【専門家が解説】Safepayランサムウェアの特徴と感染時の初期対応は?

コラム

Safepayランサムウェアは主に製造・技術・教育業界をターゲットに攻撃しているサイバー脅威の一種です。

2025年もSafepayランサムウェアにによる被害が多数確認されています。企業がランサムウェアに感染した場合、業界中止や機密情報の流出など信用に深刻な影響を与える可能性があります。

被害が発覚した場合は、感染経路や漏えい状況を正確に把握するため、速やかにフォレンジック調査の専門機関に相談することをおすすめします

本記事では、Safepayランサムウェアの特徴から感染した場合初動対応まで解説します。

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
ランサムウェア感染専門家の相談先はこちら >
目次

Safepayランサムウェアとは

SafePayランサムウェアは、世界にわたり265件以上の攻撃を行ったことが確認されています。

2024年9月に初めて登場し、当初は約20名の被害者を対象に限定的な活動を展開していたSafepayは、2025年初頭から活動を急速に拡大し、世界的なサイバー脅威として強く位置づけられるようになりました。

米国で確認された被害者は103人で、既知の全事件の約40%を占めていますが、英国、オーストラリア、カナダ、さらにラテンアメリカやアジア太平洋地域のさまざまな国にも攻撃を受けています。

出典:cybersecuritynews

Safepayランサムウェアの特徴

Safepayランサムウェアに感染した場合、主に以下の特徴が確認されます。

RaaSを採用しない独自モデルで活動する

SafePayランサムウェアは、多くのランサムウェアが採用する「RaaS(Ransomware as a Service)」モデルとは異なり、外部の加盟者にツールを提供しない中央集権的な自前運営体制で活動しています。

RaaSでは、攻撃ツール一式をアフィリエイトに貸し出すことで誰でも攻撃を実行できますが、SafePayは開発・攻撃・運営のすべてを開発者自身やごく限られた組織内メンバーのみで完結させるため、ランサムウェア技術が外部へ拡散するリスクが低く、活動がクローズドかつ統制的である点が特徴です。

出典:acronis

LockBit 3.0との共通点が見られる

SafePayランサムウェアは、過去に流出したLockBit 3.0(LockBit Black)の設計を参考にして作られており、プログラムの中身や動きに多くの共通点があります。

例えば、プログラムを解析されにくくするために、意味のないWindowsの機能(API)を大量に呼び出す仕組みがあります。また、ランサムウェアを実行する際には「パスワード」が必須で、外部に流出しても簡単には使えないようになっています。

SafePayランサムウェアと同じように、過去のランサムウェアから手法を真似して新しいランサムウェアが作られることが多く報告されているので、過去のランサムウェアへの対策も考えることが重要です。

出典:acronis

LockBit3.0にの詳細は以下の記事で解説します。

>>LockBit3.0ランサムウェアとは?特徴や最新の動向を紹介

ファイルに「.safepay」拡張子が追加する

Safepayランサムウェアに暗号化されたファイルは、主に「.safepay」という拡張子が元のファイル名の末尾に追記されます。

この拡張子はSafepayによる被害を識別する明確な指標(インジケーター)となります。例えば、「Report.pdf」は「Report.pdf.safepay」となります。

「実際に暗号化されたファイル」画像出典:pcrisk

出典:pcrisk

ランサムノート「readme_safepay.txt」を作成する

攻撃者は、暗号化したフォルダのほぼ全てに「readme_safepay.txt」という名前のテキストファイル(ランサムノート)を配置します。このノートには、被害者へのメッセージが英語で記載されています。

SafePay
Greetings!

Your corporate network was attacked by the SafePay team.

Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.

It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.

We’ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with open access.

Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions, and other internal documentation.

Furthermore, we successfully blocked most of the servers that are of vital importance to you; however, upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.

We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data, and provide you with the key to decrypt all your data.

In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don’t fulfill our part, and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.

In order to contact us, please use the chat below. You have 14 days to contact us; after this time, a blog post will be made with a timer for 3 days before the data is published, and you will no longer be able to contact us.

— Contact Instructions:

1) Install and run “Tor Browser” from hxxps://www.torproject.org/download/
2) Go to –
Reserve Link: –
3) Log in with ID: –

Contact and wait for a reply. We guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.

— Our Blog:

— Our TON Blog:
tonsite://safepay.ton

You can connect through your Telegram account.

