Akiraランサムウェアは2023年に出現した、企業や個人のデータを標的とする危険なマルウェアです。ファイルを暗号化し、データの流出を示唆して被害者に圧力をかける「二重脅迫」の手法を使用することで知られています。
本記事では、Akiraランサムウェアの概要や感染経路、予防策、感染時の対応方法について詳しく解説します。
すでに感染の可能性がある場合は、速やかに専門の調査会社へ相談することをおすすめします。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Akiraランサムウェアの概要
Akiraランサムウェアは2023年に出現した新しいランサムウェアであり、教育、金融、不動産、製造、コンサルティングなど、幅広い業界を標的に攻撃を展開しています。2017年にも同名のランサムウェアが存在しましたが、今回のAkiraとは関連性がないと考えられています。
Akiraランサムウェアが変更するファイル拡張子
感染後、ファイルに拡張子「.akira」「.powerranges」「akiranew」が追加されます。
例は以下になります。
- 元のファイル名:report.docx → 暗号化後:report.docx.akira
- 元のファイル名:budget.xlsx → 暗号化後:budget.xlsx.akira
- 元のファイル名:presentation.pptx → 暗号化後:presentation.pptx.powerranges
実際に以下のような画像になります。
画像出典:Bleeping Computer
ただし、Akiraランサムウェアの暗号化ツールは、ごみ箱、システムボリューム情報、Boot、ProgramData、およびWindowsフォルダにあるファイル、.exe、.lnk、.dll、.msi、および.sysファイルの暗号化を回避します。
Akiraランサムウェアの身代金要求メモの内容
攻撃者は、「akira_readme.txt」という名前の身代金要求メモを作成します。メモには、被害者のファイルに何が起こったのかに関する情報と、Akiraのデータ漏洩サイトおよび交渉サイトへのリンクが含まれています。内容を要約すると、以下の通りになります。
「あなたのデータに関しては、もし合意に至らなければ、個人情報、企業秘密、データベース、ソースコードなど、一般的に闇市場で価値のあるものすべてを、複数の脅威アクターに一度に売却しようとします。その後、これらすべてを当社のブログで公開します。」
実際に、身代金要求メモの画像を以下になります。
画像出典:Bleeping Computer
Akiraランサムウェアの攻撃グループは「リークサイト」と呼ばれる、盗んだ情報を不特定多数へ公開するためのサイトも運営しています。
ランサムウェア集団は 20 万ドルから数百万ドルに及ぶ身代金を要求し、復号ツールを必要とせず、盗まれたデータの漏洩を防ぎたいだけの企業に対しては、身代金要求額を引き下げる場合もあります。
ただし身代金要求メモに従い、身代金を支払っても、公開されない補償はないことに注意しましょう。
Akiraランサムウェアの感染経路
Akiraランサムウェアの感染経路は以下になります。
- セキュリティの脆弱なVPN
- 電子メール内の悪意のある添付ファイルやリンク
- RDP(リモートデスクトッププロトコル)の脆弱性
Akiraランサムウェアはセキュリティの甘い機器や既知の脆弱性を利用して感染します。特にCiscoの脆弱性「CVE-2020-3259」「CVE-2023-20269」が利用されたことが判明しています。
また既存のアカウントの認証情報などを事前に入手し、感染を試みる場合もあります。
出典:CISA
Akiraランサムウェアの攻撃の流れ
Akiraランサムウェアの攻撃の流れは以下になります。
- ネットワークに侵入
多要素認証を設定していないVPN機器やその脆弱性などを利用して認証を突破し、ネットワークに侵入します。 - 権限昇格
侵入に成功したら新しいドメインアカウントを作成。その後、資格情報(ログイン情報)を高度な手口によって盗みます。 - ネットワークの偵察
ファイルなどの暗号化を行う前に、ツールを用いて社内ネットワークの全体構造を把握する - 水平移動とウイルス対策の無力化
企業ネットワーク内の移動前に、セキュリティソフトで検出されないように、「PowerTool」などを利用して、ウイルス対策ソフトのプロセスを強制的に終了させます。 - 情報の窃取と外部通信の確立
ネットワーク内の機密データを、一般でも使用されるファイル転送ツールなどで外部に転送します。そして遠隔操作ツールなどを使用して外部と通信を確立します。 - 暗号化
ファイルを暗号化し、身代金要求のメモが配置されます。この間に復旧を妨害するシャドーコピーの削除なども行われます。
出典:CISA
Akiraランサムウェアの進化
Akira ランサムウェアは2023年3月にWindows をターゲットにしていましたが、3か月後新たな攻撃方法が追加されています。2023年6月に発見された最新の攻撃は、Linux 用の悪意のある 64 ビット ELF 実行ファイルを使用して実行されました。
Akira 実行可能ファイルを実行するには、特定のパラメータを指定する必要があります。起動すると、Akira は定義済みの公開 RSA キーをダウンロードし、システム上のファイルを暗号化します。
Akiraは指定された拡張子を持つファイルを検知すると暗号化し、感染したマシンに身代金要求メモを残します。また、攻撃時にはAESとRSA暗号化を組み合わせて使用し、被害者がファイルにアクセスできないようにします。
