セキュリティ研究者は、ランサムウェアの運用がPolygonのスマートコントラクトを利用して持続的な指揮命令系統を維持し、従来の排除努力を効果的に回避する革新的かつ懸念すべき手法を発見しました。このコードベースのアプローチは、サイバー犯罪者がブロックチェーン技術を犯罪目的で武器化する方法において大きな転換点を示しています。サイバーセキュリティ調査会社のGroup-IBは、2025年中頃に初めて観測されたDeadLockランサムウェアの亜種がこの新たな手法を採用していることを、1月15日に報告しました。従来のランサムウェア運用が中央集権的なサーバーに依存し、それが妨害されやすいのに対し、この脅威は公開されたスマートコントラクトを利用して回転するプロキシアドレスを保存・管理し、分散型のアーキテクチャを構築しているため、無効化が非常に困難です。## ランサムウェアコードはブロックチェーンを通じてどのように検出回避を実現しているかこの技術的アプローチは一見単純に見えるものの、非常に効果的です。DeadLockが被害者のシステムに侵入し暗号化ペイロードを実行すると、マルウェアには定期的に特定のPolygonスマートコントラクトをクエリするように組み込まれたコードがあります。このコントラクトは動的設定ストアとして機能し、攻撃者と感染システム間の通信チャネルを可能にする現在のプロキシサーバーアドレスを保持しています。このアーキテクチャの優雅さは、その分散性にあります。攻撃者はスマートコントラクト内のプロキシアドレスをいつでも更新でき、マルウェアの再展開を必要とせずにインフラを継続的に回転させることが可能です。重要なのは、ランサムウェアはブロックチェーン上で読み取り操作のみを行い、トランザクションやガス料金は発生しません。この読み取り専用の性質により、操作はステルス性を保ちつつ経済的にも効率的です。プロキシの回転メカニズムは、従来の法執行機関による排除手段では容易に断ち切れない、堅牢で自己更新型の通信基盤を生み出します。各プロキシの変更はオンチェーン上に不変に記録される一方、即座に機能し続けるため、防御側は常に変化するターゲットを追い続ける必要があります。## なぜこのコード戦略は従来の防御を回避できるのかこの脅威モデルは、従来のランサムウェアインフラとは根本的に異なります。従来のコマンド&コントロールサーバーは、特定の場所に存在し、妨害や押収の対象となり得ました。法執行機関はこれらを追跡し、特定し、閉鎖することが可能です。一方、Polygonの分散型ブロックチェーンアーキテクチャは、この脆弱性を完全に排除します。スマートコントラクトのデータは世界中の何千もの分散ノードに複製されているため、単一障害点は存在しません。マルウェアが自動的に更新されたアドレスを不変のスマートコントラクトから取得する限り、1つのプロキシアドレスを無効化しても全体のインフラには影響しません。こうした分散化による堅牢性は、従来の排除手段をほぼ無力化します。Group-IBの分析では、2025年後半から2026年前半にかけて展開または更新された複数のスマートコントラクトがこのキャンペーンに関連していることが確認されており、運用活動は継続中とみられます。現時点では被害者の範囲は限定的であり、既存のランサムウェア提携ネットワークや公開データリークプラットフォームとの明確な関連は確認されていません。## 重要な区別点:コードの悪用とプロトコルの脆弱性の違い研究者は重要な点を強調しています。それは、DeadLockはPolygon自体の脆弱性を突いているわけではなく、DeFiプロトコルや暗号ウォレット、ブリッジサービスが運用するサードパーティのスマートコントラクトを侵害しているわけでもありません。ゼロデイ脆弱性やプロトコルの欠陥を発見・悪用しているわけではありません。代わりに、攻撃者は公開ブロックチェーンの根本的な特徴—オンチェーンデータの透明性、不可変性、公開読み取り性—を悪用しています。この手法は、以前の「EtherHiding」攻撃と概念的に類似しており、ブロックチェーンの本質的な性質を利用している点で共通しています。この区別は、エコシステム全体にとって非常に重要です。Polygonのユーザーは、プロトコルの脆弱性から直接的な技術的リスクを負うわけではありません。ブロックチェーンは設計通りに機能しています。ただし、この事例は、公開台帳が犯罪インフラの支援に再利用され、従来のセキュリティ対策を回避する手段として使われ得ることを示しています。## 脅威の進化に与える影響現状のDeadLockの活動は比較的限定的ですが、サイバーセキュリティの専門家は、この手法の模倣や拡散の可能性に警鐘を鳴らしています。この技術はコストも低く、特殊なインフラも不要であり、体系的にブロックや対策を施すことが難しいためです。より大規模なランサムウェアグループや犯罪組織が同様のアプローチを採用すれば、セキュリティへの影響は飛躍的に拡大する恐れがあります。このコードベースの戦略は、堅牢なコマンド&コントロールインフラを民主化し、リソースの少ない脅威者にも高度な回避技術を手の届くものにしています。ブロックチェーン技術が複数のネットワークやLayer 2ソリューションに拡大するにつれ、同様の悪用の機会も増加する見込みです。Group-IBの公開は、ランサムウェアの高度化とブロックチェーンの有用性の交差点が、新たな攻撃ベクトルを生み出していることの早期警告となります。この事例は、公開ブロックチェーンの透明性が、正当な用途にとっては有益である一方、コードやインフラを回避しようとする脅威者にとっては創造的な手法を可能にしていることを示しています。
DeadLockランサムウェアは、Polygonブロックチェーンを利用して従来の排除方法を回避するためのコードを使用しています
