「Akira」ランサムウェアの脅威:必読ガイド
“Akira”ランサムウェアは、近年、最も甚大な被害をもたらすサイバー脅威の一つとして急速に台頭しており、多岐にわたる業界の組織を標的としています。CISAの調査によると、2023年3月から2024年1月にかけて、”Akira”ランサムウェアグループは250以上の組織を攻撃し、総額4,200万ドルの身代金を要求しました。
あらゆる規模の企業は、防御体制を強化し、リスクを最小限に抑えるために、このランサムウェアの仕組みを理解する必要があります。本記事では、ランサムウェア”Akira”の脅威、そのライフサイクル、および将来の攻撃から身を守るための実践的な対策について解説します。
“Akira”ランサムウェアの脅威について
“Akira”ランサムウェアは、二重恐喝モデルを採用した危険なランサムウェアの一種です。このランサムウェアは、データを暗号化する前に機密情報を盗み出し、身代金が支払われない場合はその情報を流出させると脅迫します。このランサムウェアは2023年3月に登場し、以下の経路による拡散に対応しています。 サービスとしてのランサムウェア モデル。
被害に遭ったと報告されている組織の数は増加しており、その中には各国(特に北米、欧州、オーストラリア)の著名な組織も含まれています。また、”Akira”ランサムウェアの被害者リストには、さまざまな業界(教育、金融、製造、不動産、法律、医療、重要インフラ、自治体・政府サービス)で事業を展開する企業も名を連ねています。
Akiraによる典型的な現代のランサムウェア攻撃は、標的を厳密に絞り込み、技術的に高度で、金銭的な動機に基づいています。これらの要因が相まって、目立たない侵入と、ビジネスに甚大な影響をもたらす結果となっています。
Windowsマシンに加え、AkiraはESXiホストへの攻撃に重点的に注力しており、仮想マシンの稼働を妨害し、データを暗号化して破壊しようとしています。この戦略により、ランサムウェアの被害は極めて甚大となり、業務に仮想インフラを活用している組織の機能を麻痺させてしまいます。2024年の攻撃の約50%は、複数の脆弱性を悪用してVMware ESXiを標的としたものでした。
当初、AkiraはC++で開発されました。特にWindows版については、2023年12月にIBM X-ForceがC++でコンパイルされたサンプルを発見しています。Akira_v2バージョンはRustで記述されており、機能性と解析に対する耐性が向上しています。Windows版とLinux版の両方が存在し、それぞれのプラットフォームに合わせて最適化されています(CryptoAPI対Crypto++)。
ランサムウェア”Akira”の攻撃ライフサイクル:ステップバイステップ
“Akira”ランサムウェアの攻撃から身を守るためには、サイバー攻撃の各段階でこのランサムウェアがどのように動作するかを理解しておく必要があります。そうすることで、データを保護するための予防策を講じることができるようになります。
ステップ 1 – リモートエントリポイントを経由した初期アクセス
Akiraランサムウェアの攻撃者は、公開されているサービスやセキュリティ対策が不十分なサービスを悪用し、リモートアクセスポイントを通じて初期アクセス権を取得することが多い。この手法により、攻撃者は物理的にネットワークに接触することなく、標的のネットワークにアクセスすることができる。
脆弱なVPNおよびRDPサービスの悪用
攻撃者は、広く普及している仮想プライベートネットワーク(VPN)製品(ゲートウェイ)や、リモートデスクトッププロトコル(RDP)を使用したリモートアクセス用ソフトウェアに存在するゼロデイ脆弱性やパッチ未適用の脆弱性を悪用して、被害者のネットワークに侵入することがよくあります。
アキラが利用した製品および脆弱性の例:
- Cisco ASA / FTD — 例えば、VPN認証プロセスにおける権限昇格の脆弱性であるCVE-2023-20269など。
- SonicWall Secure Mobile Access(SMA)アプライアンス — 特に、パッチが適用されていない場合や多要素認証(MFA)が導入されていない場合。
- Fortinet FortiGateのSSL VPNの脆弱性 — CVE-2018-13379のような古い脆弱性を含み、メンテナンスが終了したデバイスでは依然として悪用されている。
被害者のネットワークへの不正アクセスを行うための戦術には、以下の要素が含まれます。
- インターネット上で、古いファームウェアを実行しているデバイスを検索します。
