DragonForceランサムウェアとは？被害事例から感染時の初動対応まで徹底解説　

DragonForceは2023年に登場し、2025年現在も活発に活動しているランサムウェアグループです。

DragonForceは主にデータの暗号化に加え、盗んだ情報を公開すると脅す「二重恐喝」を特徴として攻撃しているので、企業の信用に深刻な影響を与える可能性があります。

ランサムウェアの感染を発覚した場合は、感染経路や漏えい状況を調べ被害を最小限に抑えるために、速やかにフォレンジック調査の専門機関に相談することが極めて重要です。

DragonForceランサムウェアとは？

DragonForceは、2023年8月に登場したランサムウェアグループです。DragonForceが提供するランサムウェアは、Lockbit3.0から進化したランサムウェアで一般に「DragonForceランサムウェア」と呼ばれています。

Lockbit3.0は以下の記事で解説しています。

＞＞LockBit3.0ランサムウェアとは？特徴や最新の動向を紹介

DragonForceは、RaaS(Ransomware as a Service)と呼ばれる、サービス型のビジネスモデルを採用しています。RaaSはランサムウェア攻撃を仕掛けるためのツールやインフラを開発者が提供し、それを利用する実行犯（アフィリエイト）が攻撃を行い、得た利益を分配する仕組みです。

出典：PICUS

RaaSからカルテルに変化したDragonForce

2025年5月以降、DragonForceは従来の単一グループで活動するランサムウェア集団やRaaSとは異なり、「カルテル」に変化しました。

カルテル化したDragonForceは、他社が開発・製造した商品やサービスを、自社ブランド名で販売するビジネス手法であるホワイトラベル型のランサムウェアプラットフォームを提供しています。

つまり、攻撃実行犯はDragonForceのインフラと暗号化ツールを使いながら、自分のブランド名で攻撃を実行できます。

出典：pcrisk

DragonForceランサムウェアに感染したら？

Devmanランサムウェア感染によって主に起こる被害を以下で解説します。

• ファイル名がランダムになり「.dragonforce_encrypted」拡張子が追加される
• ランサムノート「readme.txt」が作成される
• リークサイトに機密情報が流出される

ファイル名がランダムになり「 .dragonforce_encrypted 」拡張子が追加される

以下画像は実際にDragonForceランサムウェアに被害を受けてファイルです。

「実際に暗号化されたファイル」画像出典：pcrisk

DragonForceランサムウェアに暗号化されたファイルは、ファイル名がランダムになり、主に「 .dragonforce_encrypted」という拡張子が元のファイル名の末尾に追記されます。

被害を受けた拡張子はDragonForceによる被害を識別する明確な指標（インジケーター）となります。例えば、「Report.pdf」は「Report.pdf.dragonforce_encrypted」となります。

ランサムノート「readme.txt」が作成される

DragonForceは被害者に身代金要求のランサムノート「readme.txt 」を送信します。以下は実際にDragonForceランサムウェアに感染すると表示されるランサムノートの一例です。

Hello!

Your files have been stolen from your network and encrypted with a strong algorithm. We work for money and are not associated with politics. All you need to do is contact us and pay.

— Our communication process:

1. You contact us.
2. We send you a list of files that were stolen.
3. We decrypt 1 file to confirm that our decryptor works.
4. We agree on the amount, which must be paid using BTC.
5. We delete your files, we give you a decryptor.
6. We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future.

— Client area (use this site to contact us):

Link for Tor Browser: –
>>> Use this ID: 5259BC46FA73563564AA07A84EC63608 to begin the recovery process.

* In order to access the site, you will need Tor Browser,
you can download it from this link: hxxps://www.torproject.org/

— Additional contacts:

Support Tox: 1C054B722BCBF41A918EF3C485712742088F5C3E81B2FDD91ADEA6BA55F4A856D90A65E99D20

— Recommendations:

DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.

— Important:

If you refuse to pay or do not get in touch with us, we start publishing your files.
12/07/2024 00:00 UTC the decryptor will be destroyed and the files will be published on our blog.

Blog: –

Sincerely,
01000100 01110010 01100001 01100111 01101111 01101110 01000110 01101111 01110010 01100011 01100101

「ランサムノートの内容」出典：pcrisk

脅迫文に書かれている主な内容は以下の通りです。

• 被害の通知：ファイルが盗まれ暗号化されたことを通知。金銭目的で、政治的意図はないと明言
• 連絡手順：
  1. 攻撃者に連絡する
  2. 盗まれたファイル一覧を受け取る
  3. サンプルファイル1つを復号して見せる
  4. 身代金額をBTCで合意
  5. 復号ツールを提供＋盗んだデータを削除
  6. 侵入経路と再発防止策のレポート提供
• 連絡方法：Torブラウザ経由の専用サイト＋ID、Toxチャット、Torの案内付き
• 注意点：シャットダウン・ファイル名変更・readme削除は禁止
• 支払わない場合：データを公開し、復号ツールも破棄されると警告
• 署名：DragonForceを示すバイナリ表現の署名あり

