Akiraランサムウェアとは?特徴、感染経路、対策方法を徹底解説

コラム

Akiraランサムウェアは2023年に出現した、企業や個人のデータを標的とする危険なマルウェアです。ファイルを暗号化しデータの流出を示唆して被害者に圧力をかける「二重脅迫」の手法を使用することで知られています。

本記事では、Akiraランサムウェアの概要や感染経路、予防策、感染時の対応方法について詳しく解説します。

すでに感染の可能性がある場合は、速やかに専門の調査会社へ相談することをおすすめします。

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
ランサムウェア被害の相談先はこちら >
目次

Akiraランサムウェアの主な特徴

Akiraランサムウェアは、2023年初頭に登場した「Ransomware as a Service(RaaS)」モデルを採用する新たな脅威です。従来のファイル暗号化に加え、機密情報の窃取と公開を伴う「二重恐喝(ダブルエクストーション)」で企業や組織を脅迫します。

出典:CISA

WindowsとLinux双方のシステムを標的


Akiraは、WindowsとLinuxの両方のデバイスを標的とするクロスプラットフォームの脅威となりました。特にWindowsシステムでは、ファイルを暗号化し、ユニークな「.akira」という拡張子を付加します。

Linux版(特にESXi向け)では「.akiranew」というファイル拡張子を使用し、暗号化されたディレクトリに「akiranew.txt」という身代金メモを配置することがあります。

二重恐喝(ダブルエクストーション)

Akiraランサムウェアは「二重恐喝」戦略を採用しており、被害者のデバイスを暗号化する前に機密データを外部に窃取します。

暗号化後には身代金メモを配置し、ビットコインでの支払いを要求します。支払いがない場合、窃取したデータを公開すると脅し、被害者にさらなるプレッシャーをかけます。

この二重のアプローチにより、データ漏洩のリスクが高まり、被害者はより大きな圧力を受けることになります。

RaaSモデル

Akiraは「Ransomware as a Service(RaaS)」モデルで運用されており、攻撃者はランサムウェアのインフラとツールをサービスとして提供し、他のアフィリエイトが攻撃を実行できるようにしています。

他のランサムウェアグループとは異なり、Akiraは被害者に暗号化解除、データ削除、またはその両方に対して支払うかどうかの選択肢を提供することで柔軟性を持たせています。 

Akiraランサムウェアの技術的特徴

Akiraランサムウェアは、その巧妙な技術的特徴によって、標的となったシステムからのデータ復旧を極めて困難にします。特に注目すべきは、以下の点です。

出典:CISA

強固なハイブリッド暗号化スキーム

Akiraランサムウェアは、ChaCha20とRSAを組み合わせた高度なハイブリッド暗号化スキームを採用しています。これにより、ファイルの種類やサイズに応じて、完全暗号化または部分暗号化を使い分け、データの復旧を著しく困難にします。暗号化されたファイルには、通常「.akira」や「.powerranges」といった拡張子が追加されます。

Akiraランサムウェアが変更するファイル拡張子

感染後、ファイルに拡張子「.akira」「.powerranges」「akiranew」が追加されます。

例は以下になります。

  • 元のファイル名:report.docx暗号化後:report.docx.akira
  • 元のファイル名:budget.xlsx暗号化後:budget.xlsx.akira
  • 元のファイル名:presentation.pptx暗号化後:presentation.pptx.powerranges

実際に以下のような画像になります。

画像出典:Bleeping Computer

ただし、Akiraランサムウェアの暗号化ツールは、ごみ箱、システムボリューム情報、Boot、ProgramData、およびWindowsフォルダにあるファイル、.exe、.lnk、.dll、.msi、および.sysファイルの暗号化を回避します。

Akiraランサムウェアの身代金要求メモの内容

攻撃者は、「akira_readme.txt」という名前の身代金要求メモを作成します。メモには、被害者のファイルに何が起こったのかに関する情報と、Akiraのデータ漏洩サイトおよび交渉サイトへのリンクが含まれています。内容を要約すると、以下の通りになります。

「あなたのデータに関しては、もし合意に至らなければ、個人情報、企業秘密、データベース、ソースコードなど、一般的に闇市場で価値のあるものすべてを、複数の脅威アクターに一度に売却しようとします。その後、これらすべてを当社のブログで公開します。」

実際に、身代金要求メモの画像を以下になります。

画像出典:Bleeping Computer

効率的な実行と分析回避機能

このランサムウェアは、CPUコアの使用を正確に制御するために追加のスレッドを挿入することで、暗号化処理の速度と効率を向上させています。さらに、最新バージョンでは実行時に「Build ID」を保護レイヤーとして利用。この固有の識別子がないと実行を妨げるため、セキュリティ専門家による動的分析を複雑にし、検出を回避する能力を高めています。

