Knight(.knight_l)ランサムウェアは、かつて「Cyclops」と呼ばれていたサービス型ランサムウェア(RaaS)であり、多様なOSを標的とするマルチプラットフォーム型の脅威です。
このようなRaaS型のランサムウェアは、複数の攻撃者による連鎖的な拡散を招くため、初動対応が遅れると証拠が消失する恐れがあり、被害の把握や責任の明確化が難しくなります。
本記事では、Knightランサムウェアの特徴や感染の手口、感染時に取るべき対処手順までをわかりやすく解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Knight(.knight_l)ランサムウェアとは
Knight(.knight_l)ランサムウェアは、2023年に登場したサービス型(RaaS)ランサムウェアで、Windows/Linux/macOS/ESXi/Androidなどの複数OSを標的にするマルチプラットフォーム対応型です。金融・医療・小売など幅広い業界への攻撃が報告されています。
もともとは「Cyclops(サイクロプス)」の名称で活動していましたが、2023年7月に「Knight」へと改名。その後2024年2月に運営が終了し、ソースコードが地下フォーラムで販売されたことが確認されています。
ソースコードを基に、新たな攻撃グループがRansomHubを立ち上げたとされており、RansomHubはKnightの技術的後継・リブート版と位置付けられています。コードや暗号処理、脅迫文の類似性から、両者は密接な関係にあるとされますが、運営者の継続性は確認されていません。
Knight(.knight_l)ランサムウェアの主な特徴
Knight(.knight_l)ランサムウェアは、「Cyclops」から名称変更された派生マルウェアです。実行後すぐにファイルを暗号化し、復号と引き換えに金銭を要求する構造で、現在も技術的な後継(RansomHub)が活動しています。
- 運営停止と派生:2024年2月に運営終了、ソースが流通し「RansomHub」が誕生。
- 複数OS対応:Windows・Linux・macOS・ESXi・Androidに対応したマルチプラットフォーム型。
- 二重恐喝型:ファイル暗号化+情報窃取で支払い圧力を強める手法を採用。
- 検出回避機能:EDR無効化やBYOVD技術によりセキュリティ対策をすり抜けやすい。
- RaaS構造:誰でも使えるサービス型ランサムウェアとして展開され、攻撃拡大を招いた。
Knight(.knight_l)ランサムウェアの手口
テストシステムでKnightのサンプルを実行すると、即座に暗号化が開始され、ファイル名には「.knight_l」という拡張子が付加されました。たとえば、「1.jpg」は「1.jpg.knight_l」、「2.png」は「2.png.knight_l」という形式に変化します。
「実際に暗号化されたファイル」画像出典:PCrisk
暗号化後、対象フォルダ内には「How To Restore Your Files.txt」という身代金要求メッセージが挿入されます。これは一般的なランサムウェアと同様に、復号のための支払いを求める内容です。
Knight(.knight_l)ランサムウェアはアフィリエイト型のRaaS(Ransomware as a Service)として展開されており、開発元のグループは情報窃取型マルウェアも提供しています。これにより、感染によってはファイル暗号化だけでなく、窃取したデータのリークによる二重恐喝が行われるケースも確認されています。
出典:PCrisk
Knight(.knight_l)ランサムウェアの被害を解明するフォレンジック調査の必要性
Knightランサムウェアランサムウェア被害からの復旧は、バックアップによるデータ復元だけでは不十分です。「なぜ・どこから・どのように侵入されたのか」という根本原因を明らかにしなければ、再発のリスクを抱えたままとなります。その原因究明と対策立案に不可欠なのが、フォレンジック調査です。
フォレンジック調査でわかること
フォレンジック調査とは、システムに残されたログや操作履歴、通信痕跡を収集・解析し、攻撃の事実関係を客観的に解明する専門調査です。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
Knight(.knight_l)ランサムウェアのようなRaaS型ランサムウェアでは、以下のような情報を明確にすることが可能です。
- 侵入経路の特定:RDP、VPN脆弱性、Webアプリのゼロデイ、漏洩アカウント、マルウェア付きメールなど、侵入手口を洗い出し、実際の侵入ルートを特定します。
- 被害範囲の把握:攻撃者がアクセスしたサーバー、PC、アカウントを洗い出し、影響が及んだ範囲を明確にします。
- 情報漏洩の全容解明:外部に流出した個人情報・技術資料・財務情報などの種類と量を確認します。
- マルウェアの残存確認:Knight(.knight_l)以外のマルウェアや、将来の再攻撃を狙ったバックドアが残されていないかを検証します。
- 法的証拠の保全:警察への通報や訴訟対応に備え、操作ログや通信履歴などの証拠データを正確な状態で保存します。
上記情報は、顧客や監督官庁への正確な報告や、再発防止策の策定に不可欠です。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
自力調査が招く「証拠汚染」のリスク
ランサムウェアの被害現場は、法的な観点から見れば「サイバー空間の事件現場」そのものです。自社のIT部門が善意で行う調査行為(再起動、ファイル操作、ウイルススキャンなど)が、操作ログやタイムスタンプを上書きし、証拠能力を失わせてしまうケースが後を絶ちません。
証拠が損なわれれば、警察の捜査や法的手続きが進められず、企業に不利な影響を与える可能性があります。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
Knight(.knight_l)ランサムウェアに感染した場合の対処法
Knightランサムウェアをはじめとする暗号化型マルウェアに対しては、感染拡大の防止と証拠保全を最優先とした初動対応が不可欠です。以下の対処法は、法人・個人を問わず基本となる流れです。
- ネットワークから切り離す:LANケーブルを抜く、Wi-Fiを切るなどして感染端末を隔離します。
- 再起動しない:電源のオフや再起動は避け、状態を保持します。
- 専門家に連絡:フォレンジック業者やIT担当者に速やかに相談します。
- 安全なバックアップから復元:駆除完了後に、感染前のバックアップを利用します。
- 身代金は支払わない:復号保証がなく、資金提供になるリスクがあります。
- 復号ツールの確認:無料の復号ツールが提供されていないか確認します(Knightは未確認)。
- 原因調査と再発防止:侵入経路の特定とパスワード・脆弱性の見直しを行います。
Knightランサムウェアは暗号化だけでなく、情報窃取・二重恐喝を組み合わせた攻撃が確認されており、被害は深刻化しやすい傾向にあります。対応を誤ると証拠が失われるリスクがあるため、冷静な判断と専門家による技術的支援が極めて重要です。