2024年末に登場したFunkSec(ファンクセック)は、AIを活用したマルウェア開発と低額な身代金要求で注目を集める新興ランサムウェアグループです。
FunkSecは2024年末に突如現れたランサムウェアグループで、従来の犯罪集団とは異なり、AIを使ったマルウェア開発や1万ドル以下の低額な身代金要求など独自の手法で急速に存在感を高めています。
一方、公開されている情報量の多さに反して実際の被害や攻撃者の技術水準には疑問も残っており、被害企業は証拠が消失する恐れがある中で真偽の判断と初動対応が求められます。
本記事では、FunkSecランサムウェアの手口と特徴をわかりやすく解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
FunkLocker(.funksec)ランサムウェアとは
FunkLockerは、2024年後半に登場した攻撃グループFunkSec(ファンクセック)が開発・使用するランサムウェアです。暗号化されたファイルには「.funksec」拡張子が付与され、Rust言語で記述されているため解析が難しく、ChaCha20アルゴリズムによる強力な暗号化を行います。FunkSecは1万ドル程度の低額な身代金要求や、盗んだデータの第三者販売など独自の手口で知られています。
攻撃はアメリカ、インド、イタリア、イスラエルなど複数国で確認され、政治的要素を含む標的選定やリークサイトを通じた「二重恐喝」の手法も特徴です。ただし、流出データの一部には過去のリーク再利用の可能性もあり、攻撃の信憑性や技術力にはばらつきが指摘されています。
FunkLockerはAI活用による短期間の開発・更新の象徴的存在であり、今後も派生型が登場する可能性が高く、警戒が必要です。
FunkLocker(.funksec)ランサムウェアの特徴
FunkLocker(ファンクロッカー)は、FunkSecグループが開発・使用している代表的なランサムウェアであり、ファイル拡張子「.funksec」が付与されることで識別されます。FunkSecが2024年末に登場して以降、最も多く観測されている攻撃ツールであり、AI支援による開発・改良が特徴です。
- AI支援開発と高速なバージョンアップ
- 二重恐喝型の攻撃手法(データ窃取+暗号化)
- Rust言語で開発・検出回避を強化
- 「.funksec」拡張子付与とChaCha20暗号化
- C2不要のオフライン動作と防御回避
AI支援開発と高速なバージョンアップ
FunkLockerはAIアシストツールを活用して開発・改良が行われ、FunkSec V1.5など短期間で新バージョンが登場しています。技術力の高くない運営者でも短期間で攻撃ツールを更新できるのが特徴です。
二重恐喝型の攻撃手法(データ窃取+暗号化)
感染後にファイルを暗号化するだけでなく、窃取データを自前のリークサイトに掲載して支払い圧力をかける「二重恐喝型」の手法を採用。身代金額は1万ドル程度と低額で、窃取データを1,000~5,000ドルで第三者に販売する動きも確認されています。
Rust言語で開発・検出回避を強化
Rust言語で記述されており、静的解析・検出が難しい構造を持ちます。バイナリはアルジェリアからVirusTotalに複数アップロードされ、開発者が同国にいる可能性も指摘されています。
「.funksec」拡張子付与とChaCha20暗号化
暗号化ファイルには「.funksec」拡張子が付与され、ChaCha20暗号アルゴリズムを利用した強力な暗号化を実行。権限昇格やWindows Defender無効化、シャドウコピー削除など防御回避処理を先に実行してから暗号化を開始します。
「実際に暗号化されたファイル」画像出典:PCrisk
C2不要のオフライン動作と防御回避
FunkLockerはC2(コマンド&コントロール)サーバーへの通信を必要とせず、オフラインで暗号化を完結させます。ネットワーク監視を回避し、迅速な攻撃展開が可能です。
上記特徴により、FunkLockerは「低価格+高速展開+二重恐喝+検出回避」を組み合わせた新しいタイプのランサムウェアです。証拠が消失する恐れがあるため、感染が疑われる場合は初期化や削除を急がず、証跡保全と専門家への相談を優先することが重要です。
FunkLocker(.funksec)ランサムウェアに感染した場合の対処法
FunkLockerなどのランサムウェアに感染した場合、感染を広げないための隔離対応と、証拠を残すための保全措置が最優先となります。特に法人においては、被害の全容解明や法的報告義務も発生するため、段階的かつ正確な初動対応が求められます。
以下は、感染時に取るべき代表的な対応手順です。
- ネットワークからの切断: 感染端末を社内ネットワークから隔離し、被害の拡大を防ぐ
- ログなどのデータを収集: 感染日時、ユーザー操作、通信履歴などを記録し保全
- 警察・関係機関への相談: 所轄のサイバー犯罪窓口やIPA等へ被害報告
- バックアップからのデータ復旧: 安全なバックアップを使用し、システムを初期化・復旧
- 専門調査会社への相談: 感染範囲・原因・証拠保全・報告書作成などを依頼
情報漏洩と個人情報保護法への対応
FunkLockerランサムウェアは、近年「ファイル暗号化」に加え、情報窃取・リークサイトでの公開など、二重脅迫型の傾向も見られます。これにより、個人情報が外部に流出した可能性が高まります。
法人においては、2022年施行の改正個人情報保護法により、「漏えい等が発生した場合の報告義務・本人通知義務」が規定されています。感染時は速やかに、被害調査を実施し、報告対象か否かを判断する必要があります。詳細は以下の記事に参考ください。
被害調査とフォレンジック調査の重要性
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
FunkSecランサムの被害者向けに無償の復号ツールが公開
2025年8月、Avast社がFunkSecランサムウェアの無料復号ツールを公開しました。このツールにより「.funksec」拡張子で暗号化されたファイルを攻撃者に身代金を支払わずに復旧できる可能性があります。開発元のGen社(Avast親会社)は法執行機関と連携し、FunkSecの被害情報(リークサイト上の113件)を解析して作成しました。
復号ツールの使い方
Avast社が公開した復号ツールは、Windows 64bit 環境用の実行ファイル形式で提供されており、以下の手順で利用できます。
- Avast公式サイトから「FunkSec decryptor」をダウンロード
- 管理者権限で実行(ライセンス案内を確認)
- [Next]をクリックして進む
- 暗号化ファイルがあるドライブまたはフォルダを選択(ローカルドライブ初期選択)
- 「バックアップを保持」オプションは有効にしたまま推奨
- [Decrypt]をクリックして復号を開始、完了まで待機
ツールは「.funksec」拡張子付きファイルやREADME-ランダム文字列.mdという身代金メモがある環境を対象に設計されており、復号前に必ずオリジナルのバックアップを取ることが推奨されています。
今回の公開は、低スキルな攻撃者がAIを使って開発したFunkSecランサムウェアが比較的単純な構造であることを裏付ける結果とも言えます。復号成功の可能性が高まった今、被害が疑われる場合はまずツールで確認することが現実的な対応です。