- この脆弱性を悪用して、認証をバイパスしたり、コードを実行したりする。
- メモリに保存されている盗まれたセッショントークンや平文の認証情報を利用する。”Akira”ランサムウェアの攻撃者は、LSASSプロセス(ローカルセキュリティ権限サブシステムサービス)のメモリからミニダンプを取得し、追加の認証情報を収集することがある。
- セキュリティ対策が不十分なアカウントに対して、直接的な総当たり攻撃を行う。
- ダークウェブのマーケットから流出した認証情報の悪用。
- RDPゲートウェイの脆弱性や、古いバージョンのWindowsリモートデスクトップサービスの悪用。
一部の事件では、ランサムウェアグループ”Akira”は以下の手法を用いた:
- AnyDesk、TeamViewer、またはVNCで、脆弱なパスワードや再利用されたパスワードが使用されている場合。
- MSPのRMMツール(リモート監視・管理ツール)は、MSPのアカウントが侵害された際に使用されていました。
- ネットワーク内でスクリプトを展開するためのクラウドベースの管理コンソール(Microsoft 365、AWS)。
注: マイクロソフトは実装した 必須の多要素認証 Microsoft 365 管理者のこのリスクを軽減するために。
漏洩した認証情報
攻撃者は、過去の攻撃で盗んだ認証情報をよく利用します。そのため、固有の認証情報を使用し、セキュリティ上の基本ルールを遵守することが重要です。この手法により、”Akira”ランサムウェアの攻撃者は、脆弱性を悪用することなく被害者のネットワークにアクセスすることができます。その結果、他のセキュリティ対策を破ることなくネットワークにアクセスする際、攻撃者は正当なユーザーであるかのように見えます。
攻撃者は、認証情報を取得するために、以下のような従来の手法も用いています。
- フィッシングおよび スピアフィッシングメール VPNのユーザー名やパスワードを盗み出すもの。
- リモートユーザーの個人端末にインストールされたキーロガーや情報窃取型マルウェア(RedLine Stealerなど)。
弱点が悪用される:
- VPNおよびメールへのログインにおいて、多要素認証(MFA)は実施されていません。
- ブルートフォース攻撃で破られる可能性のある脆弱なパスワード。
- MFA疲労攻撃(ユーザーが承諾するまでログイン画面が繰り返し表示される攻撃)。
一致する認証情報が見つからない場合、サイバー犯罪者はブルートフォース攻撃を行う可能性があります。この種の攻撃は通常、RDP や SSH サービスを標的としており、広く知られているパスワードや脆弱なパスワードが使用されている場合、攻撃が成功する可能性があります。
Akiraランサムウェアの典型的なリモート侵入の連鎖は、次のようなものです:
インターネットスキャン → 公開されているサービスの特定 → VPNの悪用または認証情報の窃取 → リモートサービスへの認証 → 偵察ツールおよび認証情報収集ツールの展開 → 横方向の移動
ステップ 2 – 持続性と権限昇格
正規の管理ツール、設定ミス、およびカスタムスクリプトを組み合わせて利用することで、Akiraランサムウェアは長期にわたってアクセスを維持し、システム上の完全な権限を持って動作し続けることができます。永続性とは、検知された後や再起動後も、被害者の環境内に留まり続けることを意味します。ネットワークにアクセスした後、攻撃者は、新しいアカウントの作成や権限の昇格など、自身の行動が検知されないようにする手法を用いて、永続性を確保します。
新しいアカウントの作成
Windows システムに感染する際、ランサムウェア”Akira”は、継続的なアクセス権を確保するために、ローカルの Windows 管理者ユーザーまたはドメイン管理者を追加します。場合によっては、一般的な名前を使って自身を偽装することもあります(admin, ヘルプデスク). Active Directory 環境において、Akira は権限が委任された隠しアカウントを作成します。MFA が有効になっている場合、攻撃者はブラウザからアクティブなセッショントークンや Cookie の値を盗み出し、再認証を回避できることがあります。
スケジュールされたタスクとサービスの設定
“Akira”ランサムウェアは、起動時に悪意のあるスクリプトやリバースシェルを実行するスケジュールされたタスクを作成します。その後、このランサムウェアは、自身のツールを起動するためにサービスを改変し、悪意のあるサービスの名前を、正当なオペレーティングシステム(OS)のサービスのように見えるように変更します。
