2024年に活動が確認された新しいランサムウェアグループ「RansomHub」が注目を集めています。RansomHubは、単にデータを暗号化するだけでなく、盗んだデータを公開すると脅す「二重恐喝」を特徴とする悪質な攻撃者です。
本記事では、RansomHubとは一体何なのか、その巧妙な攻撃手口、そして実際に攻撃を受けた場合に何が起こるのかを、順を追って詳しく解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
「RansomHub」ランサムウェアとは?
RansomHubは、「ランサムウェア・アズ・ア・サービス(RaaS)」と呼ばれるビジネスモデルで活動しています。これは、ランサムウェア攻撃を仕掛けるためのツールやインフラを開発者が提供し、それを利用する実行犯(アフィリエイト)が攻撃を行い、得た利益を分配する仕組みです。
- データの暗号化: 企業のシステムに侵入し、業務に不可欠なファイルを暗号化して使用不能にします。
- データの窃取と公開の脅迫: 暗号化する前に、企業の機密情報や個人情報を盗み出します。そして、「身代金を支払わなければ、盗んだデータをダークウェブで公開する」と脅迫します。
この手口により、被害組織は事業停止のリスクと情報漏洩のリスクという二重の圧力に晒されることになります。
出典:ピカスセキュリティ
【5ステップで解説】「RansomHub」ランサムウェアの攻撃フロー
RansomHubによる攻撃は、以下の5つのステップで進められます。
- ステップ1: ネットワークへの侵入(初期アクセス)
- ステップ2: 検知回避と潜伏(防御回避)
- ステップ3: 権限の奪取と内部偵察
- ステップ4: 機密情報の窃取(データ窃取)
- ステップ5: データの暗号化と脅迫(インパクト)
出典:ピカスセキュリティ
ステップ1: ネットワークへの侵入(初期アクセス)
攻撃者はまず、標的の組織ネットワークに侵入する足がかりを探します。主な侵入経路は以下の通りです。
- スピアフィッシング: 従業員を騙して不正なリンクをクリックさせる標的型メール。
- 脆弱性の悪用: 公開サーバーなどのセキュリティ上の弱点を突く。
- パスワードスプレー: 簡単なパスワードを使い、多数のアカウントでログインを試みる。
ステップ2: 検知回避と潜伏(防御回避)
侵入後、攻撃者はセキュリティ製品による検知を逃れるために活動します。不正なスクリプトでセキュリティソフトを無効化したり、新たなユーザーアカウントを作成したりして、ネットワーク内に静かに潜伏します。
ステップ3: 権限の奪取と内部偵察
次に、より強力な権限(管理者権限など)を奪取し、ネットワークの全体像を把握しようとします。Mimikatzのようなツールで認証情報を盗み、正規のリモートアクセスソフトなどを悪用してネットワーク内を自由に移動し、重要なデータがどこにあるかを探します。
ステップ4: 機密情報の窃取(データ窃取)
最終段階の前に、最も重要な活動であるデータの窃取を行います。クラウドストレージへの転送ツールなどを使い、外部に気づかれないように機密情報を自らのサーバーへ送信します。このデータが、後の「二重恐喝」の切り札となります。
ステップ5: データの暗号化と脅迫(インパクト)
データの窃取が完了すると、いよいよ最終攻撃に移ります。組織内のファイルを一斉に暗号化し、同時にWindowsのバックアップ機能(ボリュームシャドウコピー)を削除して、自力での復旧を困難にします。そして、身代金を要求する「ランサムノート」を残し、攻撃が完了します。
ランサムウェア被害の解決には、専門的なフォレンジック調査が不可欠です。被害の全容を正確に把握し、安全な復旧プロセスに進むためにも、まずはフォレンジック調査会社へ相談することをおすすめします。
「RansomHub」ランサムウェアに暗号化されたらどうなる?
万が一RansomHubに感染した場合、PCやシステムには特徴的な症状が現れ、組織は深刻な被害を受けます。
出典:Arete
ユニークな拡張子の生成
暗号化されたファイルには、.lockのような固定の文字列ではなく、ユニークな拡張子が追記されます。Arete社の分析によると、この拡張子は暗号化に使用されるCurve25519のpublic keyの最初の6文字から生成されるため、被害者ごとに異なる文字列が付与されます。
(例: Important_Data.xlsx → Important_Data.xlsx.a1b2c3)
ランサムノートの生成
各フォルダには、脅迫状として機能するランサムノートが生成されます。このファイル名は、暗号化に使われた拡張子と連動しており、README_<付与された拡張子>.txt という命名規則になっています
(例:拡張子が.a1b2c3なら、ランサムノートは README_a1b2c3.txt となる)
RansomHubが残すランサムノートは、まずファイルが暗号化され、機密情報が盗まれたことを明確に伝えます。その上で、ファイル名の変更や自力での復旧を試みるとデータを永久に破壊するなどと警告し、被害者が外部へ相談しにくくさせます。
そして、Torブラウザでアクセスする専用サイトへ誘導して交渉を開始するよう要求し、最終的には「期限内に支払わなければ盗んだデータを公開する」という脅迫で、支払いを強く迫る構成になっています。
「実際のランサムノート」画像出典:Arete
デスクトップ壁紙の強制変更
ユーザーに攻撃を即座に認識させるため、デスクトップの壁紙が脅迫メッセージを記載した画像に強制的に変更されます。これは、Windowsのレジストリキー (HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Wallpapers) を直接改ざんすることで実行されます。
