近年、企業や個人を問わず、ファイルを勝手に暗号化し金銭を要求する「ランサムウェア」の被害が拡大しています。
中でもMy Decryptor(通称:Magniber)は、正規のWindowsアップデートやMicrosoft Edgeの更新を装って感染を広げる巧妙な手口が特徴です。実行後は瞬時にファイルをロックし、復号のためにビットコインを要求してきます。
本記事では、Magniberの仕組みや感染経路、被害の内容、復号の可否、そして感染が疑われた際の初期対応のポイントをわかりやすく整理して解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
My Decryptor(Magniber)ランサムウェアとは
Magniber(マグニバー)は、「My Decryptor」とも呼ばれるランサムウェアの一種で、感染するとPC内のファイルを強制的に暗号化し、復号のために金銭(ビットコイン)を要求してきます。ファイル名の末尾に7桁のランダムな拡張子(例:.gkelhoh や .mgxofkigなど)が付け加えられ、元のファイルが開けなくなります。
暗号化完了後、「_HOW_TO_DECRYPT_MY_FILES_●●●.txt」や「README.html」などのファイルが作成され、Torブラウザ経由で指定ページにアクセスするよう誘導されます。身代金の支払額は0.2BTC(執筆時点で約11万円)とされており、期限を過ぎると金額が倍に跳ね上がるという脅し文言も含まれています。
Magniberは2017年頃から活動が確認され、当初は韓国や台湾を中心に拡散していましたが、2022年以降は欧米の個人・企業に対しても攻撃を拡大しています。偽のWindows更新通知やMicrosoft Edgeのアップデートページなどを装った感染経路が増加しています。
近年のバージョンでは、暗号化されたファイルを復号できる無料ツールは存在せず、自己判断での対応はデータをさらに損なうリスクがあります。特に業務データや顧客情報が関わる場合は、速やかに専門調査会社に相談することが重要です。
感染が疑われる場合は、まずは現状を整理し、適切な対処を進めるために、専門家のサポートを受けることを強くおすすめします。
My Decryptor(Magniber)ランサムウェアの特徴
My Decryptor(Magniber)には、以下のような特徴があります。それぞれの項目について詳しく解説します。
7文字のランダムな拡張子を付加
感染したファイルの名前は、元の拡張子の後に7桁のランダムな文字列(例:.gkelhoh や .mgxofkig)が追加されます。これにより、ファイルは開くことができなくなり、通常の復旧手順では復元できません。
例えば、「invoice.docx」が「invoice.docx.hlkyoohj」といった形式に変更され、OSやソフトウェア上でも“未知のファイル”として扱われます。
「実際に暗号化されたファイル」画像出典:PCrisk
復号方法を記載した身代金メモを作成
各暗号化されたフォルダ内に、「_HOW_TO_DECRYPT_MY_FILES_●●●.txt」「README.html」などの形式で身代金要求文書が作成されます。内容には「ファイルを復号する唯一の方法はビットコインの支払い」と記載され、指定されたTorサイトへのアクセスを要求されます。
「実際に暗号化されたファイル」画像出典:PCrisk
Torブラウザ経由で支払いページに誘導
支払いは通常のWebブラウザではアクセスできない、Torネットワーク上の「.onion」サイトを通じて行われます。サイト上では、支払先のビットコインアドレス、支払状況確認パネル、ダウンロードリンクなどが表示されます。
支払額は0.2BTCとされ、5日以内に支払わないと0.4BTCへと倍増するといった文言で被害者に圧力をかけてきます。
「My Decryptor Tor ウェブサイトのスクリーンショット」画像出典:PCrisk
デスクトップ壁紙を変更し感染を強調
一部のバージョンでは、Windowsのデスクトップ壁紙を「あなたのファイルは暗号化された」などのメッセージ画像に変更し、感染に気づかせる手口が用いられます。これにより、ユーザーが通知に気づかないリスクを低減し、早期に支払いを促す狙いがあります。
感染経路は偽のアップデートや広告リンク
近年の事例では、Microsoft Edgeの更新通知を装ったページや、Windows 10の偽セキュリティアップデートページから感染するケースが増えています。これらのサイトは広告ネットワークを介して配信され、公式に似たデザインでユーザーを騙します。
出典:PCrisk
My Decryptor(Magniber)ランサムウェアの被害事例