リモートアクセスツールのインストール
Akiraランサムウェアは、VPNの認証情報が無効化された場合でもアクセス権を維持できるよう、AnyDesk、TeamViewer、またはRMMエージェントを展開します。これらを自動起動するように設定し、タスクバーから非表示にします。Windowsでは、スタートアップ項目やレジストリキーを変更することでレジストリ設定が編集されます。Akiraは以下の項目を変更します:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
そして
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
これらの手法により、再起動時にペイロードが確実に再読み込みされるようになります。
これらの操作を実行した後、Akiraランサムウェアは、自身の活動を示唆する記録を消去するためにシステムログを消去します。こうした戦術により、攻撃の特定がさらに困難になります。また、永続化機能により、Akiraは”クリーンアップ”の試みがなされた後でも再侵入が可能となり、二重恐喝を目的として時間をかけて徐々にデータを盗み出し、ネットワークの完全な制御権を獲得した後にのみ、最終的なランサムウェアのペイロードを展開します。
権限の昇格
権限の昇格により、Akiraは通常のユーザー権限からシステムレベルまたはドメインレベルの制御権へと移行することができます。Akiraランサムウェアは、パッチが適用されていないWindowsの脆弱性(例:CVE-2021-34527″PrintNightmare”)に対する公開済みのエクスプロイトを利用して、ローカル権限昇格の脆弱性を悪用します。また、カーネルレベルの脆弱性を標的として、SYSTEM権限を取得することもあります。
認証情報のダンプには、Windowsのキャッシュされた認証情報、ドメイン管理者のハッシュ、およびLSAシークレットのダンプが含まれます。ドメイン管理者の認証情報が盗まれると、ADを完全に制御されることになります。Akiraは、盗んだNTLMハッシュやKerberosチケットを使用して、平文のパスワードを知らなくても特権ユーザーになりすますことができます。権限昇格により、Akiraランサムウェアはバックアップ、シャドウコピー、および機密性の高いサーバーへのアクセスが可能になるため、暗号化処理において最大の被害をもたらすことができ、ドメイン全体の防御機能を無力化することが可能です。
ステップ3 – 横方向の移動と偵察
Akiraランサムウェアの攻撃者は、系統立てて横方向の移動や偵察を行います。ほとんどのランサムウェアが”放っておけばいい”というアプローチをとる一方で、Akiraは、人間が主導する高度な侵入攻撃に近い挙動を示します。さらには、一部のセキュリティ保護ソフトウェアを無効化することさえ可能です。
侵入に成功すると、攻撃者は標的となる組織にさらなる損害を与えることを目的として、価値の高いデータやシステムを特定しようとします。次の段階では、暗号化を実行する前に、ネットワーク全体へのアクセス権を拡大します。したがって、横方向の移動を行う前に、アキラはネットワーク内に何が存在し、価値のある標的がどこにあるのかを把握しておく必要があります。
ネットワークスキャンは、偵察の第一段階です。ネットワークの構造を把握することで、ランサムウェアは最初の攻撃対象を特定できるようになります。次のような組み込みツールなど ping, arp -a、および netstat は、アクティブなホストを見つけるために使用されます。その他のスキャナーとしては、例えば 高度なIPスキャナー または nmap、サブネットのマッピングが可能です。PowerShell スクリプトは、Active Directory に対してクエリを実行し、ドメイン構造、グループのメンバーシップ、組織単位(OU)の階層、および管理者アカウントの場所を取得します。
次に、”Akira”ランサムウェアは重要な資産を特定します。標的となるのは、ファイルサーバー、ドメインコントローラー、NASデバイス、およびデータベースサーバーです。また、バックアップインフラストラクチャを探し出し、後でそれを無効化または暗号化するとともに、共有ドライブやクラウド同期フォルダも検索します。
Akira を使用すれば、サービスが無効になっている場合でも、そのサービスへのリモートアクセスが可能になります:
- RDP(リモートデスクトッププロトコル) – 無効になっている場合は、GPO(グループポリシーオブジェクト)を介して有効にした後に、多くの場合動作します。
