Lynx(.LYNX)ランサムウェアは、2024年以降に確認された比較的新しいマルウェアで、ファイルの暗号化と同時に機密データを抜き取り、公開をほのめかして身代金を要求する「二重脅迫型」の攻撃手法をとります。特に法人を標的とした事例が多く、米国や欧州では20社以上が被害に遭っています。
こうした高度なランサムウェアは、一般的なウイルス対策やバックアップ運用だけでは被害の防止が難しい恐れがあり、攻撃の構造や流れを事前に理解しておくことが重要です。
本記事では、Lynxランサムウェアの特徴や攻撃手口をわかりやすく解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Lynx(.LYNX)ランサムウェアとは
Lynxランサムウェアは、ファイルを暗号化し復号の見返りに身代金を要求する「ランサムウェア」の一種で、同時に機密データを窃取して公開をちらつかせる「二重脅迫」型の攻撃を行います。
暗号化後は「.LYNX」という拡張子が付けられ、「README.txt」の脅迫文と壁紙変更により被害を通知。Torネットワーク上のリークサイト(DLS)には、実際に被害者情報が掲載されるケースも確認されています。
「Lynx のデスクトップ壁紙」画像出典:PCrisk
Lynxランサムウェアは、かつてのINCランサムウェアのコードを再利用して開発されたとされ、開発・運用は「Lynxランサムウェアグループ」が行っています。同グループは「RaaS(Ransomware-as-a-Service)」モデルを採用し、協力者が攻撃を展開、報酬として身代金の8割を得る仕組みです。
標的は主に不動産・小売・金融などの民間企業で、Windows・Linux・ESXiといった複数環境に対応します。復旧を妨げるため、バックアップ削除なども行われるため、対策には高度な対応が求められます。
出典:PCrisk
高度化・巧妙化が進むLynxランサムウェアに対し、被害の最小化や正確な事実確認には、専門的な調査と対応が欠かせません。まずは専門業者に相談し、状況を客観的に把握することが重要です。
Lynx(.LYNX)ランサムウェアの特徴と攻撃手口
Lynxランサムウェアには、高度な暗号化技術と多機能な攻撃基盤、専用リークサイトによる公開型の二重脅迫など、非常に洗練された特徴があります。さらに、LynxグループはRaaS(Ransomware-as-a-Service)モデルを採用し、複数のアフィリエイトによって攻撃が展開されています。
- .LYNX拡張子と多段階暗号化技術
- データ窃取と二重脅迫(リークサイト)
- 感染経路:VPN脆弱性・フィッシング
- マルチアーキテクチャ対応と幅広い攻撃対象
- アフィリエイト構造と報酬制度
- プロフェッショナルな運用・勧誘体制
.LYNX拡張子と多段階暗号化技術
Lynxランサムウェアは、被害ファイルに「.LYNX」という拡張子を付加し、AES-128(CTRモード)やCurve25519 Donnaといった強力な暗号化アルゴリズムを使用します。
暗号化には「fast」「medium」「slow」「entire」といった複数のモードがあり、攻撃者(アフィリエイト)が暗号化速度と深度を選択できます。これにより、環境に応じた柔軟な攻撃が可能となっています。
「実際に暗号化されたファイル」画像出典:PCrisk
データ窃取と二重脅迫(リークサイト)
Lynxは典型的な「二重脅迫」型の戦術を採用しており、まず被害者のファイルを外部に窃取した上で、暗号化を行います。身代金の支払いがない場合、データを「DLS(Dedicated Leak Site)」に公開すると脅迫します。
DLSでは、被害企業名・攻撃日時・漏洩データの一部などが晒され、ブランドイメージや取引先の信頼にも深刻な影響を及ぼします。
感染経路はVPN脆弱性・フィッシング
初期侵入の多くはVPN機器の脆弱性や、従業員をターゲットにしたフィッシングメール経由です。侵入後、Lynxは認証情報の奪取や特権昇格、バックアップやシャドウコピーの削除、セキュリティソフトの停止を行い、復旧を妨害します。
マルチアーキテクチャ対応と幅広い攻撃対象
LynxはWindows・Linuxだけでなく、ESXi(仮想化環境)にも対応したバイナリを含む「All-in-One Archive」を提供しています。ARM・MIPS・PowerPCなど、複数のアーキテクチャにも対応しており、幅広いネットワーク環境で攻撃可能です。
