2025年に新たに確認された「VanHelsingランサムウェア」は、RaaS(Ransomware as a Service)として展開され、法人を主な標的とした攻撃で注目を集めています。従来の手口に加えて、拡張子の変更や複数亜種の同時展開といった特徴があります。
特に初動対応を誤ると、証拠が消失する恐れがあり、被害の拡大や復旧遅延につながるリスクが高まります。
そこで本記事では、VanHelsingランサムウェアの概要から攻撃手法の詳細、感染後の症状、想定される亜種、そして企業が取るべき初動対応のポイントまでをわかりやすく解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
VanHelsingランサムウェアとは
VanHelsingランサムウェアは、C++で書かれており、他のランサム系と同様に感染後すぐにファイルを暗号化しますが、いくつか独自の挙動が報告されています。
- 2025年に出現した新型RaaS
- 感染したファイルの拡張子を「.vanhelsing」に変更
- 既に亜種も確認されている
2025年に出現した新型RaaS
VanHelsingランサムウェアは、2025年3月に観測された新種のランサムウェアで、いわゆるRaaS(Ransomware as a Service)型の攻撃プラットフォームに分類されます。これは、攻撃者が独自にマルウェアを開発するのではなく、誰でもランサムウェアを使って攻撃を仕掛けられるように提供される仕組みです。
運営者とアフィリエイト(実行者)という構造で構成され、VanHelsingの開発者は、インフラ提供・収益分配・更新対応を行い、各アフィリエイトは企業ネットワークへの侵入や感染活動を担当します。
VanHelsingランサムウェアはWindows、Linux、BSD、ARM、ESXiシステムなど、複数のプラットフォームを標的としていることが判明しています。
感染したファイルの拡張子を「.vanhelsing」に変更
VanHelsingランサムウェアは、暗号化前にデータを盗み出し、身代金を支払わなければ情報を漏らすと脅迫する、いわゆる二重脅迫モデルを採用しています。このランサムウェアに感染した端末では、壁紙が変更され、さらに重要な Windowsファイルとフォルダを除くファイルの拡張子が「.vanhelsing」に変更され、身代金を要求するメモが残されます。
また、VanHelsingランサムウェアはWindowsのシャドウコピーを削除する機能を備えており、感染後の復旧を困難にしています。
既に亜種も確認されている
VanHelsingランサムウェアは、2025年3月時点で3組織への攻撃が確認されており、50万ドルの身代金を要求してきたことが判明しています。
またVanHelsingランサムウェアは、短期間でWindowsを標的とする亜種や、Linux、BSD、ARM、ESXiシステムを標的とする亜種が作成されたことが確認されています。
ランサムウェアの感染経路
一般的なランサムウェアの代表的な感染経路には以下のようなものがあります。
>>ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説
- VPN機器の脆弱性を利用した感染
- 脆弱なRDP(リモートデスクトップ)設定を悪用した不正ログイン
- 不審メールやその他添付ファイルを利用した感染
出典:警察庁
VanHelsingランサムウェアが特定の感染経路で感染しているという情報は現時点で確認できませんでしたが、 ランサムウェアの傾向として脆弱性やフィッシングメールを利用した感染が多数を占める傾向にあるので、OSのアップデートやセキュリティパッチの適用などは常日頃から行うことを推奨します。
もしもVanHelsingランサムウェアに感染した場合は、専門家に相談し、感染被害に遭った端末や情報漏洩などを調査し、被害を適切に把握してからセキュリティ対策を実施して再発防止に努めましょう。
ランサムウェアに感染した時の対処法
ランサムウェアの感染が疑われる段階では、慌てて初期化や削除を行わず、事実の保持と被害の拡大抑止を優先する必要があります。ここでは、ランサムウェアに感染した場合に行うべき初動のステップを順を追って解説します。
- ネットワークから隔離する
- 証拠保全
- 影響範囲の把握
- サイバーセキュリティの専門業者に相談する
