お問い合わせ
8baseは企業を狙い、ファイルを暗号化して復号と引き換えに身代金を要求するランサムウェアです。2022年に初めて確認され、2023年以降は活動が拡大しました。米国や日本を含む中小企業への攻撃が増えており、手口の巧妙さと悪質さが問題視されています。
本記事では、8baseランサムウェアの特徴や攻撃手法を紹介するとともに、感染時の適切な対処法について解説します。
\ご相談前にNDA締結可能・匿名相談OK/
目次
8baseランサムウェアとは
8baseは、ファイルを暗号化し復号の見返りに身代金を要求するランサムウェアです。2023年5月にはダークウェブ上にリークサイトを開設し、二重恐喝を実行する手口へと移行しました。
リークサイト上では「正直でシンプルなペンテスター」と自称し、さらに「従業員や顧客データの重要性を軽視した企業のみを公開している」と責任を転嫁する姿勢を示しています。
8baseランサムウェアの最新動向
2025年に8baseに関する大きな動きが2件ありました。以下ではそれぞれの内容を説明します。
2025年7月:無料復号ツール公開
日本の警察庁はPhobosおよび8base向けの無料復号ツールを公開しました。Europolが運営する「NoMoreRansom」からも入手可能で、FBIやEuropolが正式に推奨しています。
対応拡張子は「.phobos」「.8base」などです。BleepingComputerの検証では150ファイルの復号に成功しています。ただし復号が可能かどうかは環境により異なるため、専門家への相談が推奨されます。
2025年2月:国際共同捜査での摘発
米司法省はロシア国籍のロマーン・ベレジュノーイ(33歳)とエゴール・グレボフ(39歳)を訴追しました。両名は国際捜査でタイにおいて逮捕され、関連する100台以上のサーバーが押収されました。
米司法省の発表によれば、8baseとPhobosは世界で1000件を超える攻撃を行い、約1600万ドルの身代金を得ていたとされています。日本を含む複数の国の当局が捜査に協力しました。
8baseランサムウェアの特徴
8baseランサムウェアは、システム侵入後にファイルを暗号化し、復号キーと引き換えに身代金を要求します。さらに、他のランサムウェアと異なる特徴的な手口を持っています。
Phobosランサムウェアとの技術的な関連
研究者によれば、8baseは「Phobos v2.9.1」をペイロードとして使用しており、SmokeLoaderを介して展開されます。Phobosは2019年に登場したWindows向けRaaSで、Dharmaランサムウェアとのコード類似性も確認されています。
暗号化ファイルには現在「.8base」拡張子が付与されますが、過去には「.eight」が用いられ、いずれも「helpermail@onionmail.org」という共通の連絡先が使用されていたようです。
また、VMwareの分析では「admlogs25[.]xyz」ドメインを利用しており、これはSystemBCマルウェアと関連しています。これらの点から、8baseはPhobosとの技術的つながりを持つと考えられています。
>Phobosランサムウェアとその亜種「FAUST」とは?特徴や感染時の対処方法を解説
RansomHouseとの類似性
研究者は、8baseとランサムウェア集団「RansomHouse」に強い類似性があると報告しています。RansomHouseは独自のランサムウェアを持たず、流出データを利用して恐喝する活動が知られています。
自然言語処理モデル「Doc2Vec」を用いたランサムノート比較では、8baseとRansomHouseのノートが99%一致する結果が確認されました。このことから、両者の関係性は深いと考えられています。
出典:VMware
SNSで被害企業を公開(二重恐喝/ネーム・アンド・シェイム)
8base公式ツイッター(@8BASEHOME)8baseは、暗号化攻撃と同時に「name-and-shame(二重恐喝)」を実行し、被害企業名を公開することで身代金支払いを強要します。Twitterアカウント(@8BaseHome)やTelegramチャンネル(t[.]me/eightbase)などのSNSを利用し、情報を拡散する点も特徴です。
出典:VMware
サードパーティ製ソフトウェアの使用を禁止
8baseのランサムノートには「暗号化ファイルの名前変更禁止」や「第三者ソフトの利用禁止」といった警告が記載されています。これは被害者が独自の復号ツールを使用してデータを取り戻すことを防ぐための措置です。
出典:PCrisk
法人データを標的とする
8baseは個人ではなく企業を標的とし、サーバーやワークステーションを狙います。被害対象となるのは以下のような業務・機密データです。
- データベース、法的文書、個人情報
- 監査レポートや会計関連文書
- SQLデータベースの監査記録
- 財務関連書類(明細書、請求書、振込情報など)
- 業務ファイルや社内文書
- バックアップや機密文書
- 従業員情報(個人情報、勤務履歴、給与データなど)