2024年7月以降、Magniberの大規模な攻撃キャンペーンが再発しており、個人ユーザーを中心に暗号化被害が急増しています。BleepingComputerによると、感染の多くは「ソフトウェアクラック」や「キー生成ツール」の実行によるものと見られ、使用直後に暗号化が始まる事例が複数報告されています。
感染後は、ファイル名の末尾に5〜9文字のランダムな拡張子(例:.oaxysw、.oymtkなど)が付加され、READ_ME.htmという身代金要求ファイルが作成されます。身代金は1,000ドル、3日以内に支払わなければ5,000ドルに増額されるという脅迫文が表示されるのが特徴です。
なお、AhnLabが2018年に提供した復号ツールはこの新バージョンには対応しておらず、現在のMagniberに対して無料復号は不可能とされています。
ランサムウェアの被害を解明するフォレンジック調査の必要性
ランサムウェア被害からの復旧は、バックアップによるデータ復元だけでは不十分です。「なぜ・どこから・どのように侵入されたのか」という根本原因を明らかにしなければ、再発のリスクを抱えたままとなります。その原因究明と対策立案に不可欠なのが、フォレンジック調査です。
フォレンジック調査でわかること
フォレンジック調査とは、システムや端末に残された操作記録・ログ・通信履歴などの客観的な証拠を収集・解析し、攻撃の全体像を明らかにする専門的な調査です。
フォレンジック調査では、ランサムウェアによって暗号化や削除が行われたシステムを対象に、操作履歴や通信ログを解析し、被害の経緯を科学的に特定します。これにより、攻撃の開始地点や被害範囲、データ消失の原因を客観的に明らかにできます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
ランサムウェアのように、削除動作やタイマーを伴うタイプでは、次のような調査が有効です。
- 侵入経路の特定:感染の起点となったメール、偽サイト、ソフトウェア更新などを解析し、端末への侵入経路を明確にします。
- 暗号化・削除の発生源解析:どのプロセスがファイル操作を行ったかを特定し、暗号化や削除の実行タイミングを再現します。
- 影響範囲の確認:暗号化や削除が発生したファイル、フォルダ、外部ストレージの範囲を洗い出し、復旧可能性を評価します。
- 残存マルウェアの検証:不正プログラムやバックドアが残っていないかを調査します。
- 法的証拠の保全:通信履歴や操作ログを改ざんされない形式で保存し、警察や監督官庁への報告資料として活用します。
上記情報は、原因説明や再発防止策の策定、顧客や監督機関への報告に必要不可欠です。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
自力調査が招く「証拠汚染」のリスク
ランサムウェア被害が発生した環境は、法的には「サイバー事件現場」にあたります。社内担当者が善意で実施する再起動やウイルススキャン、不要ファイル削除といった操作が、証拠データの上書きや削除を引き起こすおそれがあります。
証拠が損なわれると、感染経路の特定や被害範囲の裏付けが不可能になり、警察の捜査や損害賠償の立証にも支障が出ます。初期対応では、電源の強制遮断やスキャン実行を避け、専門調査会社に相談することが推奨されます。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
Jigsawのようにファイルを削除するタイプのランサムウェアでは、初期の対応遅れが被害拡大につながります。調査を迅速に実施するためにも、感染が疑われる段階でフォレンジック専門会社へ相談することが重要です。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃、ランサムウェア感染といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
まとめ
My Decryptor(Magniber)は、ファイル末尾のランダム拡張子付与やTor経由の支払い要求など、典型的なランサムウェアの特徴を持ちつつ、一部バージョンでは無料復号が可能な稀なケースです。しかしながら、バージョンの違いや復号失敗のリスク、誤操作による証拠の破壊といった危険も伴います。
特に企業や組織で感染が発生した場合、暗号化されたデータの中に機密情報が含まれている可能性が高く、対応を誤ると二次被害や信用失墜につながりかねません。感染が疑われる時点で、速やかに専門業者へ相談することを強くおすすめします。
無料で復号可能な事例であっても、正しいバージョンの識別とツールの安全な導入が不可欠です。安易な支払い・自力復旧ではなく、まずは証拠保全と専門判断を優先しましょう。