サーバやWebサイトのファイルに突然「.sorry」という拡張子が付いた場合、Sorryランサムウェアによる暗号化被害の可能性があります。特に2026年には、cPanel/WHMの認証バイパス脆弱性であるCVE-2026-41940を悪用し、Linuxサーバ上のファイルを暗号化する攻撃が報告されています。
Sorryランサムウェアは、Windows端末だけでなく、Webサーバやホスティング環境などのLinuxサーバに影響するケースが確認されています。企業サイトやデータベースなど、バックアップ領域が同じサーバ上で管理されている場合、Webサイト単体ではなく、業務システム全体に影響が広がるおそれがあります。
また、ランサムウェア感染時に不用意な再起動、ファイル削除、サーバ初期化、バックアップ復元を行うと、侵入経路や被害範囲の確認が難しくなることがあります。まずは被害拡大を防ぎながら、暗号化された範囲、侵入経路、バックアップの安全性を確認することが重要です。
本記事では、Sorryランサムウェアの特徴、.sorry拡張子やREADME.mdを見つけた場合の確認ポイント、cPanel/WHMの脆弱性との関係、感染時の初動対応、専門調査を検討すべきケースについて解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
.sorry拡張子やREADME.mdを見つけたら最初に確認すべきこと
ランサムウェアでは、暗号化されたファイルに特定の拡張子が追加されることがあります。Sorryランサムウェアでは、暗号化されたファイルに「.sorry」という拡張子が付くケースや、「README.md」などの身代金メモが設置されるケースが報告されています。
ただし、.sorry拡張子が見つかっただけで、被害範囲や侵入経路まで判断できるわけではありません。Webサイトのファイルだけが暗号化されているのか、データベースやバックアップ、別サーバにも影響しているのかを切り分ける必要があります。
Sorryランサムウェアでは暗号化ファイルに.sorryが付くケースがある
感染すると、サーバやWebサイト内のファイル名が変更され、「.sorry」という拡張子が付与される場合があります。HTML、PHP、画像ファイル、WordPress関連ファイル、設定ファイル、データベースバックアップなどが暗号化対象になる可能性があります。
特にLinuxサーバでは、Web公開ディレクトリ内のファイルが暗号化されると、サイト表示エラーや画像・CSSの崩れ、管理画面へのログイン不可、問い合わせフォームの停止などにつながることがあります。
また、公開ディレクトリに暗号化ファイルが残っている場合、外部から.sorryファイルの存在を確認されることがあります。これは、攻撃者だけでなく第三者にも被害の一部が見えてしまう状態であり、企業サイトとしては信用面のリスクにもなります。
身代金メモがあっても支払い・削除・再起動を急いではいけない
感染後は、「README.md」などの身代金メモが設置されることがあります。しかし、表示された指示に従ってすぐに支払いを行うのは危険です。支払い後に復号できる保証はなく、再び攻撃対象になる可能性もあります。
また、不審なファイル、身代金メモ、ログ、暗号化されたファイルをすぐ削除すると、侵入経路や被害範囲の調査が難しくなります。サーバの再起動や初期化も、メモリ上の情報や一部ログを失う原因になる場合があります。
まずは、感染が疑われるサーバをネットワークから隔離し、ログやファイルを保全したうえで、暗号化範囲とバックアップの状態を確認してください。
Sorryランサムウェアの被害範囲を見分けるポイント
Sorryランサムウェアでは、単にWebサイトが停止するだけでなく、サーバ内の複数サービスへ影響が広がる可能性があります。被害範囲を正しく把握することで、復旧優先順位、情報漏えいリスク、再感染リスクを判断しやすくなります。
Webサイト・サーバ内ファイル・データベース・バックアップの暗号化状況を確認する
まずは、どこまで暗号化されているかを確認します。特に次の項目は重要な確認対象です。
- WebサイトのHTML、PHP、画像ファイル
- WordPressなどCMS関連ファイル
- MySQLなどのデータベース
- バックアップデータ
- 共有サーバ内の他ドメイン
- メール関連データ
- NASや外部ストレージ
バックアップまで暗号化されている場合、単純な復元は難しくなります。また、暗号化前にデータへアクセスされていた可能性もあるため、顧客情報、注文情報、問い合わせ内容、業務メールが含まれる環境では、情報流出の有無も確認が必要です。
ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説>
cPanel/WHMの脆弱性やSSH経由で複数サーバに広がる可能性がある
2026年に報告されたSorryランサムウェア関連の攻撃では、cPanel/WHMの認証バイパス脆弱性であるCVE-2026-41940との関連が指摘されています。CVE-2026-41940は、未認証の攻撃者がログインフローを悪用し、コントロールパネルへ不正アクセスできる可能性がある脆弱性です。
cPanel/WHMは、Webサイト、メール、DNS、データベース、複数ドメインを管理するため、侵害された場合は1つのWebサイトだけでなく、同じサーバ上の複数サイトやメール環境にも影響が及ぶ可能性があります。