アフィリエイト構造と報酬制度
Lynxは専用の「アフィリエイトパネル(管理画面)」を持ち、攻撃者が被害者情報を登録し、ランサムウェアを自動生成・配布・管理できるようになっています。構成は「News」「Companies」「Leaks」「Chats」などに分かれ、直感的な操作が可能です。
アフィリエイトは身代金の80%を受け取り、交渉・支払いアドレスの管理も完全に委ねられています。さらに、実績の高いアフィリエイトには専用ストレージやコールセンターによる被害者への圧力支援などの「特典」も用意されています。
プロフェッショナルな運用・勧誘体制
Lynxグループは地下フォーラムを通じて、経験豊富なペネトレーションテスター(侵入専門チーム)を募集しています。参加には厳しい審査があり、信頼性の高いチームのみが活動に加わることができます。
また、同グループは医療機関・政府・非営利団体など「民間人の生活に直結する組織」は攻撃対象から外すと公言しており、特定の業界に絞った倫理的ポジションを装っています。
このようにLynxは、技術・運用の両面で極めて組織化されており、一般的なセキュリティ対策では見落とされがちな脅威です。被害が疑われる場合は、自己判断を避けて専門家に相談することをおすすめします。
Lynxランサムウェア最近の攻撃動向
2024年12月、ルーマニア最大級の電力供給企業である「Electricaグループ」が、Lynxランサムウェアによるサイバー攻撃の被害を受けたことが明らかになりました。
国家サイバーセキュリティ総局(DNSC)は、攻撃の原因をLynxランサムウェアグループの仕業と断定し、同社の送電・制御系(SCADA)など重要インフラは無事だったものの、一部システムが暗号化被害を受けたと発表しています。
DNSCは同業他社に対してYARAルールによるスキャンを推奨しており、Lynxの被害は電力・エネルギー関連を中心に世界で拡大中です。
Lynxは、かつて活動していたINCランサムウェアのコードを流用したRaaS型(サービス提供型)ランサムウェアであり、2024年後半には米国や欧州の20以上のエネルギー関連企業を含む78件以上の被害が報告されています。
Lynx(.LYNX)ランサムウェアに感染した場合の対処法
ランサムウェアに感染した場合、感染を広げないための隔離対応と、証拠を残すための保全措置が最優先となります。特に法人においては、被害の全容解明や法的報告義務も発生するため、段階的かつ正確な初動対応が求められます。
以下は、感染時に取るべき代表的な対応手順です。
- ネットワークからの切断: 感染端末を社内ネットワークから隔離し、被害の拡大を防ぐ
- ログなどのデータを収集: 感染日時、ユーザー操作、通信履歴などを記録し保全
- 警察・関係機関への相談: 所轄のサイバー犯罪窓口やIPA等へ被害報告
- バックアップからのデータ復旧: 安全なバックアップを使用し、システムを初期化・復旧
- 専門調査会社への相談: 感染範囲・原因・証拠保全・報告書作成などを依頼
情報漏洩と個人情報保護法への対応
ランサムウェアは、近年「ファイル暗号化」に加え、情報窃取・リークサイトでの公開など、二重脅迫型の傾向も見られます。これにより、個人情報が外部に流出した可能性が高まります。
法人においては、2022年施行の改正個人情報保護法により、「漏えい等が発生した場合の報告義務・本人通知義務」が規定されています。感染時は速やかに、被害調査を実施し、報告対象か否かを判断する必要があります。詳細は以下の記事に参考ください。
被害調査とフォレンジック調査の重要性
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃、ランサムウェア感染といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
まとめ
もし不審な挙動や感染の可能性に気づいた場合は、初動の誤判断を避け、フォレンジック調査会社など専門業者への早期相談をおすすめします。デジタル証拠の保全、感染経路の特定、被害範囲の明確化まで一貫対応する体制があれば、法的・社内対応もスムーズに進められます。
今後のサイバー攻撃に備えるためにも、社内のセキュリティ体制の見直しとともに、外部パートナーの活用も視野に入れておくことが重要です。