ネットワークから隔離する
まずは感染端末をネットワークから隔離し、拡散防止を図ることが重要です。ただし、電源を落とすと揮発性のログやメモリ情報が失われるため、慎重な判断が求められます。
ネットワークから隔離する手順は以下の通りです。
- LANやWi-Fiを遮断し、ネットワークから隔離する
- 感染が疑われる端末の使用を中止する(電源断は避ける)
- 関係者に共有フォルダや外部ストレージの使用を中止させる
証拠保全
後の調査や復旧のためには、感染状況をそのまま記録・保全することが欠かせません。操作ログやランサムノート、暗号化の形跡を正しく残しておきましょう。
証拠保全の手順は以下の通りです。
- 復号メモや拡張子の変化をスクリーンショットで記録
- ログファイル・バックアップを取得し、別媒体に保存
- ファイル構造や変更日時の一覧をエクスポートする
影響範囲の把握
どの端末やファイルが影響を受けたか、感染の起点や拡大範囲を時系列で把握することが、被害の最小化と再発防止に直結します。
ランサムウェアのの影響範囲の把握方法は以下の通りです。
- 暗号化されたファイルの一覧と時刻を取得
- アクセスログから感染時刻・アカウントの特定を試みる
- バックアップ状況を確認し、復旧可能な範囲を明確化
>>【やってはいけないこと7選】ランサムウェア感染初動のミスが被害拡大を招く
サイバーセキュリティの専門業者に相談する
上記のような初動対応をすべて自社で行うのは難しく、特に証拠が消失する恐れがある場合は専門業者の支援を受けることが重要です。
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
VanHelsingランサムウェアの感染対策
VanHelsingのようなRaaS型ランサムウェアに備えるためには、日常のセキュリティ運用を見直し、技術的対策と組織的対策をバランスよく実施することが重要です。ここでは、実践的かつ再発防止にもつながる感染対策の基本を紹介します。
- リモートアクセスのセキュリティ強化
- 多要素認証(MFA)の全社導入
- バックアップ体制の再設計
リモートアクセスのセキュリティ強化
ランサムウェアはRDPなどの外部アクセス経路から侵入する事例が多いため、リモート接続の強化は急務です。具体的にはRDPポートの公開停止やVPNの利用制限、IP制限、ログ監視を導入し、不審な接続試行を早期に検知できるようにします。
- RDPを外部公開している場合は遮断し、VPN経由に限定する
- IPホワイトリスト制御・地理的制限を導入する
- RDP接続のログ取得・定期レビューを実施する
多要素認証(MFA)の全社導入
アカウント乗っ取りを防ぐ有効な手段としてMFA(多要素認証)の導入が推奨されます。管理者アカウントだけでなく、クラウドサービスやSaaSにアクセスする全ユーザーに対して適用することで、初期侵入リスクを大幅に軽減できます。
- クラウド管理コンソールのMFA設定を義務化する
- 業務アプリ・メールなども対象範囲に加える
- MFAの導入状況を社内で定期的に監査する
バックアップ体制の再設計
VanHelsingはシャドウコピーの削除などを試みる傾向があります。そのため、隔離された外部バックアップやオフラインバックアップを定期的に取得し、万が一暗号化されても復元できる体制を整えておく必要があります。
- バックアップはネットワークから分離した場所に保存する
- 定期的にリストアテストを実施し、可用性を確認する
- 取得ログと変更監視でバックアップ破壊の兆候を検知する
まとめ
2025年に登場したVanHelsingランサムウェアは、RaaS型(サービス型)の特性を持つ高度なマルウェアであり、法人を標的とした攻撃が拡大しています。拡張子変更や亜種の出現など、検知や防御が難しい点も特徴です。
今回ご紹介した内容を振り返ると、次のような対応が重要となります。
- 感染時はまず隔離と証拠保全を優先し、上書きや初期化を避ける
- 感染防止にはMFAやネットワーク制限、オフラインバックアップが有効
- 被害の範囲や経路を正確に把握するには、専門調査の実施が効果的
暗号化や情報漏えいといった直接的な被害だけでなく、調査や報告対応にかかる時間・コストも見落とせません。特に感染時の痕跡が消失する恐れがあるため、早い段階での専門家への相談が被害拡大を防ぐ鍵となります。