サイバー犯罪フォーラムでは、VECTランサムウェアの話題で持ちきりだった。2025年12月のデビュー、TeamPCP――あのサプライチェーン破壊屋――やBreachForums自体との提携。アフィリエイトは身元確認なしでシステムへの鍵を受け取れるという。期待されていたのは? Windows、Linux、ESXi、さらにはクラウドロッカーまで視野に入れた、洗練されたクロスプラットフォームの怪物だ。
しかし、Check Point Researchがビルダーを分解したところ、事態は予想外の展開を見せる。VECT 2.0は大きなファイルを暗号化するのではなく、それを消滅させてしまうのだ。
VECTの暗号化は、なぜ失敗するのか?
その心臓部にあるのは、libsodiumの生のChaCha20-IETF。Poly1305 MACも、完全性チェックもない。公開されているレポートではこれをAEAD(認証付き暗号)と誤記していたが、そうではない。さらに悪いことに、131,072バイト(128KB)を超えるファイルの場合、コードは4つのチャンクに分割され、ノンスが生成されるが、そのうち3つは毎回破棄される。復旧? 不可能だ。攻撃者でさえもだ。
「暗号化実装における致命的な欠陥が、Windows、Linux、ESXiの全プラットフォームバリアントで同一に確認されており、131,072バイト(128KB)を超えるファイルごとに、4つの復号ノンスのうち3つが破棄されます。攻撃者を含め、誰にとっても完全な復旧は不可能です。」
これはCheck Pointの分析結果であり、公開されている全バージョンに対するものだ。エンタープライズVM、データベース、バックアップ――つまり、中身が詰まったものはすべて、永遠に失われる。小さな設定ファイル? 暗号化されるだろう。だが、誰がそんなガラクタのために身代金を払うだろうか?
これは孤立した問題ではない。Windows PE64、Linux ELF64、ESXi ELF64――すべてがこの欠陥のあるエンジンを共有している。単一のC++コードベースから移植され、ハードコードされた閾値が埋め込まれている。–fast、–medium、–secureといったフラグ? 解析されるものの、無視される。スピードモード? 幻想だ。
さらにバグは山積みだ。自己キャンセルされる難読化。到達不能なアンチ分析コード。パフォーマンスを向上させるどころか低下させるスレッドスケジューラ。表向きはプロフェッショナルだが、内実はアマチュアだ。
共有コードベースがVECTの全プラットフォーム展開を台無しにする理由
ランサムウェア開発者はクロスプラットフォーム展開を好む。コードを再利用して、より多くのターゲットを狙う。VECTの3つのバリアントは、libsodiumの静的リンク、コマンドラインフラグ、ラテラルムーブメント、そして同一の出力フォーマットに依存している。理論上は賢いやり方だ。
しかし、ここでの転換点は、その統一性が失敗を増幅するという点だ。ノンス処理の1つのミスが、すべてに波及する。暗号化コアに対するプラットフォーム固有の調整は一切ない。それは、同じ欠陥のある設計図から艦隊を建造するようなもの――1つのリコールがすべてを沈めるのだ。
Check PointはBreachForums経由でビルダーへのアクセスを入手した。Windows、Linux、ESXiのペイロードを生成し、確認した。結果は同じ:同じ4チャンク処理、同じ閾値、同じゴミのようなノンス時計仕掛けだ。
背景には皮肉がある。VECTは2026年1月に最初の被害者を主張しており、これはTeamPCPのTrivy、KICS、LiteLLM、Telnyxへの注入の直後だ。BreachForumsの投稿は提携を自慢し、フォーラムユーザーに自由な行動を約束していた。リークサイト? 被害者は2名のみ、どちらもそれらのチェーンからだ。野心的なマーケティングだが、結果は薄い。
バージョン2.0は2026年2月。C++でゼロから開発したと豪語していた。クラウドロッカーはクイズを通じて匂わせられていた。しかし、パネルにはまだ姿を見せないデータ漏洩ツールがある。
VECTの話題は単なるランサムウェア劇場なのか?