これらの情報が流出すると甚大な被害につながるため、被害発覚時は速やかにサイバーセキュリティ専門家に相談することが重要です。専門家は攻撃の範囲を特定し、復旧や再発防止に向けた適切な対策を講じることができます。
\サイバーセキュリティ専門家へ24時間365日で無料相談/
8baseランサムウェアに感染するとどうなるのか
8baseランサムウェアに感染すると、業務停止や情報漏えいなど深刻な被害につながる可能性があります。代表的な症状は以下の通りです。
ランサムノートによる脅迫(データ公開の二重恐喝)
ダークウェブ上の8baseデータ漏洩サイト 画像出典:BleepingComputer
感染すると身代金要求メッセージが表示され、拒否すれば「数日以内にデータを公開する」と脅迫されます。支払っても復号キーが必ず提供される保証はなく、追加の侵害リスクが残ります。そのため身代金を支払わず、侵害調査を優先することが不可欠です。
盗まれた情報がCommand&Control(C2)サーバーに送信される
8baseランサムウェアは、感染したデバイスから盗まれたデータを攻撃者が管理するC2サーバーに送信する可能性があります。C2サーバーとはCommand and Controlサーバーの略称で、感染端末からの情報を受信したり、リモートで不正操作を行ったりするために利用されます。そのためデータが送信されると、個人情報や機密データの漏えいリスクが一気に高まります。
暗号化されたファイルの拡張子が「.8base」などに変わる
感染すると端末内のファイルが暗号化され、拡張子が「.8base」などに変更されます。この結果、正規の状態ではファイルを開けなくなり、身代金を支払わなければ復号できない状況に追い込まれます。
追加のマルウェア感染
8baseに感染したデバイスでは、トロイの木馬や他のマルウェアが追加でインストールされる可能性があります。これにより、さらなる情報流出やシステム侵害が進行する危険性があります。
データ漏えいと経済的損失
感染によってシステムや業務が停止し、データが漏えいした場合は信用失墜や賠償リスクにつながります。結果として多大な経済的損失が発生する可能性があります。
被害を最小化するためには、感染経路や脆弱性の特定、被害範囲の把握が不可欠です。その手段として有効なのがフォレンジック調査です。
フォレンジック調査では端末やサーバーのログ・メモリ・ディスクを解析し、攻撃手法や痕跡を特定します。これにより被害拡大を防ぐ対策や再発防止策につなげることができます。私たちデジタルデータフォレンジックは、官公庁・上場企業・捜査機関など多くの事例に対応してきた実績があり、迅速な調査と原因特定を行います。お気軽にご相談ください。
\サイバーセキュリティ専門家へ24時間365日で無料相談/
8baseランサムウェアの感染経路
8baseランサムウェアの感染経路としては次のものが挙げられます。
ランサムウェアの感染経路を確認する方法は、下記の記事でも詳しく解説しています。
システムのパッチが未適用の機器
ソフトウェアや機器に最新のパッチ(修正プログラム)を適用していないと、8baseランサムウェアの侵入を許す危険があります。調査では、Fortinet製品やVeeam Backup & Replicationの脆弱性が実際に悪用された事例が確認されています。
パッチは開発元やベンダーから提供され、セキュリティの脆弱性修正や機能改善を行います。公開後はできるだけ早く適用することが重要です。脆弱性が修正される前に狙われる「ゼロデイ攻撃」にも注意してください。
システムの脆弱性を攻撃する「ゼロデイ」攻撃については以下の記事でも紹介しています。
フィッシングメール
フィッシングメールは、偽装された送信者から届く詐欺メールで、不正なマクロを含む添付ファイルや悪意あるリンクが仕込まれています。件名や本文は標的企業や関連組織に関係する内容を装い、過去に盗まれたメール情報が流用される場合もあります。
添付ファイルを開いたりリンクをクリックすると、不正なマクロが実行され、8baseランサムウェアに感染する恐れがあります。不審なメールは開かず、リンクもクリックしないよう注意してください。
https://digitaldata-forensics.com/column/cyber_security/7197/
VPN/RDP(リモートデスクトップ)の脆弱性悪用
VPNやRDPは、遠隔地から端末へ接続できる便利な技術ですが、設定やセキュリティ対策が不十分だと侵入の入口になります。特に弱いパスワードを使用していたり、RDPをインターネット上に直接公開している場合、攻撃者は総当たりで認証情報を破るブルートフォース攻撃を仕掛けてきます。
また、VPN機器やRDPの脆弱性を放置すると、そこから不正アクセスされる危険が高まります。安全なパスワード設定と定期的な更新、不要な公開設定の解除が必須です。
VPNやRDPの脆弱性については下記で詳しく解説しています。
https://digitaldata-forensics.com/column/cyber_security/4439/
8baseランサムウェアの感染事例