暗号化による業務的被害
万が一、RansomHubの攻撃を受けると、組織は壊滅的な状況に陥ります。
- 業務の完全停止: ファイルが暗号化され、全ての業務システムが利用不能になる可能性があります。
- 復旧の困難: バックアップが削除されているため、自力での復旧は極めて難しくなります。
- 二重の脅迫: 「ファイルを元に戻したければ金を払え」「盗んだ情報を公開されたくなければ金を払え」という二重の要求を突きつけられ、非常に困難な意思決定を迫られます。
ランサムウェア被害の解決には、専門的なフォレンジック調査が不可欠です。被害の全容を正確に把握し、安全な復旧プロセスに進むためにも、まずはフォレンジック調査会社へ相談することをおすすめします。
ランサムウェア感染時の対応
万が一RansomHubへの感染が疑われる場合、パニックにならず、冷静かつ迅速に正しい初期対応を行うことが、被害の拡大を最小限に抑える鍵となります。自己判断での誤った操作は、復旧を困難にしたり、重要な証拠を破壊したりする危険性があるため、以下の手順を参考に慎重に行動してください。
感染時に取るべき行動
初動対応:ネットワークからの隔離
最も優先すべきは、感染拡大の防止です。感染が疑われるPCやサーバーを、速やかにネットワークから物理的に切り離してください。
- 有線LANの場合: LANケーブルを抜きます。
- Wi-Fiの場合: Wi-Fi機能をオフにします。
これにより、ランサムウェアが同じネットワーク上の他のコンピューターへ感染を広げる「横展開」を防ぎます。
証拠の保全:現状維持の徹底
今後の調査や警察への相談に備え、デジタル証拠を保全することが極めて重要です。
- 電源は切らない: PCのメモリ上には、攻撃の痕跡が残っている可能性があります。シャットダウンすると消えてしまうため、電源は入れたままにしてください。
- 操作しない: ファイルの削除や移動、設定変更など、一切の操作を行わないでください。意図せず証拠を上書き・破壊してしまうリスクがあります。
- 情報収集: デスクトップに表示された脅迫メッセージ(ランサムノート)や、暗号化されたファイルの拡張子などを、スマートフォンなどで写真に撮って記録しておきましょう。
特に、ランサムウェアのようなサイバー犯罪の調査では、デジタル証拠の保全が不可欠です。社内や個人で調査を試みると、意図せず証拠を汚染してしまうリスクが非常に高いため、現状を維持したまま速やかに専門家へ相談することを強く推奨します。
【厳禁】身代金の支払い
攻撃者は身代金を支払うよう要求してきますが、警察庁をはじめとする公的機関は、身代金を支払わないよう強く呼びかけています。
- 支払ってもデータが復旧される保証は一切ありません。
- 「支払いに応じる企業」と認識され、将来的に別の攻撃グループの標的になるリスクが高まります。
- 支払われた金銭は、次のサイバー犯罪の活動資金となります。
脅迫に屈して安易に支払うことは、問題の解決にならないばかりか、自社と社会全体のリスクを高める行為であることを認識してください。
専門家への相談と関係機関への報告
ネットワークからの隔離と証拠の保全が完了したら、決して自組織だけで問題を抱え込まず、直ちに外部の専門家や関係機関へ連絡・相談してください。どの機関に、どの順番で連絡するかを事前に定めておくと、有事の際にスムーズに行動できます。
連絡・相談先の例
- 契約しているセキュリティベンダーやIT保守会社: 貴社のシステム構成を最もよく理解しており、迅速な初動支援が期待できます。
- フォレンジック調査の専門企業: 被害の全容解明と証拠保全のために不可欠な、客観的かつ専門的な調査を実施します。
- 管轄の都道府県警察のサイバー犯罪相談窓口: 犯罪行為として被害届を提出し、正式な捜査を依頼します。
- 独立行政法人情報処理推進機構(IPA): 国内の情報を集約する公的機関であり、専門的な助言を得られるほか、報告することが社会全体の利益に繋がります。
なぜフォレンジック調査が不可欠なのか?
「バックアップから復旧できるから調査は不要」と考えるのは、非常に危険な判断です。表面的な復旧だけでは、根本的な問題は何も解決していません。専門家によるフォレンジック調査が不可欠な理由は、ランサムウェア被害後に必ず答えを出すべき、以下の重要な問いを解明できる唯一の手段だからです。
- 侵入経路の特定: 攻撃者は「どこから」「どのように」侵入したのか? この根本原因を塞がなければ、必ず同じ手口で再攻撃されます。
- 被害範囲の正確な把握: どのサーバーやアカウントが影響を受け、攻撃者にどこまでアクセスされたのか? 被害の全体像を把握しなければ、適切な復旧計画は立てられません。
- 情報漏洩の有無と内容の解明: RansomHubのような二重恐喝型攻撃では、「どの情報が」「どれだけ」盗まれたのかを特定することが極めて重要です。この調査結果が、顧客や監督官庁への報告義務を果たす上での根拠となります。
そして最も重要なのが「証拠の保全」です。IT担当者が善意で行うPCの再起動やスキャン、ファイルのコピーといった操作でさえ、攻撃の痕跡を破壊してしまう可能性があります。一度失われたデジタル証拠は元に戻せず、警察の捜査や法的な手続きで極めて不利になります。サイバー攻撃の現場は、現実の事件現場と同じです。専門家が調査に入る前に現状を維持することが、自社を守る上で鉄則です。
専門家による客観的な調査(フォレンジック調査)を行うことで、これらの課題をクリアでき、根本的な解決と確実な再発防止に繋がります。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
ランサムウェアや不正アクセスなどがないか調査してくれる専門会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