- SMB (Server Message Block) – ホスト間でツールやペイロードをコピーするため。
- WMI (Windows Management Instrumentation) – RDP ログを記録することなく、リモートでコマンドを実行するため。
Akiraは、盗んだNTLMハッシュやKerberosチケットを利用して、パスワードを知らなくても他のシステムで認証を行います。認証情報をダンプすることで、盗んだ管理者権限を通じてAV/EDRエージェントを無効化することが可能になります。
このランサムウェアは、次のような正規のツールを使用しています:
- PsExec (Sysinternals より)リモートシステム上でコマンドを実行するため。
- PowerShell リモート操作 ペイロードをディスクに書き込まずに実行する。
- ネット利用 リモート共有をマウントし、ファイルを外部へ持ち出すため。
Akiraは、環境にすでに導入されているMSP RMMツール(ConnectWise、AnyDeskなど)を利用して、アラートを発生させることなく他のマシンへアクセスすることができます。マネージドサービスプロバイダーは注意を払い、この問題を解決する必要があります。 MSPが直面するサイバーセキュリティ上の課題 自社および顧客のデータを保護するため。
ランサムウェアのツールやペイロードは、攻撃の次の段階に備えて他のマシンにコピーされます。
偵察と横方向の移動により、ランサムウェアは可能な限り多くのマシンを同時に標的とすることで、暗号化による影響を最大化することができます。その結果、二重恐喝(データ窃取+暗号化)のために機密データにアクセスしたり、バックアップを破壊して被害者に身代金の支払いを強要したりすることが可能になります。
ステップ4 – データの持ち出し
Akiraランサムウェアは、転送を容易にし、隠蔽を図るために、まず機密データを収集して圧縮することから始まることがよくあります。一般的に使用されるツールには、 WinRAR ファイルをアーカイブ(RAR形式)に圧縮するため。攻撃者はまた、 FileZilla, WinSCP そして rclone 盗んだデータをパッケージ化して転送するためです。これらのツールは正規のものであり(信頼されており、ホワイトリストに登録されている)、特定の自作ツールのように不審なものではありません。一部の攻撃では、データが攻撃者によって設定されたMEGAのクラウド共有ドライブに直接アップロードされています。
Chromeウェブブラウザを介して、WinRARアーカイブが外部へ流出しました(Chrome.exe)、正当なトラフィックに見せかけて、圧縮ファイルを外部のIPアドレス範囲に送信する。Akiraは、このプロセスを迅速かつ効果的に行うため、さまざまなツールを使用してデータを漏洩させる。あるAkiraランサムウェア攻撃では、攻撃者はWinRARを使用して34 GBのデータを圧縮し、外部のリソースに送信した。組織のネットワークに侵入した後、攻撃を完了するまで約2時間を要した。
ステップ5 – 暗号化と業務の混乱
Akiraはハイブリッド暗号化モデルを採用しています。このランサムウェアは、まず高速な対称暗号(ChaCha20またはKCipher-2)でデータを暗号化し、その後、ハードコードされたRSA公開鍵(通常はRSA-4096)を使用して対称鍵を保護します。 感染した各ファイルの末尾には対称鍵が追加され、埋め込まれたRSA鍵を使用して暗号化されます。Akiraは、暗号化速度を向上させつつ被害を最大化するため、ファイル全体ではなくブロック単位で部分的に暗号化を行う場合があります。例えば、小さなファイル(MB)は50%のみ暗号化される一方、大きなファイルは複数の圧縮ブロックに分割され、選択的に暗号化されます。
暗号化されたファイルには”.”という拡張子が付きます。akira”(およびその他、.のようなものなど。出力範囲 または .akiranew (新しい亜種では)。このランサムウェアは、. などのシステムに不可欠なファイルやディレクトリを意図的に除外しており、exe, .dll、システムフォルダ、 ごみ箱 そして Windows フォルダを削除し、操作が完了するまでシステムの安定性を維持します。アキラは、PowerShell(またはWMI)を使用してすべてのWindowsボリュームシャドウコピーを削除することで妨害を開始し、事実上、被害者のロールバック機能を無効にします。