提携関係を見てみよう。TeamPCPのサプライチェーン攻撃は注目を集め、VECTはその波に乗った。BreachForumsとの契約はアクセスを民主化する――全ユーザーがアフィリエイトになれる。審査なし、手数料なし。大胆な試みだ。
しかし、被害者はたった2名? それではスケールしない。ワイパーの欠陥がそれを説明している。VMディスクやデータベースを攻撃すれば――消滅だ。復号ツールは売れない。被害者は姿を消す。キャッシュフローは枯渇する。
ユニークな洞察:これはWannaCryのバックドアの失態を彷彿とさせる。覚えているか? Shadow BrokersがEternalBlueをリークし、北朝鮮のおもちゃが誤ってキルスイッチドメインを残してしまった。世界的な混乱はあったが、自己破壊がそれを無力化した。VECTのノンス廃棄はキルスイッチではないが、同じようなものだ:開発者が自らの武器を無力化する。予測? アフィリエイトはすぐに逃げ出すだろう。フォーラムで噂が広まるにつれ、RaaSの離脱が急増する。VECTは過剰な約束をしたオペレーションの墓場に加わるだろう。
PRの言い分は洗練されていると呼ぶ。Check Pointはそれを剥がす:誤って特定された暗号、無視されたフラグ、パフォーマンスを殺すスケジューラ。ファサードは崩壊する。
リサーチからの表はプラットフォームをまとめている:
| プロパティ | Windows | Linux | ESXi |
|---|---|---|---|
| アーキテクチャ | PE64 (x86-64) | ELF64 (x86-64) | ELF64 (x86-64) |
| ツールチェーン | MinGW-w64 / C++ | GCC / C++ | GCC / C++ |
| 暗号ライブラリ | libsodium (静的 |
さらに掘り下げると、その理由が明らかになる。RaaSのプレッシャー鍋――マルチプラットフォーム化を急ぎ、手抜きをする。libsodiumの力が誤用されている:認証のない生のChaCha20はこのような事態を招く。ノンスの再利用? 実践では壊滅的だ。128KBの閾値では、実際のデータに対するワイパーとなる。
防御側はここで勝利する。VECTの痕跡――静的libsodium文字列、フラグパターン――を発見し、笑うがいい。復号ツールがなければ、支払うインセンティブはない。しかし、転換点は? ランサムウェアは信頼性の向上に向かって進化しているが、バグが暗号化ツールを消去ツールに変えるとき、それは失敗する。
これはエンタープライズ防御にとって何を意味するか?
ESXiの標的化はリスクを高める――ハイパーバイザーへの攻撃は連鎖する。しかし、欠陥はそれを平準化する。インシデントレスポンスチーム:ビルダーのシグネチャを狩り、部分的な暗号化(小さなファイルは無事)を監視すること。
攻撃者は方向転換するか? おそらく。しかし、信頼は損なわれる。アフィリエイトは審査済みのツールを要求する。VECTのリークサイトの停滞は、トラブルの叫びだ。
アーキテクチャの兆候:単一エンジンのポートは、監査よりも速度を優先する。将来のRaaS? サイロ化されたプラットフォーム、あるいはより厳格なテストが予想される。あるいは、さらなる wipeout(壊滅)だ。
Threat Digestウォッチ:クラウドロッカーがドロップされた場合、同じエンジンか? 災害を待つようなものだ。
🧬 関連インサイト
- さらに読む: Big Tech’s Scammer Sloth: A Security Week in Review
- さらに読む: Storm-1175’s Zero-Day Rampage: China Hackers Dropping Medusa Ransomware in Record Time
よくある質問
VECTランサムウェアとは?
VECTは2025年12月に開始されたRaaSオペレーションで、BreachForumsのアフィリエイトを通じてWindows、Linux、ESXiのペイロードを提供している。
なぜVECTは大きなファイルを復号できないのか?
128KBを超えるファイルの場合、バグにより復号ノンスが破棄され、全バリアントでChaCha20実装における欠陥のある4チャンク処理が使用されるためだ。
この欠陥にもかかわらず、VECTは依然として脅威か?
小さなファイルは正常に暗号化されるが、意味のあるデータは永久に消去される――ほとんどのターゲットにとって、身代金の有効性を著しく低下させる。