セキュリティ研究者は、ランサムウェアの運用がPolygonのスマートコントラクトを利用して持続的な指揮命令系統を維持し、従来の排除努力を効果的に回避する革新的かつ懸念すべき手法を発見しました。このコードベースのアプローチは、サイバー犯罪者がブロックチェーン技術を犯罪目的で武器化する方法において大きな転換点を示しています。
サイバーセキュリティ調査会社のGroup-IBは、2025年中頃に初めて観測されたDeadLockランサムウェアの亜種がこの新たな手法を採用していることを、1月15日に報告しました。従来のランサムウェア運用が中央集権的なサーバーに依存し、それが妨害されやすいのに対し、この脅威は公開されたスマートコントラクトを利用して回転するプロキシアドレスを保存・管理し、分散型のアーキテクチャを構築しているため、無効化が非常に困難です。
ランサムウェアコードはブロックチェーンを通じてどのように検出回避を実現しているか
この技術的アプローチは一見単純に見えるものの、非常に効果的です。DeadLockが被害者のシステムに侵入し暗号化ペイロードを実行すると、マルウェアには定期的に特定のPolygonスマートコントラクトをクエリするように組み込まれたコードがあります。このコントラクトは動的設定ストアとして機能し、攻撃者と感染システム間の通信チャネルを可能にする現在のプロキシサーバーアドレスを保持しています。
このアーキテクチャの優雅さは、その分散性にあります。攻撃者はスマートコントラクト内のプロキシアドレスをいつでも更新でき、マルウェアの再展開を必要とせずにインフラを継続的に回転させることが可能です。重要なのは、ランサムウェアはブロックチェーン上で読み取り操作のみを行い、トランザクションやガス料金は発生しません。この読み取り専用の性質により、操作はステルス性を保ちつつ経済的にも効率的です。
プロキシの回転メカニズムは、従来の法執行機関による排除手段では容易に断ち切れない、堅牢で自己更新型の通信基盤を生み出します。各プロキシの変更はオンチェーン上に不変に記録される一方、即座に機能し続けるため、防御側は常に変化するターゲットを追い続ける必要があります。
なぜこのコード戦略は従来の防御を回避できるのか
この脅威モデルは、従来のランサムウェアインフラとは根本的に異なります。従来のコマンド&コントロールサーバーは、特定の場所に存在し、妨害や押収の対象となり得ました。法執行機関はこれらを追跡し、特定し、閉鎖することが可能です。一方、Polygonの分散型ブロックチェーンアーキテクチャは、この脆弱性を完全に排除します。
スマートコントラクトのデータは世界中の何千もの分散ノードに複製されているため、単一障害点は存在しません。マルウェアが自動的に更新されたアドレスを不変のスマートコントラクトから取得する限り、1つのプロキシアドレスを無効化しても全体のインフラには影響しません。こうした分散化による堅牢性は、従来の排除手段をほぼ無力化します。
Group-IBの分析では、2025年後半から2026年前半にかけて展開または更新された複数のスマートコントラクトがこのキャンペーンに関連していることが確認されており、運用活動は継続中とみられます。現時点では被害者の範囲は限定的であり、既存のランサムウェア提携ネットワークや公開データリークプラットフォームとの明確な関連は確認されていません。
重要な区別点:コードの悪用とプロトコルの脆弱性の違い
研究者は重要な点を強調しています。それは、DeadLockはPolygon自体の脆弱性を突いているわけではなく、DeFiプロトコルや暗号ウォレット、ブリッジサービスが運用するサードパーティのスマートコントラクトを侵害しているわけでもありません。ゼロデイ脆弱性やプロトコルの欠陥を発見・悪用しているわけではありません。
代わりに、攻撃者は公開ブロックチェーンの根本的な特徴—オンチェーンデータの透明性、不可変性、公開読み取り性—を悪用しています。この手法は、以前の「EtherHiding」攻撃と概念的に類似しており、ブロックチェーンの本質的な性質を利用している点で共通しています。
この区別は、エコシステム全体にとって非常に重要です。Polygonのユーザーは、プロトコルの脆弱性から直接的な技術的リスクを負うわけではありません。ブロックチェーンは設計通りに機能しています。ただし、この事例は、公開台帳が犯罪インフラの支援に再利用され、従来のセキュリティ対策を回避する手段として使われ得ることを示しています。
脅威の進化に与える影響
現状のDeadLockの活動は比較的限定的ですが、サイバーセキュリティの専門家は、この手法の模倣や拡散の可能性に警鐘を鳴らしています。この技術はコストも低く、特殊なインフラも不要であり、体系的にブロックや対策を施すことが難しいためです。より大規模なランサムウェアグループや犯罪組織が同様のアプローチを採用すれば、セキュリティへの影響は飛躍的に拡大する恐れがあります。
このコードベースの戦略は、堅牢なコマンド&コントロールインフラを民主化し、リソースの少ない脅威者にも高度な回避技術を手の届くものにしています。ブロックチェーン技術が複数のネットワークやLayer 2ソリューションに拡大するにつれ、同様の悪用の機会も増加する見込みです。
Group-IBの公開は、ランサムウェアの高度化とブロックチェーンの有用性の交差点が、新たな攻撃ベクトルを生み出していることの早期警告となります。この事例は、公開ブロックチェーンの透明性が、正当な用途にとっては有益である一方、コードやインフラを回避しようとする脅威者にとっては創造的な手法を可能にしていることを示しています。