“Akira”ランサムウェアは、特に以下に対して攻撃的である VMware ESXi ハイパーバイザー。ホスト全体を暗号化して、1回の攻撃で複数の仮想マシンを機能不全に陥らせたり、セキュリティサービスを無効化したり、仮想マシンを停止させたり、ESXiの認証情報を改ざんして管理者を締め出したりすることが可能です。
暗号化が完了すると、Akiraランサムウェアは、感染した各ディレクトリに身代金要求メッセージを残します。そのファイル名は通常、 akira_readme.txt または fn.txt. これらのファイルには、固有の被害者コードとTORベースの交渉用リンクが含まれており、データの公開をほのめかしてビットコインでの身代金を要求している。
ESXiホストへの攻撃
Windows システムは、攻撃を開始し、ネットワークを介して他のマシンに感染を拡大させるための主な標的ですが、ESXi ホストも一般的な標的となっています。Akira ランサムウェアが ESXi ホストをどのように攻撃するのかを見ていきましょう。
- ネットワークにアクセスした後、攻撃者は、vCenterに接続されている、あるいはSSH経由で直接アクセス可能なESXiホストを見つけ出す。
- Akiraランサムウェアは、vCenter/ESXiの脆弱なバージョンを悪用する可能性があります。パッチが適用されていない場合、CVE-2021-21972、CVE-2021-21985、CVE-2020-3992などの既知の脆弱性が悪用される恐れがあります。
- 攻撃者がSSH(通常、管理目的でホスト上で有効化されている)を介してESXiにアクセスすると、ホスト上で直接”Akira Linux ELF”暗号化ツールをアップロードして実行します。このランサムウェアは、ESXiのセキュリティサービスを無効化します。
- このランサムウェアは、データストアのボリュームを別のシステムにマウントするか、組み込みツールを使用して(vmkfstools, scp) をコピーするには。vmdk および 。vmx 仮想マシンのデータを盗むためのファイル。
- データが盗まれたら、アキラは次のコマンドを使ってVMをシャットダウンする:
vim-cmd vmsvc/getallvms
vim-cmd vmsvc/power.off
また、Linuxと同様に、暗号化ツールを使用してデータストア上のファイルを暗号化します。
“Akira”ランサムウェアの検知方法と防御策
検出戦略 これらは不可欠な予防措置であり、包括的なアプローチが必要であり、複数の対策を盛り込むべきである。
- エンドポイントおよびネットワークの動作監視。EDR/XDRシステム(エンドポイント検出・対応/拡張検出・対応)を活用し、不審な動作(セキュリティツールの無効化、シャドウコピーの削除、異常な横方向の移動、LSASSダンプなど)を検知します。また、ファイル圧縮ツールの異常な使用状況についても監視します。
- リモート管理ツール(AnyDesk、RustDesk、Radmin)、トンネリングユーティリティ(Ngrok、Cloudflare Tunnel)、あるいは認証情報窃取の手法(Mimikatz、LaZagne)がないか確認してください。自分や同僚がインストールしていない場合、ランサムウェア攻撃の初期兆候である可能性があります。
- 以下のような、不審な署名が付いたドライバーの展開を監視します。 rwdrv.sys (ThrottleStop)――アキラはこれを使って悪意のあるドライバを読み込んでいます(hlpdrv.sys) そして、マルウェア対策ソフトを無効にする。アキラは署名付きドライバーを悪用することができ、こうした攻撃は BYOVD 攻撃(Bring Your Own Vulnerable Driver)と呼ばれる。
- 仮想マシンの一斉シャットダウンには注意が必要です。ランサムウェアは、ファイルのコピーや暗号化を開始するために、仮想マシンをシャットダウンすることがあります。
- 異常なファイルの動作や、ファイル名が”.”で置き換えられたものには注意してください。akira, .akiranew または関連する拡張機能。
- アカウントおよびアクセスに関するアラートを設定します。攻撃者によって作成された、新規または再発見された”ゴースト”アカウント、特にログイン画面から隠されているものを特定します。
- VPN/RDP アクセスにおける異常(例:不審なログイン、認証失敗、通常とは異なる地理的位置からのアクセスなど)を検知します。
検知対策と併せて、以下の対策を実施する必要があります。 防衛戦略 “Akira”ランサムウェアに対する対策。
