近年、サイバーセキュリティの脅威は巧妙化の一途を辿っています。その中でも特に警戒すべき存在の一つが、Medusaランサムウェアです。このランサムウェアは、Ransomware-as-a-Service(RaaS)モデルを採用しており、その活動は急速に拡大しています。本記事では、Medusaランサムウェアの概要、その特徴的な攻撃手法、そして組織が直面するリスクについて詳しく解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Medusaランサムウェアの正体:SpearwingによるRaaS運用
Medusaランサムウェアは、Spearwingというサイバー犯罪グループによってRaaS(ランサムウェア・アズ・ア・サービス)として運用されています。RaaSとは、ランサムウェアのツールやインフラを「サービス」として提供し、他の犯罪者(アフィリエイト)がそれを利用して攻撃を実行するビジネスモデルです。
その活動は活発化しており、2023年から2024年にかけてMedusaランサムウェアによる攻撃件数は42%も増加しました。さらに、2025年の最初の2ヶ月間だけで、2024年の同時期と比較してほぼ2倍の攻撃が観測されており、その脅威の深刻さが増していることがうかがえます。
Medusaランサムウェアの感染後の挙動と身代金要求
Medusaランサムウェアは、その巧妙な攻撃手法だけでなく、感染後の独特な挙動でも知られています。サイバーセキュリティの専門家として、このランサムウェアがどのようにファイルを暗号化し、どのような身代金要求ノート(ランサムノート)を残すのか、その詳細を深く掘り下げて解説します。
ファイル暗号化と特徴的な拡張子:「.medusa」「.mylock」
Medusaランサムウェアがシステムに侵入し、ファイルを暗号化する際、そのファイルには特定の識別子として拡張子が追加されます。確認されているのは、主に「.medusa」や「.mylock」といった拡張子です。
しかし、興味深いのは、このランサムウェアが全てのファイルを無差別に暗号化するわけではないという点です。システムの中核を担う実行可能ファイル(.exe)、ダイナミックリンクライブラリ(.dll)、ショートカットファイル(.lnk)などは、意図的に暗号化の対象から外される傾向にあります。これは、攻撃者が巧妙に計算している部分です。
つまり、被害者が身代金支払いに応じるための操作(身代金ノートの確認や、指定された連絡先へのアクセスなど)を可能にするために、必要最低限のシステム機能は維持されるよう設計されているのです。
ランサムノート:「!!read_me_medusa!!.txt」
Medusaランサムウェアによる攻撃が最終段階に達すると、被害者のデスクトップには身代金要求を示すノートが残されます。このノートは通常「!!read_me_medusa!!.txt」という非常に目立つファイル名で作成されます。また、この身代金ノートは、暗号化されたファイルの中に埋め込まれているケースも確認されており、どのような手段でファイルにアクセスしても、要求が目に入るよう工夫されています。
「実際のランサムノート」画像出典:loginsoft
身代金取引自体にも、高度な暗号技術が用いられています。Medusaランサムウェアのグループは、RSAとAESという強固な暗号化アルゴリズムを組み合わせて利用しており、これにより身代金支払いのプロセス自体も秘匿性を保ち、追跡を困難にしています。
Medusaランサムウェアの徹底的な復旧阻害工作
さらに悪質なのは、ランサムウェアグループが被害者のデータ復旧を徹底的に阻害する工作を行う点です。具体的には、Windowsのシャドウコピー機能や、その他のシステムバックアップファイルを削除します。これにより、通常のシステムスナップショットからの復元や、オフラインでない一般的なバックアップからのデータ回復が極めて困難になります。
出典:loginsoft
もし組織がランサムウェアの被害に遭ってしまったら、その感染は単なるデータ損失以上の深刻な問題を引き起こします。データが暗号化され、身代金が要求される状況は、事業継続に直結する危機です。しかし、この緊急事態において最も重要な初期対応の一つが、フォレンジック調査の実施です。
ランサムウェア感染は時間との勝負です。感染が疑われる、あるいは確定した場合は、一刻も早く専門家によるフォレンジック調査を開始する必要があります。社内に専門知識を持つ担当者がいない場合や、より高度な調査が必要な場合は、迷わずフォレンジック調査会社への相談を強く推奨します。
Medusaランサムウェアの特徴的な攻撃手法
Medusaランサムウェアの攻撃は、いくつかの明確な特徴と洗練された手法を持っています。
二重恐喝戦術
Medusaランサムウェアが採用する最も悪質な手口の一つが二重恐喝です。これは、単に被害者のネットワーク上のデータを暗号化するだけでなく、機密データを窃取・流出させると脅迫することで、身代金の支払いを強制する手法です。これにより、被害者はデータが復元できないリスクに加えて、データ流出による企業の信用失墜や法的な問題といった、さらなるプレッシャーに直面します。身代金の要求額は、過去には10万ドルから1500万ドルという高額な範囲で確認されています。
