Cactus(.CTS1)ランサムウェアとは?特徴・手口・最新動向と予防策を徹底解説

コラム FunkLocker「.funksec」ランサムウェア

企業を狙った高度なランサムウェア攻撃が急増する中、「Cactus(カクタス)」は暗号化と情報窃取を組み合わせた“二重脅迫型”の危険なマルウェアとして警戒されています。従来のセキュリティ対策では検出が難しい構造を持ち、特にFortinet VPNやQlik Senseの脆弱性を突いた侵入が報告されています。

本記事では、Cactusランサムウェアの仕組み、特徴的な攻撃手法、予防の対策についてわかりやすく解説します。

もし現在、Cactusランサムウェアによる感染の疑いがある場合や、すでに社内のシステムに異常が発生している場合は、即時にネットワークから隔離し、専門の調査会社へ相談してください。

>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
ランサムウェア感染専門の相談先はこちら >
目次

Cactus(.CTS1)ランサムウェアとは

Cactus(カクタス)は、Windowsシステムを標的とするランサムウェアの一種で、感染するとファイルを暗号化し、「.CTS1」や「.CTS1.CTS6」「.CTS1.CTS7」などの拡張子を付けてアクセス不能にします。暗号化後には「cAcTuS.readme.txt」というランサムノートが作成され、被害者にメールやToxチャットを通じて攻撃者へ連絡するよう求められます。

Cactusは、単なる暗号化にとどまらず、情報窃取と「支払わなければデータを公開する」という脅迫を組み合わせた二重脅迫型の手口を取ります。被害者の企業にとっては、業務停止+情報漏えい+社会的信用失墜という三重苦を招く極めて深刻な脅威です。

2023年12月の報告では、CactusがBIツール「Qlik Sense」の既知の脆弱性を突いてネットワークに侵入する事例が確認されました。Qlikは2023年8月にパッチを配布しましたが、同時点でも一部システムでは修正が適用されておらず、ゼロデイに近い状態が続いていたとされます。

2025年3月には、Cactusが新たにマルウェア「BackConnect(BC)」と連携していることが確認されました。このマルウェアは、偽サポートを装ったソーシャルエンジニアリングによってMicrosoft TeamsやQuick Assistなどを通じてリモート接続を許可させ、システム内部に侵入します。

一連の攻撃は、2024年秋以降、北米およびヨーロッパの複数の企業で観測されており、CactusまたはBlack Bastaによる暗号化攻撃へとつながるケースが多く報告されています。

もし現在、社内で暗号化ファイルやランサムノートが見つかった場合は、すぐにネットワークから隔離し、専門の調査会社に相談することが被害拡大を防ぐ最善の一手です。

出典:PCRisk

ランサムウェア感染専門の相談先はこちら >

Cactus (.CTS1) ランサムウェアの特徴

Cactusランサムウェアは、単なるファイル暗号化にとどまらず、自己暗号化・検知回避・情報窃取・多段階暗号化など、複数の高度な特徴を備えた攻撃型マルウェアです。特に企業ネットワークを標的にした二重脅迫型の手口が確認されています。

  • 拡張子「.CTS1」などが付与される:ファイル名を暗号化状態に応じて変更し、例:report.pdfreport.pdf.CTS1.CTS1.CTS7など、多段階暗号化にも対応
    • Albabatランサムウェアによって変更された壁紙

    「実際の拡張子」画像出典:PCRisk

  • ランサムノート「cAcTuS.readme.txt」を生成:攻撃後に被害者へ連絡を強要し、支払いがなければ情報を公開すると警告
    • ランサムウェアによって変更された壁紙

    「実際のランサムノート」画像出典:PCRisk

  • データの窃取と公開脅迫による二重脅迫型:盗まれたデータは外部クラウドへ転送され、支払わなければ公開される恐れがある
  • ランサムウェア本体を暗号化して自己防衛:7-Zip経由でバイナリを暗号化し、コマンドライン引数(-i, -s, -r)で展開・実行される構造により、EDRやアンチウイルスでの検出を回避
  • 復号ツールは存在せず、支払っても保証はない:公的な無料復号ツールは未確認であり、支払い後も復旧できないリスクが極めて高い

出典:Bleeping Computer

Cactusランサムウェアの手口

Cactusは、標的企業のネットワークに侵入後、システム環境を詳細に把握・操作しながら、最終的に全端末へ暗号化処理を展開します。社会的手法(偽サポート誘導)と技術的攻撃(脆弱性の悪用)を組み合わせた複合型の戦術が特徴です。