VMware環境への特化と機能強化

特に脅威となるのが、更新された「Akira_v2」の機能強化です。このバージョンでは、「vmonly」パラメータを使用して仮想マシンのみに展開する機能や、「stopvm」コマンドで実行中の仮想マシンを停止させる機能が追加されました。これにより、仮想化環境に依存する企業や組織への攻撃がさらに巧妙化し、深刻な影響を与える可能性があります。

ランサムウェア攻撃を受けた場合、警察やフォレンジック調査会社に報告し、適切な調査を依頼することが推奨されます。独自の対応を試みると、データの保全が困難になり、攻撃者との交渉において不利になる可能性があります。

もしランサムウェア感染の可能性がある場合は、早急に専門調査会社へ相談することがおすすめです。

ランサムウェア被害の相談先はこちら >

Akiraランサムウェアの攻撃方法

Akiraランサムウェアの攻撃の流れは以下になります。

  1. ネットワークに侵入
    多要素認証を設定していないVPN機器やその脆弱性などを利用して認証を突破し、ネットワークに侵入します。
  2. 権限昇格
    侵入に成功したら新しいドメインアカウントを作成。その後、資格情報(ログイン情報)を高度な手口によって盗みます。
  3. ネットワークの偵察
    ファイルなどの暗号化を行う前に、ツールを用いて社内ネットワークの全体構造を把握する
  4. 水平移動とウイルス対策の無力化
    企業ネットワーク内の移動前に、セキュリティソフトで検出されないように、「PowerTool」などを利用して、ウイルス対策ソフトのプロセスを強制的に終了させます。
  5. 情報の窃取と外部通信の確立
    ネットワーク内の機密データを、一般でも使用されるファイル転送ツールなどで外部に転送します。そして遠隔操作ツールなどを使用して外部と通信を確立します。
  6. 暗号化
    ファイルを暗号化し、身代金要求のメモが配置されます。この間に復旧を妨害するシャドーコピーの削除なども行われます。

出典:CISA

Akiraランサムウェアの攻撃事例

サイバーセキュリティ企業S-RMチームは2025年3月に、顧客企業でのインシデント対応中にAkiraランサムウェアの異常な攻撃手法を発見しました。

Akiraランサムウェアの攻撃では、セキュリティ保護されていないウェブカメラを使用して被害者のネットワークに暗号化攻撃を仕掛け、Windows の暗号化機能をブロックしていたエンドポイント検出および対応 (EDR) を効果的に回避しているのが確認されました。

注目すべきは、Akiraが最初にWindowsに暗号化プログラムを展開しようとしたが、EDRによってブロックされたため、代替手段としてWebカメラを利用したという点です。

  1. 企業ネットワークへの侵入
    リモートアクセスの脆弱性や不正取得した認証情報を悪用し侵入
  2. AnyDeskの導入とデータ窃取
    正規ツール「AnyDesk」を展開し、機密データを窃取し、暗号化+公開の二重脅迫を実施
  3. RDP(リモートデスクトッププロトコル)による横展開
    ネットワーク内の他デバイスへ拡散し、攻撃準備
  4. EDRによるWindows端末での攻撃阻止
    ランサムウェア実行を試みるもEDRが検知・隔離し、Windows攻撃は失敗
  5. 代替手段としてWebカメラを利用
    脆弱なWebカメラを発見し、攻撃基点に選択
  6. Webカメラを利用したEDR回避攻撃
    Windowsを経由せず、EDRを回避して攻撃成功

出典:Bleeping Computer

このようにAkiraランサムウェアは、思わぬ経路から感染する可能性があります。脆弱性を正確に特定できなければ、同様の手口で何度も感染するおそれがあります。

Akiraランサムウェア感染後に適切なセキュリティ対策を実施するなら、早急に専門の調査会社に相談して調査を行うことをおすすめします。

ランサムウェア被害の相談先はこちら >

Akiraランサムウェアの感染経路

Akiraランサムウェアの感染経路は以下になります。

  • セキュリティの脆弱なVPN
  • 電子メール内の悪意のある添付ファイルやリンク
  • RDP(リモートデスクトッププロトコル)の脆弱性

Akiraランサムウェアはセキュリティの甘い機器や既知の脆弱性を利用して感染します。特にCiscoの脆弱性「CVE-2020-3259」「CVE-2023-20269」が利用されたことが判明しています。

また既存のアカウントの認証情報などを事前に入手し、感染を試みる場合もあります。

出典:CISA

ランサムウェアの感染経路の詳細は以下の記事で詳しく解説します。

>>ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説

Akiraランサムウェア感染した場合の対処法

万が一Akiraランサムウェアに感染した場合、適切な対応をとることで被害を最小限に抑えることが可能です。

感染端末の隔離

感染の拡大を防ぐため、ネットワークから即座に切断し、影響範囲を最小限に抑えます。また、ネットワークトラフィックを監視し、不審な通信が行われていないかを確認してください。