巧妙な侵入経路とツールの悪用
攻撃者は、ネットワークへの初期アクセスを得るために、以下の手法を組み合わせて使用します。
- 脆弱性の悪用: 特にMicrosoft Exchange Serversなど、公開されているアプリケーションの未パッチの脆弱性を悪用して侵入します。
- アカウントの乗っ取り: 正規のユーザーアカウントを不正に乗っ取り、システムへのアクセス権を奪います。
一度ネットワーク内部に侵入すると、攻撃者は以下のような正規のリモート管理・監視(RMM)ソフトウェアを悪用して活動します。
- SimpleHelp
- AnyDesk
これらのツールは、システム管理者やITサポートがリモートで作業を行うために合法的に使用されるものですが、Medusaランサムウェアの攻撃者はこれを悪用し、正規のツールであるため検知を回避しながら内部活動を進めます。
さらに、「Bring Your Own Vulnerable Driver(BYOVD)」と呼ばれる技術を頻繁に利用します。これは、既知の脆弱性を持つ正規のドライバーをシステムに導入し、その脆弱性を悪用してセキュリティソフトウェアを無効化する手法です。
Medusaランサムウェアによる実際の攻撃事例
2025年1月には、米国の医療機関に対するMedusaランサムウェア攻撃が発生しました。この事例は、Medusaランサムウェアが医療分野のような重要インフラを標的とすることを示しており、その攻撃が現実の被害をもたらしていることを強調しています。
この攻撃では、攻撃者が初期アクセスからデータ流出、そしてランサムウェアの展開に至るまで、どのような活動を行ったかが詳細に説明されています。具体的な活動内容は以下の通りです。
- 初期アクセス: 攻撃者は、未パッチの脆弱性を悪用するか、正規のアカウントを乗っ取ることでシステムに侵入しました。
- 内部活動: 侵入後、SimpleHelpやAnyDeskといったリモート管理・監視(RMM)ソフトウェアを使用し、システム内で活動しました。
- セキュリティ対策の回避: 「Bring Your Own Vulnerable Driver(BYOVD)」技術を悪用してセキュリティソフトウェアを無効化しました。
- データ窃取と流出: ネットワーク内の機密データを窃取し、外部への流出を図りました。
- ランサムウェア展開: 最終的に、ネットワーク全体にランサムウェアを展開し、データの暗号化を実行しました。
このような具体的な攻撃事例は、Medusaランサムウェアがもたらすリスクの大きさを物語っており、組織が包括的なセキュリティ対策を講じることの重要性がわかります。
標的とランサムウェア対策
Medusaランサムウェアの攻撃は広範囲に及び、特に米国の医療機関に対する攻撃事例も確認されています。これは、医療分野のような重要インフラが狙われていることも考えられ、被害が大きくなる可能性を秘めています。
この脅威から組織を守るためには、強固なランサムウェア対策が不可欠です。
- 脆弱性管理: システムやアプリケーションの脆弱性を常に監視し、速やかにパッチを適用することが最も基本的な対策です。
- 多要素認証の導入: アカウントの乗っ取りを防ぐために、多要素認証(MFA)を必須とすべきです。
- セキュリティソフトウェアの強化: エンドポイント検出・対応(EDR)や次世代型アンチウイルス(NGAV)など、高度な脅威を検知・防御できるセキュリティソリューションの導入が求められます。
- データのバックアップと復旧計画: 定期的なデータバックアップをオフラインで実施し、万が一の際の迅速な復旧計画を策定しておくことが重要です。
- 従業員のセキュリティ教育: フィッシング詐欺など、初期侵入の足がかりとなる脅威に対する従業員の意識を高める教育も欠かせません。
MedusaランサムウェアのようなRaaS型攻撃は、その性質上、攻撃の手口や標的が多様化しやすい傾向があります。常に最新の脅威情報にアンテナを張り、包括的なセキュリティ対策を講じることで、組織をランサムウェアの脅威から守りましょう。
ランサムウェア感染後の対応:なぜフォレンジック調査が不可欠なのか
ランサムウェア感染は、組織にとって計り知れない損害をもたらす可能性があります。しかし、適切なフォレンジック調査を行うことで、被害を最小限に抑え、より強固なセキュリティ体制を構築するための貴重な知見を得られます。
万が一、ランサムウェア感染の兆候が見られた場合は、時間を置かずに信頼できるフォレンジック調査会社にご相談ください。迅速な対応が、組織の未来を守るための第一歩となります。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
ランサムウェア感染時、情報漏えいや不正アクセスなど調査してくれる専門会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