧手段となる
  • TeamPCPのサプライチェーン侵害の調査: 関連する侵害経路を確認する
  • 侵害された認証情報のローテーション: 速やかに実施する
  • IOC(侵害の指標)の確認: Check Pointが公開したSHA-256ハッシュ(ESXi: a7eadcf81dd6fda0dd6affefaffcb33b1d8f64ddec6e5a1772d028ef2a7da0f2 など)を用いて自組織環境を確認する