  • Fortinet VPNの脆弱性を悪用:既知のCVE(脆弱性)を突いてVPN経由でネットワーク内部に侵入
  • Qlik Senseのゼロデイ攻撃:パッチ未適用のBIツール「Qlik Sense」を足がかりに侵入
  • 偽サポートを装ったリモート操作誘導:大量の迷惑メールや電話で混乱を誘い、「Microsoft Teams」「Quick Assist」などの正規ツールで遠隔接続させる
  • 横展開と情報窃取:SoftPerfect Network ScannerやPSnmapで社内端末を探索し、Rcloneを使ってクラウドへファイルを外部送信
  • 暗号化の自動化:PowerShellスクリプト「TotalExec」により複数端末へ一括で暗号化を展開
  • セキュリティ回避の準備:Cobalt StrikeやChiselなどの攻撃ツールに加え、SplashtopやAnyDeskなど正規リモートツールを悪用し、EDRやウイルス対策ソフトをアンインストール

このようにCactusは、初期侵入 → 情報収集 → 横展開 → 情報窃取 → 暗号化という一連の流れを高度に自動化しており、気づいたときには社内システムが完全に暗号化されていた、という深刻な事態が現実に起きています。

出典:Bleeping Computer

もし現在、社内ネットワークの挙動に異変がある場合や、怪しいファイルやノートを確認した場合は、即時の隔離と専門家への連絡が最優先です。

ランサムウェア感染専門の相談先はこちら >

Cactus (.CTS1) ランサムウェアに感染した場合の対処法

ランサムウェアに感染した場合、感染を広げないための隔離対応と、証拠を残すための保全措置が最優先となります。特に法人においては、被害の全容解明や法的報告義務も発生するため、段階的かつ正確な初動対応が求められます。

>>ランサムウェア感染時の対処方法とは?一連の流れを解説

以下は、感染時に取るべき代表的な対応手順です。

  • ネットワークからの切断: 感染端末を社内ネットワークから隔離し、被害の拡大を防ぐ
  • ログなどのデータを収集: 感染日時、ユーザー操作、通信履歴などを記録し保全
  • 警察・関係機関への相談: 所轄のサイバー犯罪窓口やIPA等へ被害報告
  • バックアップからのデータ復旧: 安全なバックアップを使用し、システムを初期化・復旧
  • 専門調査会社への相談: 感染範囲・原因・証拠保全・報告書作成などを依頼

情報漏洩と個人情報保護法への対応

ランサムウェアは、近年「ファイル暗号化」に加え、情報窃取・リークサイトでの公開など、二重脅迫型の傾向も見られます。これにより、個人情報が外部に流出した可能性が高まります。

法人においては、2022年施行の改正個人情報保護法により、「漏えい等が発生した場合の報告義務・本人通知義務」が規定されています。感染時は速やかに、被害調査を実施し、報告対象か否かを判断する必要があります。詳細は以下の記事に参考ください。

>>個人情報保護法の概要と最新改正点の解説

被害調査とフォレンジック調査の重要性

ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。

そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。

>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介

このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。

>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説

ランサムウェア感染専門の相談先はこちら >

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

情報漏洩サイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。

こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービスマルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数39,451件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

規模が大きな調査会社でありながら、個人端末のハッキング調査不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

デジタルデータフォレンジックに相談する >

Cactusランサムウェアの予防策

Cactusは「感染してから対応する」では手遅れになるケースが多い、高度なランサムウェアです。被害を最小限に抑えるためには、技術面の強化と人的リスクの管理を同時に進める必要があります。

  • 脆弱性パッチの早期適用: OS、VPN機器、Qlik Senseなどの業務アプリに対し、脆弱性修正を速やかに実施
  • RDP/VPNの安全な運用: 外部公開を控え、やむを得ず利用する場合は多要素認証+IP制限を組み合わせる
  • EDR/アンチウイルスの導入: 全社端末に最新のEDR・ウイルス対策ソフトを導入し、リアルタイム監視と自動遮断を活用
  • バックアップ戦略の見直し: オフラインまたはクラウド隔離環境に定期的なバックアップを取得し、復旧テストも行う
  • フィッシング・詐欺対応訓練: 偽サポートや不審メールに関する「教育と模擬訓練」を全社員対象に実施

上記の対策は、Cactusだけでなく他の多くのランサムウェアから組織を守る上でも有効です。また、万が一感染した場合でも、適切な初動対応と専門家の調査支援によって、被害を最小限に抑えることが可能です。冷静に対応し、復号ツールや法的支援などの最新情報を活用してください。

ランサムウェア感染専門の相談先はこちら >
FunkLocker「.funksec」ランサムウェア
最新情報をチェックしよう!