また、攻撃者がSSHキー、管理者アカウント、cron設定、APIトークン、バックドアを設置している場合、暗号化後も再侵入されるおそれがあります。SSHとは、サーバへ遠隔ログインするための仕組みです。cronとは、サーバ上で処理を自動実行する仕組みです。どちらも悪用されると、復旧後の再感染につながります。
さらに、侵害されたサーバが他のサーバへのスキャン、ブルートフォース攻撃、攻撃インフラとして悪用される可能性もあります。
出典:NVD
cPanel/WHMの脆弱性CVE-2026-41940とは?サイト運営者が確認すべき影響と対処法>
Sorryランサムウェア感染時に企業が行うべき安全な初動対応
ランサムウェア感染時は、復旧を急ぐあまり重要な証拠を消してしまうケースがあります。まずは被害拡大を防ぎながら、調査可能な状態を維持することが重要です。
ネットワーク遮断・証拠保全・バックアップ確認を先に行う
被害拡大を防ぐため、感染が疑われるサーバや端末をネットワークから隔離します。特に、共有ストレージ、別サーバ、バックアップ領域へ接続できる状態が続くと、暗号化範囲が広がる可能性があります。
初動では、次の対応を優先してください。
- 感染が疑われるサーバや端末をネットワークから隔離する
- 電源断や再起動を急がず、状況を記録する
- ログ、不審ファイル、身代金メモ、暗号化ファイルを保全する
- バックアップが存在するか確認する
- バックアップが暗号化・改ざんされていないか確認する
- cPanel/WHMのバージョンとパッチ適用状況を確認する
- 不審な管理者アカウント、SSHキー、cron、APIトークンを確認する
この時点で重要なのは、「すぐ復元すること」ではなく、「安全に復元できる状態か」を確認することです。
不審なファイルやログを削除せず、復元前に侵入経路を確認する
暗号化されたファイルを復元する前に、なぜ侵入されたのかを確認してください。侵入経路を特定しないままバックアップ復元だけを行うと、バックドアや不正アカウントが残り、再び暗号化される可能性があります。
特に、次の痕跡は確認対象になります。
- 不審な管理者アカウント
- SSHキーの追加・変更
- cronの不審な自動実行設定
- Web領域内のバックドアファイル
- 外部IPからの異常アクセス
- cPanel/WHMへの不審ログイン
- APIトークンや外部連携設定の追加
- 大量通信や外部スキャンの痕跡
- ログ削除や改ざんの痕跡
原因調査を行わずに復旧だけを進めると、復旧後に再感染するリスクがあります。企業環境では、復旧スピードだけでなく、再侵入を防ぐ確認が必要です。
Sorryランサムウェアでフォレンジック調査を検討すべきケース
Sorryランサムウェアでは、ファイル暗号化だけでなく、情報流出・バックドア設置・再感染リスクが残る場合があります。復旧できたとしても、攻撃者がまだアクセスできる状態ではないか確認が必要です。
特に、以下に該当する場合はフォレンジック調査を検討してください。
- 顧客情報・会員情報・取引先情報を扱っている
- 業務メールやECサイト、予約システムに影響がある
- 同一サーバ内で複数サイトを運営している
- 不審な管理者アカウントや外部通信がある
- ログ削除・不審ファイル・再感染の兆候がある
このような場合、自己判断で削除・初期化を行うと、重要な証拠が失われる可能性があります。
フォレンジック調査では、感染経路、攻撃者がアクセスした範囲、情報流出の有無、バックドアやマルウェアの痕跡を確認できます。復旧だけでなく、原因調査・再発防止・顧客や取引先への説明が必要な場合は、専門調査の検討が有効です。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
こちらの調査会社は、相談件数が47,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多いです。フォレンジック調査含むインシデント対応からセキュリティ対策まで一貫したサービスを取り扱っており、サイバー攻撃、社内不正に対応した社内のセキュリティ対策に役立ちます。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、情報漏洩調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数47,431件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計4万7千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア感染調査以外にもダークウェブ調査や脆弱性診断など幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
まとめ
Sorryランサムウェアでは、暗号化ファイルに「.sorry」拡張子が付与され、「README.md」などの身代金メモが設置されるケースがあります。Webサイトだけでなく、メール、データベース、バックアップ、複数ドメインへ被害が広がる可能性があります。
感染が疑われる場合は、まずネットワーク遮断、証拠保全、バックアップ確認を優先し、不審ファイルやログを削除しないことが重要です。また、侵入経路を特定しないまま復旧すると、再感染につながる可能性があります。
顧客情報、ECデータ、業務メールなどへの影響が疑われる場合や、復旧後も不安が残る場合は、フォレンジック調査を検討することで、被害範囲や侵入経路を把握し、再発防止につなげることができます。