2024年以降、8baseランサムウェアは日本国内の企業を標的とした攻撃を活発化させています。ここでは、被害規模が大きかった代表的な事例を紹介します。
ニデックインスツルメンツ株式会社
2024年5月26日、モーターなどを製造・販売する「ニデックインスツルメンツ株式会社」のシステムが8baseランサムウェアに感染しました。
調査の結果、国内グループ会社や海外現地法人の一部ファイルサーバーが暗号化され、個人情報が外部リークサイトに流出してダウンロード可能な状態となっていたことが判明しました。
システム管理者アカウントのID・パスワード流出が感染原因とされています。2024年7月時点ではデータバックアップを行い、最低限の業務体制で運営を再開しています。
出典:ニデック株式会社
株式会社イセトー
2024年5月26日、自治体や企業の印刷業務を請け負う株式会社イセトーでランサムウェア感染が発覚しました。その結果、90万件以上の個人情報漏えいが確認されています。被害規模の一例は以下の通りです。
| 情報漏えいが確認された企業・自治体 | 漏えいした情報の種類と件数 |
| 京都商工会議所 | 企業代表者氏名や口座情報など 約4万1千件 |
| クボタクレジット | 氏名・住所・利用者明細など 約6万1千件 |
| 東海信金ビジネス | ダイレクトメールのログデータ 約7万7千件 |
| 和歌山市 | 市民税・県民税納付者情報 約15万件 |
| 徳島県 | 自動車税の納付者氏名など 約20万件 |
| 愛知県豊田市 | 税金関連の個人情報 約42万件 |
| 高松市 | 個別避難計画に関する個人情報 1605件 |
| 大阪府東大阪市 | 介護保険料関連の個人情報 75件 |
| 京都市 | 新型コロナウイルスワクチン接種に関する個人情報 9件 |
漏えいデータの一部はダークウェブに流出しましたが、2024年7月3日時点で削除が確認されています。被害が拡大した要因の一つは、委託業務完了後に削除すべき個人情報がイセトー側で残存していたことにあります。
出典:産経新聞 / 読売新聞オンライン / 株式会社イセトー
8baseランサムウェア感染時の対応
ランサムウェアに感染した場合は、以下のフローで被害を最小限に抑える必要があります。
感染時は慌てずに、過不足のないフローで適切な対応を取りましょう。 ランサムウェアに感染した場合の対応は次のとおりです。
端末をオフラインにする
まずは、ネットワークから感染した端末を切り離す必要があります。これにより感染が広がることを防ぐことができます。
リストアする(バックアップから感染前のデータを復旧する)
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復することができます。
ただし、ランサムウェア感染時は、復旧だけではなく、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時は、感染経路を特定し、再発防止策を講じる必要があります。
たとえば「脆弱性」を悪用した攻撃を受けた場合、再攻撃を受けないよう、適切な対応を行うとともに、どの端末の、どのデータが被害に遭ったのかを確認する必要があります。
特に法人の場合、個人情報の漏えいが疑われる際は、関係各所に向けた「被害報告」が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできないからです。
したがって、ランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計39,451件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
>ランサムウェア感染からのデータ復旧は可能か?法人が知るべき具体的手順を解説
ランサムウェア感染時、感染経路調査を行うメリット
ランサムウェアに感染した場合、感染経路を調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
ランサムウェア感染の調査を行う方法として「フォレンジック調査」を挙げることができます。フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
- 被害範囲を特定できる
- 感染経路や攻撃手法の解析・証拠が確保できる
- 専門エンジニアの詳細な調査結果が得られる
- セキュリティの脆弱性を発見し、再発を防止できる
①被害範囲を特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠が確保できる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
8baseランサムウェアによる被害の調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
\サイバーセキュリティ専門家へ24時間365日で無料相談/
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
