Rhysida(リシダ)ランサムウェアは、近年被害が拡大している新興のRaaS(Ransomware-as-a-Service)型マルウェアのひとつです。2023年以降、医療機関や教育機関、行政機関などを標的に暗号化とデータ公開を組み合わせた二重恐喝攻撃が確認されています。
攻撃の巧妙化に加え、証拠が消失する恐れがあることから、感染初期の兆候や手口を正確に把握し、早期の対処が必要です。
そこで本記事では、Rhysidaランサムウェアの仕組みや攻撃グループの特徴、感染時の兆候、緊急対応、予防策に至るまで、初めての方でも理解できるよう専門家の視点から解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Rhysidaランサムウェアとは何か
Rhysidaランサムウェアは、2023年に初めて公的に報告された新型のランサムウェアであり、RaaS(Ransomware-as-a-Service)モデルによって複数の攻撃者に利用されています。特徴的なのは、身代金要求だけでなく、データを漏えいさせると脅す二重恐喝の手法です。
2023年半ば、複数の医療機関と大学が同時多発的に攻撃を受けたことから話題になりました。感染後、ファイルの拡張子が「.rhysida」に変更され、復号キーの支払いを促すランサムノート「CriticalBreachDetected.pdf」が表示されるという特徴的な挙動が見られます。
画像出典:PCrisk
攻撃インフラや通信先はTorを通じて隠蔽されており、各国の捜査機関でも分析が進められている状況です。
出典:CISA
Rhysida攻撃グループの手口と特徴
Rhysidaランサムウェアは、単なるマルウェアの拡散にとどまらず、心理的な揺さぶりや戦略的な拡散手法を組み合わせた攻撃で知られています。以下では、攻撃グループの特徴的な偽装手口や感染経路、標的とされる業界について詳しく見ていきます。
- 「サイバーセキュリティチーム」を名乗る偽装手法
- フィッシングやCobalt Strikeを悪用した感染経路
- ヘルスケア・教育・公共部門への標的型攻撃
「サイバーセキュリティチーム」を名乗る偽装手法
Rhysidaの攻撃グループは、暗号化後に表示されるランサムノート内で自らを「サイバーセキュリティチーム」と名乗り、セキュリティの改善を目的とした“教育的活動”だと主張します。これにより、企業の恐怖心と混乱を煽りながら、支払いへと誘導する狙いがあります。
このような表現は、脅迫の意図をカモフラージュすることで交渉を有利に進める戦略の一環と考えられています。
フィッシングやCobalt Strikeを悪用した感染経路
Rhysidaは複数の感染経路を持っており、主に以下の3つが報告されています:
- フィッシングメール:偽の通知や請求書を装ったメールに添付されたファイルやリンクからマルウェアが実行される。
- Cobalt Strikeの悪用:本来はセキュリティツールとして使用されるCobalt Strikeを攻撃インフラとして用い、内部ネットワークへの横展開を実行。
これらを組み合わせることで、侵入から暗号化までの速度と正確性が増しています。
出典:CISA
医療・教育・公共部門への標的型攻撃
Rhysidaランサムウェアは教育、医療、製造、情報技術、政府機関などで感染が確認されています。これらの組織は人命や社会インフラに関わる業務を担っており、復旧の緊急性が高いことから、攻撃者にとって交渉しやすいターゲットとされています。
Rhysidaランサムウェア感染の初期兆候
ランサムウェアの感染は、明確な被害(暗号化)として発覚する前に、いくつかの予兆が現れることがあります。Rhysidaも例外ではなく、初期段階で異常な挙動や通信の兆候が観測されることがあります。ここでは、感染初期に確認すべき代表的な兆候や、監視のポイントを解説します。
- システムログや通信異常のサイン
- 疑わしいファイル名・プロセスの見分け方
- 企業が押さえるべき監視ポイント
システムログや通信異常のサイン
Rhysida感染の前段階では、以下のようなログ異常が観測されることがあります。
- 深夜・休日など非稼働時間帯におけるRDPのログイン試行
- 不審なPowerShellやWMI(Windows Management Instrumentation)の実行履歴
- Cobalt StrikeやMeterpreterなどのツールと類似するBeacon通信
こうした動きは通常の業務とは異なる傾向を持つため、ログの相関分析が重要です。
疑わしいファイル名・プロセスの見分け方
Rhysidaでは、特定のプロセスやファイル構成が観測されています。たとえば:
- 「CriticalBreachDetected.pdf」などのランサムノートファイル
- ファイルの拡張子が「.rhysida」に変更されたデータ
- 一時フォルダや隠しディレクトリに存在する不審な実行ファイル
これらは一般ユーザーには気づきにくいため、EDR(エンドポイント検知)などによる定期スキャンが推奨されます。
企業が押さえるべき監視ポイント
