ファイルが突然開かなくなったり、「.dharma」など見慣れない拡張子に変わっていたら、それはDharmaランサムウェアによる被害の可能性があります。Dharmaランサムウェアに感染すると企業サーバーのファイルデータが人質に取られ、復号と引き換えにビットコインでの支払いを要求されるケースが後を絶ちません。
こうした攻撃は、初動を誤ると証拠が消失する恐れがあり、原因の特定や再発防止が困難になります。特にファイルの削除やシステムの初期化を行うと、解析に必要なログやマルウェアの痕跡が失われるリスクもあります。
そこで本記事では、Dharmaランサムウェア及びその亜種の特徴や代表的な感染経路、過去の感染事例、感染時の適切な初動対応について専門的な視点から解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Dharmaランサムウェアの特徴
Dharmaランサムウェアに感染したファイルの拡張子は「.dharma」や一意のID、攻撃者のメールアドレスなどが追加されて暗号化されます。そして「How to restore data.txt」「FILES ENCRYPTED.txt」、「README.txt」、「Document.txt.[amagnus@india.com].zzzzz」などといった題名の脅迫文をデスクトップ上に表示させます。
画像出典:PCrisk
脅迫文の中身はファイルの復号と引き換えに9,000 ドル程度の仮想通貨による身代金支払いを求める内容です。
DharmaランサムウェアとRaaSモデル
Dharmaは、「RaaS(Ransomware-as-a-Service)」と呼ばれる、ランサムウェアをサービスとして提供するモデルに基づいて運用されています。
このモデルでは、開発者(運営側)がランサムウェアの本体、管理用のパネル、配布インフラなどを用意し、それらを攻撃者に提供します。
攻撃者はRaaSを通じて攻撃を実行し、得られた身代金を開発者と一定割合で分配するビジネス構造が形成されています。
この仕組みにより、高度な技術を持たない人物でもランサムウェア攻撃を実行できるようになり、Dharmaランサムウェアの被害が世界中に広がる一因となっています。
Dharmaランサムウェアの起源と亜種
Dharmaランサムウェアは、2016年3月に初めて確認された「CrySIS(クリシス)」ランサムウェアの派生型(亜種)として登場しました。
CrySISをベースにしたDharmaはその後も活発に開発が続けられ、ファイル拡張子や暗号化ロジックをわずかに変えた多数の派生亜種が出現しています。
これらの亜種は動作の基本構造こそ共通しており、実質的には類似の挙動を示す「量産型ランサムウェア」として広く認知されています。
代表的なDharmaランサムウェアの亜種の拡張子の例として、以下のようなものがあります。
- .KICK
- (メールアドレス).wallet
- . crash
- .adobe
このように、Dharmaランサムウェアは単一のランサムウェアというよりも、「Dharmaファミリー」と呼ばれる亜種群として広く認識されております。
出典:PCrisk
関係者と見られる人物が逮捕されるもDharmaの亜種は健在
2021年にDharmaランサムウェア含む、1800件以上のランサムウェア感染に関与したとみられる関係者12人がユーロポールに逮捕されました。
一方で、Dharmaランサムウェアは単一の攻撃者ではなく、サービスによって複数人にランサムウェアを提供できる仕組みとなっていたため、以降もDharmaランサムウェアの亜種の感染被害は続いております。
このように、個別の関係者が摘発されても、その背景には広範なランサムウェア供給ネットワークが存在しているため、被害リスクは依然として高いままです。暗号化被害に気づいた場合は、早期に専門調査を行い、被害範囲と感染経路の確認を進めることが推奨されます。
Dharmaランサムウェアの感染経路
Dharmaランサムウェアの感染は、主に社内ネットワークへのリモート接続が許可された環境を標的とする傾向があります。
中でも特に狙われやすいのが、RDP(Remote Desktop Protocol:リモート接続用の通信プロトコル)です。
攻撃者は、インターネット上に公開されているRDPポートをスキャンし、辞書攻撃(パスワードの総当たり)やブルートフォース攻撃を用いて不正ログインを試みます。
