**PolygonネットワークがDeadLockランサムウェアによって悪用され、検知システムを回避**

セキュリティ研究者のGroup-IBは、DeadLockランサムウェアファミリーが採用する巧妙な回避戦略を明らかにしました。これはPolygonのスマートコントラクトを利用し、プロキシサーバーのアドレスを動的に切り替えることで従来の検出メカニズムを回避しています。2025年7月に初めて特定されたこのマルウェアは、サイバー犯罪者がブロックチェーンインフラを悪用して運用のセキュリティを強化する方法において重要な進化を示しています。

**技術的アーキテクチャとコード注入手法**

DeadLockの攻撃チェーンは、Polygonネットワークと直接通信するHTMLファイルにJavaScriptルーチンを注入することを中心としています。従来のサーバーに悪意のある命令を保存するのではなく、マルウェアはブロックチェーンベースのRPCゲートウェイに問い合わせて、攻撃者が管理するプロキシエンドポイントのリストを取得します。この手法は、以前に記録されたEtherHidingキャンペーンと類似しており、脅威アクターが分散型台帳を武器にして、従来のブロックを回避するための秘密通信チャネルを構築する新たな傾向を示しています。

**脅威の拡大と進化**

このランサムウェアは、少なくとも3つの異なるバリアントで存在しており、最新のバージョンではSessionという暗号化通信プロトコルをコードに直接組み込んでいます。この統合により、攻撃者は侵害されたシステムとエンドツーエンドの暗号化トンネルを確立でき、インシデント対応や被害者通知のプロセスを大幅に複雑にしています。

Polygonのインフラの利用は、重要な脆弱性を浮き彫りにしています。透明性と分散性を目的としたブロックチェーンネットワークが、従来のセキュリティコントロールを回避し、堅牢なコマンド＆コントロールフレームワークとして再利用されつつあるのです。