リークサイトに機密情報が流出される

以下はDragonForceが運営しているリークサイトの画像です。

「DragonForceのリークサイト」画像出典：pcrisk

DragonForceランサムウェアに感染すると、攻撃者にファイルを暗号化される前に機密情報を盗まれ、指定された「リークサイト」に盗まれた機密情報を公開される可能性があります。
特に、企業は事業秘密や顧客情報などがダークウェブ上に晒されるリスクがあり、深刻な情報漏洩や信用失墜に繋がる可能性があります。

ランサムウェアに感染した場合、被害を最小限に抑えるため、感染された経路や範囲を調べて適切な対応を行うことが重要です。ランサムウェアに感染したらランサムウェア感染の専門会社に相談することをおすすめします。

【2025年】DragonForceランサムウェアの被害事例

DragonForceは2025年にも活発に活動しています。以下は2025年に起きたDragonForceランサムウェアの被害事例です。

• Co-op Groupのシステム障害事件
• Harrods百貨店へのサイバー攻撃

Co-op Groupのシステム障害事件

2025年4月下旬、英小売・保険大手のCo-op GroupがDragonForceによるサイバー攻撃の試みを受け、一部業務システムに影響が発生しました。

表向きは限定的な被害とされていましたが、犯罪者たちは、Co-opのコンピューターシステムが発覚するよりも前に個人情報を盗んだと主張しています。

出典：BBC

Harrods百貨店へのサイバー攻撃

2025年5月初旬、高級百貨店Harrodsがサイバー攻撃を受けたことを公表しました。DragonForceとの関係は現在のところ明確にはされていませんが、M&SやCo-op Groupに対する攻撃と同時期に発生し、企業ネットワークへの侵入を試みる手口が共通していたことから、DragonForceかれの攻撃である可能性が専門家の間で議論されています。

店舗や施設では予防的にインターネット接続を遮断したことから、営業やオンライン注文には大きな支障は出ず、被害は初期段階で抑えられたとみられます。

出典：BBC

Harrodsの事例のようにランサムウェアに攻撃された場合、適切な初動対応と現状確認が重要です。ランサムウェアに感染したら、適切な対応で被害を最小限に抑えるために専門業者に相談しましょう。

ランサムウェア感染時の初動対応

万が一、ランサムウェアへの感染が疑われる事態に直面した場合、その後の対応が被害の明暗を分けます。以下にランサムウェアに感染した時の初動対応について解説します。

【最優先】初動対応：ネットワークからの隔離

感染の兆候を察知したら、直ちにそのPCをネットワークから物理的に切り離してください。これが被害拡大を防ぐための絶対的な最優先事項です。

これにより、ランサムウェアが他のPCやサーバーへ拡散するのを防ぎます。

【厳禁】やってはいけないこと：身代金の支払と安易な再起動

ランサムウェア被害時には混乱から誤った対応を取りがちですが、状況を悪化させないためにも注意が必要です。

まず、身代金の支払いは絶対に避けるべきで、データが戻る保証はなく、犯罪組織への資金提供や再攻撃のリスクを高めることになります。また、安易なシャットダウンや再起動は、メモリ上の重要な証拠を消してしまう恐れがあるため慎重に対応する必要があります。

さらに、暗号化されたファイルの拡張子を変更したり、脅迫状ファイルを削除したりすると、データの復旧や調査に支障をきたす可能性があるため控えましょう。

また、ランサムウェアに感染した時のより詳しい対処法は以下の記事で解説します。

＞＞ランサムウェアに感染したらどうなる？対処法とやってはいけないことを解説

被害調査とフォレンジック調査の重要性

ランサムウェアに感染した時、ファイルの復旧だけでなく、法人は「何が起きたのか」を正確に把握し、説明する責任があります。そのためには、フォレンジック調査が必要不可欠です。

フォレンジック調査でできることは以下になります。

• 不審なリモートアクセスのログやマルウェア実行履歴の復元
• 削除・隠蔽されたファイルの復元
• 通信履歴・IPアドレスの追跡による攻撃元の特定
• 漏えいした可能性のあるデータやその範囲の明確化

フォレンジック調査では、パソコンやネットワークの使用履歴、アクセスログ、不審なファイルの痕跡などを専用ツールで解析し、情報漏えいの有無や被害の全容を明らかにします。調査結果は、企業内の対応指針や法的手続きにおいても非常に重要な役割を果たします。

ランサムウェアはデータ窃取を伴うため、単なるシステム障害ではなく、重大な情報漏えいインシデントです。万が一感染が疑われた場合、まずネットワークからの隔離と、フォレンジック専門家への連絡をしてください。

このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。

編集部おすすめ調査会社：デジタルデータフォレンジック(おすすめ度)

情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。

こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です

相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。