感染兆候の早期検知には、以下のような挙動がないか監視しましょう。
- EDR/IDS/IPSでの不審な挙動アラート(例:ラテラルムーブメント)
- ファイルアクセス・変更ログの異常(大量の暗号化や拡張子変更)
- 内部から外部への大量通信(データ窃取を示唆)
特に「普段と違う動き」に気づけるよう、基準の定義と自動通知の仕組みを構築しておくことが重要です。このような挙動が見られたらすぐに専門家に相談し、ランサムウェアに感染していないか調査しましょう。
ランサムウェアに感染した時の対処法
感染が疑われる段階では、慌てて初期化や削除を行わず、事実の保持と被害の拡大抑止を優先する必要があります。ここでは、ランサムウェアに感染した場合に行うべき初動のステップを順を追って解説します。
- ネットワークから隔離する
- 証拠保全
- 影響範囲の把握
- サイバーセキュリティの専門業者に相談する
ネットワークから隔離する
まずは感染端末をネットワークから隔離し、拡散防止を図ることが重要です。ただし、電源を落とすと揮発性のログやメモリ情報が失われるため、慎重な判断が求められます。
ネットワークから隔離する手順は以下の通りです。
- LANやWi-Fiを遮断し、ネットワークから隔離する
- 感染が疑われる端末の使用を中止する(電源断は避ける)
- 関係者に共有フォルダや外部ストレージの使用を中止させる
証拠保全
後の調査や復旧のためには、感染状況をそのまま記録・保全することが欠かせません。操作ログやランサムノート、暗号化の形跡を正しく残しておきましょう。
証拠保全の手順は以下の通りです。
- 復号メモや拡張子の変化をスクリーンショットで記録
- ログファイル・バックアップを取得し、別媒体に保存
- ファイル構造や変更日時の一覧をエクスポートする
影響範囲の把握
どの端末やファイルが影響を受けたか、感染の起点や拡大範囲を時系列で把握することが、被害の最小化と再発防止に直結します。
ランサムウェアのの影響範囲の把握方法は以下の通りです。
- 暗号化されたファイルの一覧と時刻を取得
- アクセスログから感染時刻・アカウントの特定を試みる
- バックアップ状況を確認し、復旧可能な範囲を明確化
>>【やってはいけないこと7選】ランサムウェア感染初動のミスが被害拡大を招く
サイバーセキュリティの専門業者に相談する
上記のような初動対応をすべて自社で行うのは難しく、特に証拠が消失する恐れがある場合は専門業者の支援を受けることが重要です。
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
Rhysidaランサムウェアへの有効な対策
Rhysidaは日々進化しながら新たな手口で侵入・感染を試みます。対策としては単一の技術や製品に依存せず、多層的な防御と運用面での徹底が必要です。ここでは、現実的かつ効果的な対策の柱を4つに分けて解説します。
- パッチ管理と多層防御の徹底
- ユーザー教育とフィッシング対策
- バックアップ戦略とオフライン保管
- 侵入検知システム(IDS/IPS)の強化
パッチ管理と多層防御の徹底
Rhysidaは脆弱性のあるVPNやWebアプリを狙うことが多いため、OSやソフトウェアのパッチ管理を継続的に行いましょう。さらに、ネットワークの境界だけでなく、内部でも不審な活動を検知できる仕組みが不可欠です。
- 脆弱性情報を定期確認し、早急にパッチを適用する
- EDR/AV/ファイアウォールなどを多層的に組み合わせる
- 管理者権限の最小化と特権IDのアクセス制御を行う
ユーザー教育とフィッシング対策
攻撃者はユーザーの「うっかり」を狙ってメールやWebリンクから侵入してきます。特に標的型のフィッシング攻撃は巧妙になっており、教育と訓練が極めて重要です。
- 毎月1回以上のセキュリティ教育を実施する
- 疑似フィッシング訓練を定期的に行う
- 疑わしいメールはIT部門へ転送するルールを徹底
バックアップ戦略とオフライン保管
バックアップがなければ、暗号化されたデータの復旧は困難です。オンライン環境だけでなく、オフラインのバックアップも確保し、攻撃者の影響が及ばないように設計することが大切です。
- 少なくとも週1回はオフラインバックアップを取得
- リストアテストを四半期ごとに実施
- バックアップ先へのアクセスを分離し監査ログを取得
侵入検知システム(IDS/IPS)の強化
攻撃は必ずしも表面化しません。IDS(侵入検知)やIPS(侵入防止)の導入により、異常通信やマルウェアの振る舞いを事前に検知・遮断することが可能です。
- 通信ログを可視化できるツールを導入
- IDS/IPSのルールセットを最新に保つ
- SIEMやSOCとの連携でログを相関分析
まとめ
Rhysidaランサムウェアは、RaaS型として複数の攻撃者に利用され、二重恐喝・多業界にわたる攻撃を特徴とします。特に公共性の高い分野で被害が相次ぎ、暗号化だけでなく情報漏えいによる 風評被害も深刻です。
感染に気づいた時点での対応の早さが被害の規模を左右します。少しでも異変を感じたら、すぐにご相談ください。