お問い合わせ
2025年に多数の感染例が報告されているMedusaランサムウェアは、2021年から感染が確認され、長期間にわたり感染を拡大させているランサムウェアです。
本記事では、Medusaランサムウェアの特徴や感染経路、そして具体的な対策方法について詳しく解説し、今後のサイバー防衛に役立つ知識をお届けします。
\フォレンジック調査の専門家へ24時間365日無料相談/
目次
Medusaランサムウェアの特徴
Medusaランサムウェアの特徴は以下の通りです。
- 拡張子を「.MEDUSA」に変更する
- 「!!!READ_ME_MEDUSA!!!.txt 」という身代金要求メモを残す
- 二重脅迫を行う
- RaaSモデルへ発展した
拡張子を「.MEDUSA」に変更する
Medusaランサムウェアに感染したファイルは、暗号化後に「.MEDUSA」という独自の拡張子に変更されます。これは他のランサムウェアと同様、ファイルの使用を不可能にし、被害者にデータが人質に取られていることを明確に示すための手口です。
拡張子の変更は単なる表示の問題ではなく、データ自体が強力な暗号でロックされているため、特別な復号鍵なしには復元できません。
出典:PCrisk
「!!!READ_ME_MEDUSA!!!.txt 」という身代金要求メモを残す
画像出典:BLEEPING COMPUTER
感染後、Medusaランサムウェアは被害者の端末に「!!!READ_ME_MEDUSA!!!.txt」という身代金要求メモを残します。このメモには、攻撃者への連絡先や支払い要求、支払い期限などが詳細に記載されており、被害者に対し迅速な対応を迫ります。
以下、Medusaランサムウェアの、身代金要求メモの和訳を抜粋したものです。
—————————-[ こんにちは、******** !!! ]—————————
何が起こったのですか?
————————————————————
1. 私たちはあなたのネットワークに侵入し、データをコピーしました。
* バックアップシステムを含むネットワーク全体に侵入し、あなたのデータについてすべてを調査しました。
* そして、あなたの重要な貴重なデータをすべて抽出し、プライベートクラウドストレージにコピーしました。2. お客様のファイルは暗号化されました。
このメッセージをご覧になっている間、お客様のファイルとデータはすべて、世界最強のランサムウェアによって暗号化されています。
すべてのファイルは最新の軍事レベルの暗号化アルゴリズムで暗号化されており、復号することはできません。
しかし、ご安心ください。私たちはお客様のファイルを復号できます。コンピュータとサーバーを復旧させる唯一の方法は、ライブチャットでお問い合わせいただき、特別なMEDUSA DECRYPTORと復号キーの料金をお支払いいただくことです。
このMEDUSA DECRYPTORは、ネットワーク全体を復元します。所要時間は1営業日未満です。どのような保証がありますか?
—————————————————————–
お客様のデータを公開し、顧客にメールを送信できます。Telegram、Facebook、Twitterチャンネル、主要ニュースサイトへの漏洩データについては、専門のOSINT(情報漏洩調査)チームとメディアチームが対応いたします。悲惨な結果により重大な問題に悩まされる可能性があり、貴重な知的財産やその他の機密情報の損失、コストのかかるインシデント対応作業、情報の誤用/乱用、顧客の信頼の喪失、ブランドや評判の失墜、法律および規制上の問題につながる可能性があります。
–
–
–データ侵害と復号化の費用を支払った後、私たちはあなたのデータが漏洩しないことを保証します。これは私たちの評判のためでもあります。
ご注意ください!
—————————————————————–
弊社は、CEOや経営幹部など、権限のある方とのみお話をさせていただきます。
権限のない方は、弊社にご連絡なさらないでください!あなたの判断や行動は、会社に深刻な損害をもたらす可能性があります。
上司に報告し、冷静さを保ってください。3日以内にご連絡いただけない場合は、公式ブログにあなたのケースを掲載し、皆様にお知らせいたします。
——————–[公式ブログのtorアドレス]——————–
TORブラウザ(○○○○)の使用:–
お問い合わせください!
