2025年に再登場したBabuk2は、流出データを悪用した「再エクストーション」を主な手口とし、旧Babukとは別系統の悪質なランサムウェアです。
被害が発覚した際は、侵入経路や漏洩範囲を正確に把握するため、速やかに専門のフォレンジック調査機関に相談することが重要です。
本記事ではBabuk2の特徴や攻撃手法、感染時の対応方法、そして企業が今すぐ実施すべき対策について徹底解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Babuk2ランサムウェアとは?
Sogeti CERT ESEC Threat Intelligenceの専門家によると、Babuk2ランサムウェアのオペレーターは英語で活動しています。強力な暗号化を用いて複数の国の組織を攻撃し、身代金を要求しています。また、特定の団体を攻撃対象から除外している可能性があります。要求額は6万〜8万5千ドルとされており、被害者情報を公開するサイトも運営している可能性があります。
BabukとBabuk2の関係
元のBabukは2021年4月26日にワシントンD.C.の警察局を標的とした攻撃を最後に活動を停止し、その後内部対立により解散しました。一方、2025年1月27日に現れたBabuk2は元のBabukのメンバーとは関係がなく、以前に盗まれたデータを再利用しBabukの名前を使って恐喝を行っている可能性が高いとされています。
Babuk2ランサムウェアの感染の仕組み
Babuk2による攻撃の多くは、過去に流出した情報を利用した「再エクストーション(再脅迫)」に分類されます。ですが一部の亜種では、かつてのBabukランサムウェアに類似したペイロード(不正コード)が確認されており、実際に感染が発生するケースも報告されています。
主な感染経路
想定される感染経路としては、以下のような手段が挙げられます。
- フィッシングメールによる侵入
悪意のある添付ファイルやリンクを含むメールを送りつけ、受信者が開封・実行することでマルウェアを侵入させる手口。 - リモートデスクトップ(RDP)への総当たり攻撃
推測可能なID・パスワードを自動的に繰り返し試行し、RDP経由でシステムに不正アクセスする攻撃。
出典:TheSecMaster
感染後の挙動
Babuk2は実際の暗号化を行わないことも多く、過去に流出した情報を根拠に「あなたのデータを盗んだ」と虚偽の脅迫文を送る例が報告されています。
出典:gbhackers
ファイルの暗号化と拡張子の追加
Babuk2は、機密データを外部サーバーに流出させた後、楕円曲線暗号(ECC)でファイルを暗号化し、暗号化されたファイルには「.babuke2」という拡張子を付けます。この拡張子が付いたファイルは復号なしでは開けなくなります。
出典:Solace Cyber
ランサムノートでメッセージが表示される
Babuk2ランサムウェアはファイルを暗号化した後、「Restore_Your_Files.txt」などの身代金要求メッセージファイルを表示し、その中に「支払わなければデータを公開する」などの脅迫文を含む詳細なランサムノートを記載して被害者を心理的に追い詰めます。
出典:Lockbit
【実際のランサムノート】画像出典:Solace Cybe
こうした攻撃の実態や侵入経路を正確に把握し、被害拡大を防ぐためには、専門のフォレンジック調査会社への早期相談が不可欠です。迅速な調査と分析で、被害の全容解明と今後の適切な対策につなげましょう。
Babuk2感染時の対応手順
感染が判明した場合は、被害の拡大を防ぐため速やかに対応するとともに、影響範囲を正確に把握し、システムの安全な復旧を目指すために、迅速かつ的確な対応が非常に重要となります。
以下がBabuk2感染時に取るべき主な対応手順です。
- ネットワークからの隔離
- フォレンジック調査の依頼
- 関係当局への連絡
- データ復旧と環境再構築
1.ネットワークからの隔離
攻撃が疑われる端末は、直ちに社内ネットワークやインターネットから切り離し、被害の拡大を防ぎます。あわせて、共有ドライブの接続やVPNセッション、リモートデスクトップの接続もすべて遮断し、他の端末やサーバーへの影響を最小限にとどめます。
2.フォレンジック調査の依頼
専門のフォレンジック業者に調査を依頼し、端末のアクセスログ、レジストリ、ファイル操作履歴、ネットワーク通信などを解析して、侵入経路やマルウェアの拡散範囲を特定します。得られた調査結果は、被害の全容把握だけでなく、警察への通報や保険請求、法的対応などにも活用されます。
3.関係当局への連絡
個人情報や機密情報の漏洩が疑われる場合は、速やかに個人情報保護委員会や所轄の警察、場合によってはサイバー犯罪対策部門に連絡します。また、顧問弁護士や社内の法務部門と連携し、報告義務や通知対応など、必要な法的手続きを適切に進めることが重要です。
4.データ復旧と環境再構築
安全が確認されたバックアップデータを用いてシステムや業務環境を復元しながら、マルウェアや不審なプロセスが残存していないかを徹底的に確認します。復旧後は、脆弱性の修正やアクセス制御の見直し、多要素認証の導入など、再発防止策を確実に実装することが重要です。
ランサムウェア感染が起きた場合は、データ復旧から再発防止まで一貫対応可能な、フォレンジック調査会社に連絡しましょう。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
ランサムウェアや不正アクセスなどがないか調査してくれる専門会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
予防策と再発防止のポイント
これらの対策を総合的に実施することで、攻撃のリスクを減らし、万が一の被害発生時にも迅速かつ効果的に対応・復旧が可能になります。
以下が主な予防策と再発防止のポイントです。
- バックアップ体制の強化
- セキュリティパッチの即時適用
- 多要素認証(MFA)の導入
- EDR(エンドポイント検知と対応)ツールの導入
- インシデント対応計画(IRP)の策定
1. バックアップ体制の強化
バックグラウンド環境だけに頼らず、外部ストレージやテープなどを用いたオフラインバックアップも併用し、定期的にバックアップデータの復元(リストア)テストを実施して、確実に復旧できることを確認しておきましょう。
2. セキュリティパッチの即時適用
VPNやリモートデスクトップ(RDP)、ファイアウォールなど、外部と接続する機器の脆弱性は、攻撃の入り口となるため、セキュリティパッチを速やかに適用し、放置しないことが非常に重要です。
3. 多要素認証(MFA)の導入
すべての管理者アカウントやクラウドサービスのアカウントに多要素認証(MFA)を導入し、パスワードだけの認証は廃止して不正アクセスのリスクを大幅に減らしましょう。
4. EDR(エンドポイント検知と対応)ツールの導入
未知のプロセスや不審な通信をいち早く検知できるEDR(エンドポイント検知・対応)ツールを導入し、被害の拡大を未然に防ぎましょう。
5. インシデント対応計画(IRP)の策定
万が一のインシデントに備え、社内の対応フローや連絡体制、外部支援との連携スキームを文書化し、年に一度は実際に訓練・演習を行って対応力を高めましょう。
まとめ
Babuk2ランサムウェアは、その名を騙った詐欺型の脅迫活動が主であり、多くのケースでは実際の暗号化は行われていません。本格的な攻撃が発生するリスクもあるため、事前の対策と迅速な初動対応が重要です。
この記事で紹介した予防策と対応フローを参考に、貴社のセキュリティ体制を見直し、攻撃を未然に防ぐとともに、万一の際には冷静かつ法的にも適切な対応ができる体制を整備してください。
こうした攻撃の実態や侵入経路を正確に把握し、被害拡大を防ぐためには、専門のフォレンジック調査会社への早期相談が不可欠です。迅速な調査と分析で、被害の全容解明と今後の適切な対策につなげましょう。