ログインに成功すると、攻撃者はリモート接続を通じて手動でマルウェアを展開し、ネットワーク内の他の端末やサーバーへ感染を広げていきます。
また、RDPのほかにも以下のような感染経路が確認されています。
- 侵害されたVPNアカウントを利用した侵入
- スパムメールの添付ファイルを利用した侵入
>>ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説
Dharmaランサムウェアの最近の感染事例
>>【実例あり】ランサムウェア被害事例を徹底解説|感染対策とおすすめ調査会社も紹介
CrySIS/Dharmaランサムウェアは近年亜種の感染事例が国内で報告されています。
IPAのレポートによると2023年2月から9月にかけて、Dharmaランサムウェアの亜種の感染が少なくとも4件報告されており、各報告内容によると、RDPによる侵入やVPNの設定不備などが原因と推定されていることが判明しています。
出典:IPA「コンピュータウイルス・ 不正アクセスの届出事例2023年下半期(7月~12月)」
レイメイ藤井の感染事例
2025年8月、文具メーカーのレイメイ藤井の一部サーバーがCrySIS/Dharmaランサムウェアの亜種に感染し、ファイルが暗号化されました。
調査の結果によると、社外ネットワーク経由でコンピューターをリモート操作して不正アクセスを行い、複数のサーバーに接続が行われました。
一連の攻撃により展開されたランサムウェアがファイルを暗号化したと公表されています。
今回の攻撃では「リークサイト」と呼ばれる公開掲示板のようなサイトのリンクは脅迫文に書かれておらず、攻撃者グループのリークサイトや機密情報の情報漏洩は現時点で確認されていないとのことです。
ランサムウェア感染時の対処法
ランサムウェアに感染した場合、適切な初動対応がその後の被害の拡大を防ぐことにつながります。
ネットワークからの切断
感染が確認された端末は、直ちにネットワークから切断します。LANケーブルを抜くか、Wi-Fiをオフにすることで、物理的に接続を遮断し、ランサムウェアの拡散を防ぐことにより、他の端末やシステムへの感染が防がれ、攻撃者によるデータの窃取や追加のマルウェアのダウンロードを阻止できます。
ログなどのデータを収集
感染端末のシステムログやネットワークログ、セキュリティソフトのログなどを収集し、攻撃の経路や範囲を特定します。また、暗号化されたファイルの拡張子や表示されたランサムノートの内容を記録することで、ランサムウェアの種類を特定し、適切な対応策を検討できます。法的対応や保険請求の際の証拠としても有用です。
警察への相談
警察のサイバー犯罪対策課に速やかに相談することが重要です。最新の脅威情報や対策に関するアドバイスを受けることができ、被害届を提出することで犯罪統計に反映され、将来的な対策強化につながります。国際的な捜査協力を通じて、攻撃者の特定や資金の追跡が進む可能性もあります。
データ復旧
定期的に取得したバックアップがある場合、データを復旧できる可能性があります。ただし、復旧作業を行う前に、バックアップが感染前のものであることを確認することが重要です。作業は、安全な環境で実施し、感染源を完全に排除した後に行うことで、再感染のリスクを防ぎます。
専門家への相談
ランサムウェアに感染した場合、不正アクセスなどを通じて情報漏洩が発生している可能性が高いため、ランサムウェア感染調査会社に相談することを推奨します。専門家による分析を受けることで、感染経路の特定や影響範囲の正確な把握が可能となり、迅速な対策につなげることができます。
特に法人においては、個人情報が漏洩した場合、「改正個人情報保護法」(2022年4月施行)に基づき、調査と対応が求められます。専門家の支援を受けることで、適切な報告や法的義務の履行を円滑に進めることができ、被害の拡大を防ぐことにつながります。
詳細は以下の記事を参考にしてください。
被害調査とフォレンジック調査の重要性
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
まとめ
Dharmaランサムウェアは、過去に関係者が逮捕されても、ランサムウェアの亜種が現在も発見されています。
ランサムウェアの被害を受けた場合には、まず感染端末を隔離し、証拠を保全した上で影響範囲を特定することが重要です。そのうえで、専門業者に相談することで正確な原因調査と再発防止策の立案につながります。
放置や誤った対応は、被害が拡大する恐れがあるため、早期の行動が最善の防御策となります。