- VPN、RDP、Web管理ツール、電子メールなどにアクセスするための多要素認証を設定してください。強固なパスワードと堅牢なセキュリティポリシーを採用してください。パスワードの入力失敗回数を設定してください。
- 外部からのVPN/RDPアクセスを制限し、ジオフェンシングを活用するとともに、使用されていない認証情報やアカウントを定期的に削除する。ファイアウォールを設定し、ネットワークトラフィックをフィルタリングする。使用されていないポートを無効にする。
- VPNアプライアンスやシステム、特にAkiraの標的となっていることが判明しているものについては、定期的にパッチを適用してください。
- ネットワークのセグメンテーションを実施し、ゼロトラストセキュリティの導入を検討してください。ネットワークをセグメント化することで、ランサムウェアの横方向の移動を制限し、その拡散を防止します。可能な限り”最小権限の原則”を適用し、必要なタスクにのみアクセス権を付与してください。
- ネットワーク内のコンピュータを保護するために、EDR/XDR機能を備えたウイルス対策(AV)ソフトウェアを導入してください。脆弱性のある署名済みドライバーの実行を防ぐため、ドライバーのホワイトリスト化を実施してください。また、システムの動作を変化させることで、認証情報のダンプ、横方向の攻撃ツール、ランサムウェアをブロックする”ムービング・ターゲット・ディフェンス”などの保護機能を追加してください。
信頼性の高い バックアップ戦略 これは、データ保護戦略全体にとって不可欠なものです。
- 定期的なバックアップの設定. バックアップが確実に 暗号化された, 不変 また、復旧体制の整備状況について定期的に検証が行われている。
- 以下の手順に従って 3-2-1バックアップルール. データは少なくとも3つのコピーを用意し、そのうち2つは異なる媒体に保存し、1つはオフサイトに保管してください。また、ランサムウェアがアクセスできないオフラインのエアギャップバックアップも用意しておく必要があります。
- 定期的なユーザートレーニングを実施する: ユーザーに対し、不審な活動を検知する方法や、異常な動作に気づいた場合の対処法について指導してください。不審な活動やランサムウェア感染の兆候が見られた場合は、ユーザーは直ちにコンピュータの電源を切り、システム管理者にその問題を報告しなければなりません。
- 設定 インフラ監視. SIEMやサードパーティ製の監視ツールを活用し、ログ、不審なファイル転送、管理者アカウントの作成、および異常なネットワーク動作を監視します。
- ランサムウェア対策計画を策定する より広範な取り組みの一環として 災害復旧 そして 事業継続計画s. ランサムウェアに特化したものを開発・テストする インシデント対応計画、明確な役割と手順を定めて。
ランサムウェア攻撃を受けた場合でも、身代金を支払ってはいけません。当局(FBI、CISAなど)は、データが確実に復元される保証がないため、身代金の支払いを控えるよう勧告しています。”Akira”ランサムウェアからの復旧には、感染したコンピュータからランサムウェアを削除するか、場合によってはソフトウェアを再インストールし、インフラの監査を実施し、すべての脆弱性に対するパッチを適用し、バックアップからデータを復元することが必要となります。
使用方法 NAKIVO Backup & Replication データのバックアップと復旧のため。NAKIVOのソリューションは、物理マシン、仮想マシン、Amazon EC2クラウドインスタンス、Microsoft 365、およびOracleデータベース(RMAN経由)のバックアップに対応しています。幅広いバックアップストレージオプションにより、信頼性の高いバックアップ戦略を構築できます。データの暗号化とバックアップデータの不変性により、不正アクセスや改ざんからデータを保護し、災害やランサムウェア攻撃が発生した場合でもファイルを復旧することが可能です。
結論
“Akira”ランサムウェアは、洗練された手口を用いてネットワークに侵入し、データを暗号化し、被害者から金銭を脅し取る、依然として重大なサイバーセキュリティ上の脅威です。強固な防御体制を構築し、潜在的な被害を最小限に抑えるためには、そのライフサイクルと検知方法を理解することが不可欠です。信頼性の高いバックアップや、次のようなツールなど NAKIVO Backup & Replication また、積極的な監視を行うことで、攻撃による影響を大幅に軽減することができます。常に最新情報を把握し、万全の準備を整えておくことで、組織は”Akira”ランサムウェアに対する耐性を高めることができます。