さらに被害者のファイルを暗号化するだけでなく、他の手段でファイルが復元されるのを防ぐためにファイルのシャドウ コピーも削除します。
Akiraランサムウェアの攻撃事例
サイバーセキュリティ企業S-RMチームは2025年3月に、顧客企業でのインシデント対応中にAkiraランサムウェアの異常な攻撃手法を発見しました。
Akiraランサムウェアの攻撃では、セキュリティ保護されていないウェブカメラを使用して被害者のネットワークに暗号化攻撃を仕掛け、Windows の暗号化機能をブロックしていたエンドポイント検出および対応 (EDR) を効果的に回避しているのが確認されました。
注目すべきは、Akiraが最初にWindowsに暗号化プログラムを展開しようとしたが、EDRによってブロックされたため、代替手段としてWebカメラを利用したという点です。
以下は攻撃手法の詳細です。
- 企業ネットワークへの侵入
リモートアクセスの脆弱性や不正取得した認証情報を悪用し侵入 - AnyDeskの導入とデータ窃取
正規ツール「AnyDesk」を展開し、機密データを窃取し、暗号化+公開の二重脅迫を実施 - RDP(リモートデスクトッププロトコル)による横展開
ネットワーク内の他デバイスへ拡散し、攻撃準備 - EDRによるWindows端末での攻撃阻止
ランサムウェア実行を試みるもEDRが検知・隔離し、Windows攻撃は失敗 - 代替手段としてWebカメラを利用
脆弱なWebカメラを発見し、攻撃基点に選択 - Webカメラを利用したEDR回避攻撃
Windowsを経由せず、EDRを回避して攻撃成功
このようにAkiraランサムウェアは、思わぬ経路から感染する可能性があります。脆弱性を正確に特定できなければ、同様の手口で何度も感染するおそれがあります。
Akiraランサムウェア感染後に適切なセキュリティ対策を実施するなら、早急に専門の調査会社に相談して調査を行うことをおすすめします。
Akiraランサムウェア感染した場合の対処法
万が一Akiraランサムウェアに感染した場合、適切な対応をとることで被害を最小限に抑えることが可能です。
感染端末の隔離
感染の拡大を防ぐため、ネットワークから即座に切断し、影響範囲を最小限に抑えます。また、ネットワークトラフィックを監視し、不審な通信が行われていないかを確認してください。
バックアップからのデータ復元
感染前にオフラインバックアップを確保していた場合、データを安全に復元できます。復旧前に感染源を排除し、再感染を防ぐためのセキュリティスキャンを実施することが必須です。
復号ツールの使用
一部のランサムウェアには、セキュリティ機関が提供する復号ツールが存在します。信頼できる機関(NoMoreRansom.org など)からのみツールを入手し、不正なサイトを利用しないよう注意してください。
専門機関への報告
ランサムウェア攻撃を受けた場合、警察やフォレンジック調査会社に報告し、適切な調査を依頼することが推奨されます。独自の対応を試みると、データの保全が困難になり、攻撃者との交渉において不利になる可能性があります。
もしランサムウェア感染の可能性がある場合は、早急に専門調査会社へ相談することがおすすめです。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
こちらではランサムウェアに感染したかどうか、調査してくれる専門会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Akiraランサムウェア感染防ぐための対策
Akiraランサムウェアの感染を防ぐには、最新のセキュリティ対策を実施し、継続的な防御体制を維持することが重要です。企業や組織は、セキュリティ更新プログラムを迅速に適用し、システムの安全性を確保する必要があります。
以下はランサムウェアへの対策法を紹介します。
多要素認証の導入
VPNやリモートアクセスには多要素認証(MFA)を導入し、不正アクセスのリスクを低減しましょう。特にVPNではMFAの導入が必須ですが、設定ミスによる脆弱性を防ぐため、適切な構成が求められます。
システムとソフトウェアの定期的な更新
すべてのシステムとソフトウェアを最新バージョンに更新することで、既知の脆弱性を悪用されるリスクを軽減できます。企業は常に最新のセキュリティパッチを適用し、更新プログラムを迅速に導入する体制を整えることが重要です。
エンドポイントセキュリティの強化
全端末にエンドポイントセキュリティソリューションを導入し、不正アクセスやマルウェアの侵入をリアルタイムで検知・防止することが可能です。また、ファイアウォールやウイルス対策ソフトの適切な設定を行い、ネットワーク全体の防御を強化してください。
従業員のセキュリティ教育
ランサムウェアの主要な侵入手段であるフィッシングメールへの対策として、従業員向けのセキュリティトレーニングを定期的に実施しましょう。不審なメールの特徴や、安全なリンクの確認方法を教育することで、感染リスクを大幅に低減できます。
オフラインバックアップの実施
ランサムウェアによるデータ損失を防ぐため、定期的にデータをバックアップし、オフライン環境に保存することが重要です。クラウドストレージや外付けストレージと併用し、複数のバックアップを確保することで、復旧の選択肢を広げましょう。
まとめ
Akiraランサムウェアの脅威は進化を続けており、企業や個人が対策を怠れば深刻な被害を受ける可能性があります。
多要素認証の導入、システム更新、従業員教育、バックアップの確保など、基本的な対策を確実に実施することが不可欠です。またランサムウェアの感染を疑いがある場合早急に専門の調査会社に相談することがおすすめです。