バックアップからのデータ復元

感染前にオフラインバックアップを確保していた場合、データを安全に復元できます。復旧前に感染源を排除し、再感染を防ぐためのセキュリティスキャンを実施することが必須です。

復号ツールの使用

Akiraランサムウェアについては、セキュリティ機関が提供する復号ツールが存在します。特にNoMoreRansom.org では公式のAkira対応ツールが公開されています。ツールは必ず信頼できる公式サイトから入手してください。不正なサイトを利用しないよう注意してください。

ただし、どのくらい精度高いかは不明かつ全てのパターンに効果があるとは限らないので注意が必要です。

専門機関への報告

ランサムウェア攻撃を受けた場合、警察やフォレンジック調査会社に報告し、適切な調査を依頼することが推奨されます。独自の対応を試みると、データの保全が困難になり、攻撃者との交渉において不利になる可能性があります。

ランサムウェアの対処法のよる詳しい内容以下の記事で解説します。

>>ランサムウェア感染時の対処方法とは?一連の流れを解説

もしランサムウェア感染の可能性がある場合は、早急に専門調査会社へ相談することがおすすめです。

ランサムウェア被害の相談先はこちら >

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

こちらではランサムウェアに感染したかどうか、調査してくれる専門会社をご紹介します。

こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービスハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数39,000件以上

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

デジタルデータフォレンジックに相談する >

Akiraランサムウェア感染防ぐための対策

Akiraランサムウェアの感染を防ぐには、最新のセキュリティ対策を実施し、継続的な防御体制を維持することが重要です。企業や組織は、セキュリティ更新プログラムを迅速に適用し、システムの安全性を確保する必要があります。

以下はランサムウェアへの対策法を紹介します。

多要素認証の導入

VPNやリモートアクセスには多要素認証(MFA)を導入し、不正アクセスのリスクを低減しましょう。特にVPNではMFAの導入が必須ですが、設定ミスによる脆弱性を防ぐため、適切な構成が求められます。

システムとソフトウェアの定期的な更新

すべてのシステムとソフトウェアを最新バージョンに更新することで、既知の脆弱性を悪用されるリスクを軽減できます。企業は常に最新のセキュリティパッチを適用し、更新プログラムを迅速に導入する体制を整えることが重要です。

エンドポイントセキュリティの強化

全端末にエンドポイントセキュリティソリューションを導入し、不正アクセスやマルウェアの侵入をリアルタイムで検知・防止することが可能です。また、ファイアウォールやウイルス対策ソフトの適切な設定を行い、ネットワーク全体の防御を強化してください。

従業員のセキュリティ教育

ランサムウェアの主要な侵入手段であるフィッシングメールへの対策として、従業員向けのセキュリティトレーニングを定期的に実施しましょう。不審なメールの特徴や、安全なリンクの確認方法を教育することで、感染リスクを大幅に低減できます。

オフラインバックアップの実施

ランサムウェアによるデータ損失を防ぐため、定期的にデータをバックアップし、オフライン環境に保存することが重要です。クラウドストレージや外付けストレージと併用し、複数のバックアップを確保することで、復旧の選択肢を広げましょう。

まとめ

Akiraランサムウェアの脅威は進化を続けており、企業や個人が対策を怠れば深刻な被害を受ける可能性があります。

多要素認証の導入、システム更新、従業員教育、バックアップの確保など、基本的な対策を確実に実施することが不可欠です。またランサムウェアの感染を疑いがある場合早急に専門の調査会社に相談することがおすすめです。

ランサムウェア被害の相談先はこちら >

よくある質問(FAQ)

Akiraランサムウェアに感染した場合、よくある質問を紹介します。

Q:Akiraランサムウェアに感染したら、身代金を支払うべきですか?

原則として身代金の支払いは推奨されません。たとえ支払ったとしても、必ずしもデータが復元される保証はなく、支払いを通じて犯罪行為が拡散するリスクも伴います。

また、一部のケースでは、支払後にさらに高額な要求をされたり、他の攻撃者に情報を売却される例も報告されています。 そのため、感染が疑われる場合は、焦って対応するのではなく、まずはフォレンジック調査会社や警察などの専門機関に相談し、状況の把握と証拠保全を優先することが重要です。

Q:Akiraランサムウェアに対応した復号ツールは存在しますか?

Akiraランサムウェアの場合、セキュリティ機関が提供する復号ツールが存在します。NoMoreRansom.org からツールを入手してください。

ただし、復号ツールを装った詐欺サイトや悪質なマルウェア配布サイトも存在するため、必ず信頼できる公式機関からのみ入手するよう注意してください。

最新情報をチェックしよう!