「ランサムノートの内容」出典:pcrisk

主な内容は以下の通りです。

  • 攻撃と原因:SafePayが企業ネットワークに侵入、設定ミスが原因。
  • 被害:重要ファイルの暗号化・窃取、重要サーバー停止。
  • 要求:金銭支払いで復号鍵提供・データ削除・秘密保持。
  • 期限:14日以内に連絡、過ぎればデータ公開。
  • 連絡方法:Tor経由で指定リンク・IDからアクセス。
  • 追加情報:ブログURL、TONブログ、Telegram連絡先。

出典:pcrisk

リークサイトに機密情報を流出する

以下はSafepayランサムウェア攻撃者が運営しているリークサイト一例の画像です。

「Safepayのリークサイト」画像出典:pcrisk

出典:pcrisk

ランサムウェアに感染すると、攻撃者にファイルを暗号化される前に機密情報を盗まれ、指定された「リークサイト」に盗まれた機密情報を公開される可能性があります。
特に企業は事業秘密や顧客情報などがダークウェブ上に晒されるリスクがあり、深刻な情報漏洩や信用失墜に繋がる可能性があります。

ランサムウェアに感染した場合、被害を最小限に抑えるために感染された経路や範囲を調べて適切な対応を行うことが重要です。ランサムウェアに感染したらランサムウェア感染の専門会社に相談することをおすすめします。

ランサムウェア感染専門家の相談先はこちら >

ランサムウェアの感染経路

ランサムウェアの感染経路には主に下記の6つが挙げられます。

  • VPN機器の脆弱性や設定不備の悪用:VPN機器から組織内ネットワークに直接侵入し、内部で感染を拡大。
  • リモートデスクトップ経由:パスワード流出や認証情報の窃取でRDP接続を不正利用し、内部へ侵入。
  • メールの添付ファイルやリンク:業務連絡や見積書等を装い、悪質なプログラムを送りつけて感染。
  • 悪意あるWebサイト/ダウンロード:改ざんや偽サイトにアクセス・ファイルDLして感染。
  • USBメモリ等から:外部記憶媒体を介してウイルスを持ち込む。
  • 不審なソフトウェアの実行:正規ソフトを装いウイルスを内包させて感染拡大。

ランサムウェアの感染経路は以上のように複数存在しているため、全体的なセキュリティ対策がより重要といえるでしょう。

ランサムウェア感染時の初動対応

万が一、ランサムウェアへの感染が疑われる事態に直面した場合、その後の対応が被害の明暗を分けます。以下にランサムウェアに感染した時の初動対応について解説します。

【最優先】初動対応:ネットワークからの隔離

感染の兆候を察知したら、直ちにそのPCをネットワークから物理的に切り離してください。これが被害拡大を防ぐための絶対的な最優先事項です。

  1. 有線LANの場合: PCに接続されているLANケーブルを、ためらわずに引き抜きます。
  2. 無線LAN(Wi-Fi)の場合: OSの設定からWi-Fiを完全にオフにします。WindowsのタスクバーにあるWi-Fiアイコンをクリックし、「切断」および機能のオフを実行します。
  3. 外部デバイスの取り外し: 接続されている外付けHDD、USBメモリ、SDカードなどをすべて取り外します。

これにより、ランサムウェアが他のPCやサーバーへ拡散するのを防ぎます。

【厳禁】やってはいけないこと:身代金の支払と安易な再起動

ランサムウェア被害時には混乱から誤った対応を取りがちですが、状況を悪化させないためにも注意が必要です。

まず、身代金の支払いは絶対に避けるべきで、データが戻る保証はなく、犯罪組織への資金提供や再攻撃のリスクを高めることになります。また、安易なシャットダウンや再起動は、メモリ上の重要な証拠を消してしまう恐れがあるため慎重に対応する必要があります。

さらに、暗号化されたファイルの拡張子を変更したり、脅迫状ファイルを削除したりすると、データの復旧や調査に支障をきたす可能性があるため控えましょう。

被害調査とフォレンジック調査の重要性

ファイルの復旧だけでなく、法人は「何が起きたのか」を正確に把握し、説明する責任があります。

ランサムウェアはデータ窃取を伴うため、単なるシステム障害ではなく、重大な情報漏えいインシデントです。万が一感染が疑われた場合、まずネットワークからの隔離と、フォレンジック専門家への連絡をしてください。

警察などの法執行機関とも連携し、証拠保全と被害範囲の正確な把握を進めることが重要です。また、感染経路の特定・隔離や、今後の再発防止策(パッチ管理・セキュリティ教育・多層防御の実装など)も不可欠です。

このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

情報漏洩サイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。

こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス情報漏洩調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数39,451件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

規模が大きな調査会社でありながら、個人端末のハッキング調査不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

デジタルデータフォレンジックに相談する >
最新情報をチェックしよう!