———————-[ 会社のライブチャットアドレス ]—————————-
TOR ブラウザの使用 (○○○○):–
またはToxチャットプログラム(○○○○)を使用してください。
tox IDでユーザーを追加してください: ○○○○サポートメールアドレス: (○○○○)
会社識別ハッシュ:
–
出典:PCrisk
二重脅迫を行う
Medusaランサムウェアは脅迫文に「二重脅迫」を用います。これは暗号化されたデータを復号するために身代金の支払いを要求し、金額は数百万ドルにのぼる場合があります。
期限内に支払いがなければ、専用リークサイトである「Medusa Blog」や「information support」というTelegramチャンネルでデータが公開されると脅迫されます。また身代金が支払われなければ電話やメールで直接連絡が来るケースもあります。
FBIの捜査により、身代金を支払った後も別のMedusaランサムウェアの攻撃者から連絡を受け、交渉人がすでに支払った身代金を盗んだと主張し、「真の復号ツール」と引き換えに半額の身代金を再度支払うよう要求された被害者が存在することが判明しました。このようにMedusaランサムウェアに感染すると「三重恐喝」ともいえる手口で支払いを要求される可能性があります。
出典:CISA
RaaSモデルへ発展した
Medusaランサムウェアは、近年「Ransomware as a Service(RaaS)」モデルへと発展しました。
RaaSとは開発者がマルウェアを他の犯罪者に提供し、その使用料や身代金の一部を得るビジネス形態です。ダークウェブのフォーラムやマーケットプレースで、攻撃実行を請け負うアフィリエイターを募集し、攻撃を実行させます。
このような仕組みで、技術力の低い攻撃者でも容易にMedusaを利用でき、感染件数を急増させています。
出典:ZD Net
以上がMedusaランサムウェアの特徴です。端末がMedusaランサムウェアに感染しても、決して身代金を支払ったり、メモに書かれた連絡先には連絡しないでください。
ランサムウェアに感染している可能性がある場合、速やかに専門家にランサムウェア感染調査を依頼しましょう。情報漏えい調査や、感染経路調査などを行い、適切なセキュリティ対策につなげられるようサポートいたします。また必要に応じて、法的対応に必要なレポートの作成等も行っていますので、お気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
FBIやCISAなど複数の組織で共同勧告を発している
2025年2月、CISA(アメリカ国土安全保障省)、FBI(連邦捜査局)、MS-ISAC(複数州情報共有分析センター)は、Medusaランサムウェアによる被害が、医療、教育、法律、保険、テクノロジー、製造業などの重要インフラ分野に広がり、300人以上の被害者に影響を与えていると警告を発しました。
この情報は、FBIとMS-ISAC、CISAが連携して発行した共同勧告により明らかにされたものです。
なお、Medusaランサムウェアは、名称が類似している「MedusaLockerランサムウェア」や「Medusaモバイルマルウェア」とは無関係であることも、FBIの捜査によって確認されています。
出典:CISA
Medusaランサムウェアによる被害事例
2023年、トヨタ自動車の子会社であるトヨタファイナンシャルサービスがMedusaランサムウェアの被害を受けました。
Medusaはダークウェブ上のデータ漏洩サイト内の、漏洩したとみられるデータを削除する見返りに800万ドルの支払いをトヨタファイナンシャルサービスに要求しました。
侵入を証明するために、攻撃者は財務文書、購入請求書、ハッシュ化されたアカウントパスワード、クリアテキストのユーザーIDとパスワード、契約書、パスポートのスキャン、社内組織図、財務実績レポート、スタッフの電子メールアドレスなどを含むサンプルデータを公開しました。
Medusa はまた、トヨタのシステムから盗んだと主張するすべてのデータのファイル ツリー構造を含む .TXT ファイルも提供しています。
このような手口でMedusaランサムウェアは、25年2月までに米国の重要インフラ部門の300以上の組織に影響を与えたとされています。
出典:日本経済新聞
Medusaランサムウェアの感染経路
Medusaランサムウェアの感染経路は以下の通りです。
- フィッシングメール
- 脆弱なRDP
フィッシングメール
Medusaランサムウェアはフィッシングメールを通じて感染する場合があります。これらのメールには、巧妙に偽装されたリンクやマルウェア付きの添付ファイルが含まれており、ユーザーが誤ってクリックすることで端末が感染します。
出典:CISA
脆弱なRDP
遠隔デスクトップ接続(RDP)が適切に保護されていない場合、Medusaランサムウェアの侵入経路となる可能性があります。攻撃者は公開されたRDPポートをスキャンし、脆弱なパスワードや既知の脆弱性を利用して不正アクセスを試みます。
過去に流出した有効なユーザー名とパスワードを入手すると、攻撃者はリモートツールやソフトウェアなどを使って、特定のファイルやプログラムを“管理者よりも強い権限”で実行することができます。
企業ネットワークに侵入後は、横展開により複数の端末を暗号化する可能性があるため、RDPの無効化や多要素認証の導入が重要です。
出典:ZD NET
以上が現時点で判明しているMedusaランサムウェアの感染経路です。Medusaランサムウェアの改良や攻撃者の技術力などに応じて、紹介した感染経路以外からも感染する可能性があります。
以下の記事を参考にMedusaランサムウェアの感染対策を実施しましょう。
ランサムウェア感染時の対処法
ランサムウェア感染時、誤った対応を取ると、再感染やデータ漏えいなどのインシデントに遭遇する恐れがあります。
よって過不足のないフローで適切な対応を取りましょう。ランサムウェアに感染した場合の対処法は次のとおりです。
- 端末のネットワークを切断する
- バックアップから感染前のデータを復旧する
- パスワードを変更する
- 身代金は支払わない
- ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時、企業がとるべき対応については下記でも詳しく解説しています。
https://digitaldata-forensics.com/column/cyber_security/1305/
①端末をオフラインにする
まずは、ランサムウェアが他端末に拡散されたり、盗んだ情報を外部に流出させないように、Wi-Fiなどのすべてのネットワーク接続を遮断して端末をオフラインにしましょう。
この後に感染経路や感染被害データの調査を行う必要があるため、端末の電源は切らないでください。
②バックアップから感染前のデータを復旧する
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復できる場合があります。
必ずランサムウェアをソフトウェアなどを使って除去してから復旧作業を行いましょう。
なお、ランサムウェア感染時に復旧のみ行うと、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
③パスワードを変更する
ランサムウェアに感染したら、すべてのアカウントのパスワードを変更しましょう。特に管理者アカウントのパスワードリセットは優先的に行う必要があります。
またランサムウェアの感染経路となるVPN機器はパスワード以外に、多要素認証を設定しておくなどして、ランサムウェア感染による不正アクセスを防止しましょう。
④身代金は支払わない
ランサムウェアに感染した場合、身代金を支払っても暗号化されたデータが復旧されたり、リークサイトに個人情報が掲載されない保証はありません。
支払った身代金は攻撃グループの資金源となるため、後日経営陣らの責任問題に発展する恐れがあります。
⑤ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェアに感染した際は、感染経路を特定し、再発防止策を講じる必要があります。
特に「脆弱性」を悪用した攻撃を受けた場合、再度、攻撃を受けないよう、適切な対応を行うとともに、どの端末のどのデータが漏洩したかを確認する必要があります。
特に法人の場合、個人情報保護法に基づき、関係各所に向けた「被害報告」が法律で義務化されています。
ランサムウェアは証拠となるログなどを削除し、セキュリティツールの検知を回避する特徴があるため、独自に感染経路や情報漏えいの有無を適切に調査することは困難です。したがって、ランサムウェア感染時は、感染経路調査に対応した専門家による「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計39,451件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
ランサムウェア感染時、感染経路調査を行うメリット
ランサムウェアに感染した場合、感染経路を「フォレンジック調査」で調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
①被害範囲が特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠の確保ができる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することができます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
ランサムウェア感染による企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしMedusaに感染した場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
