はじめまして、Cisco Talos の武田です。
この記事は、Cisco Talos の Security Research Enginner である Takahiro Takeda によるブログ 「Ransomware incidents in Japan during the first half of 2025
」(2025/08/19) の翻訳です。
2025 年上半期における日本でのランサムウェア被害の状況
- 2025 年上半期の日本でのランサムウェア被害は、前年比の約 1.4 倍に増加
- ランサムウェア攻撃者は依然として主に日本の中小企業を標的とし、
最も影響を受けている業種は製造業、この傾向は昨年から変化していない - 日本に最も被害を出しているのは「Qilin」ランサムウェアグループ
- 6 月下旬に新しいランサムウェアグループ「Kawa4096」が現れ、日本の 2 社が攻撃された可能性
被害企業について
図 1 は、2025 年 1 月から 6 月までの上半期における国内企業の被害(海外拠点・海外子会社を含む)をまとめた表です。Cisco Talos の調査において、2025 年の 1 月から 6 月に国内でランサムウェアによって被害を受けた組織数は 68 件でした。
昨年度、同時期の被害数 48 件に比べると約 1.4 倍に増えていることが分かります。毎月の被害数は、最も少なくて 4 件、多くて 1 か月に 16 件、平均では、毎月約 11 件のランサムウェアによる攻撃が発生している状況です。
図 1. 日本におけるランサムウェア被害の状況 – 2025 年上半期 –
被害を受けている業種は、昨年同時期から大きな変化はなく、製造業が 18.2 %で最も多く、次いで自動車関連が 5 件(5.7%)、商社、建設、運送系がそれぞれ 4 件(4.6%)となっています。(図 2)
図 2. 業種に基づく被害組織の数
影響を受けた組織の規模に関しては、資本金が 1 億円未満の組織が 38% で最も多く、次いで 1 億円から 10 億円未満の組織が 31% でした。
合計すると、10 億円未満の組織が全体の 69% を占めており、攻撃者が依然として中小企業を主な標的としていることが分かります。(図 3)
図 3. 資本金による被害を受けた組織の分類
被害の多いランサムウェアの種類
2024 年度前半に、被害が多く観測された LockBit と 8base は、それぞれ、プレスリリースによって公表されている 2024 年 2 月と 2025 年 2 月にて、
法執行機関にテイクダウンされたのをきっかけとして活動を停止しているため、2025 年では、観測されていません。
昨年、上位にいた、Ransomhub や Hunters International は、日本で、引き続き活動を継続していることが分かります。
2024 年度には、日本で被害が確認されていなかったグループとして、ランサムウェアグループ「Qilin (キリン)」が、2025 年度上半期、日本での被害組織の数が 8 件とトップとなっています。
Qilin は、2022 年 10 月から活動開始が確認されて、国内外問わず多方面に影響を与えているランサムウェアグループの一つです。この調査からも近年活動が活発化していると推測でき、最も警戒すべきグループの一つと言えます。
次いで、Lynx、Nightspire、RansomHub の 3 グループがそれぞれ 3 件と続き、Akira、Cicada3301、Gunra、Kawa4096、Space Bears といったグループはそれぞれ 2 件の被害が見られます。
特に 2025 年 6 月下旬から活動開始を確認した「Kawa4096」は、活動開始直後から日本をターゲットにしていることから注意が必要です。そのほか、Black Suit、CLOP、Devman、Fog、Playなど、1 件ずつの活動が確認されているグループも多数存在します。
図 4. 標的に使用されたランサムウェア種別の数(不明だったものについては除外)
Spotlight : Kawa4096 Ransomware group
Kawa4096 に関しては、Trustwave 社が 7 月にレポートを公開しており、併せてご確認いただけますと幸いです。
Kawa4096 というランサムウェアグループは、2025 年 6 月 19 日に初めて、図 5 に示す自身のリークサイトに攻撃した被害企業について掲示しました。その後、6 月 26 日、28 日と立て続けに 2 つの日本企業に攻撃したと見られる情報を公開しました。
図 5. Kawa4096 リークサイト
KawaLocker ランサムウェア
Config ファイルについて
このグループが使用するランサムウェアは、図 6に示すように、FindResourceW API を用いて、リソースセクションから図 7 に記載の config ファイルを読み込みます。config ファイルには、暗号化しない拡張子、ディレクトリ、ファイル、特定のフォルダ、停止するプロセスとサービス、実行するコマンドなどが定義されています。また、下記に示す例の config ファイルでは、WMI 経由で実行されるコマンドとして、<cmd_post value=”calc”>と定義されていて、電卓が起動されます。暗号化後、電卓を起動するのみのため、これは、設定が正しく反映できているかチェックするために使用しているものだと考えられます。この値の設定次第では、任意のコマンドが実行可能です。他の config ファイルには、暗号化後、強制的に再起動を起こすように shutdown /r /t 0 が設定されているケースも確認しています。
図 6. リソースセクションから RCDATA101 の読み込み
図 7. RCDATA101 に定義されている設定ファイル(一部抜粋)
付与される拡張子名とアイコンの生成
ファイルを暗号化した際に、変更される拡張子に関しても、Config ファイルと同様にリソースセクションから読み込まれた値を使用します。読み込まれた値から 8byte 先を先頭とし、そこから 9byte 先までを拡張子として設定します。
図 8. リソースセクションから RCDATA102 の読み込み
図 9. RCDATA102(一部抜粋)
暗号化したファイルの拡張子の名前が決まると、以下のパスに、CreateFileW API を用いて、暗号後の際に使用されるアイコンファイルを作成します。
C:\Users\Public\Documents\.C3680868C.ico
その後、レジストリの HKEY_LOCAL_MACHINE\Software\Classes に、.C3680868C を作成し、DefaultIcon をサブキーとし、上記のアイコンのパスを値に登録します。
図10. 独自拡張子の登録
図 11. 暗号化されたファイル
引数の種類
このランサムウェアは、実行後、”all” という引数の有無を確認します。(図 12)
図 12. 引数の確認
以下に 3 つの引数についてまとめて記載します。
- -all : ランサムウェアの処理をマルチスレッドで実行
- -d : 指定したディレクトリのみを暗号化
- -dump : MiniDumpWriteDump API を用いて、クラッシュした際の情報などを .dmp ファイルとして実行時のフォルダに作成
-all オプションがついていないとき:自分自身を “\”%ws\” -all” として CreateProcessW API を用いて、再実行します。
また、-all が指定されていない場合に限り、CreateMutexA API を用いて ”SAY_HI_2025” という名前の Mutex を作成し、すでに実行されているかどうかを確認します。
図 13. Mutex の作成
Ransom note
図 14 に示す “!!Restore-My-file-Kavva.txt” というファイル名のランサムノートが、C:\ と暗号化対象のフォルダに作成されます。ランサムノートには、二重脅迫型のランサムウェアの特徴であるシステムが暗号化されたことと、重要なデータを窃取していること、やり取りを拒んだ場合、データを公開することが主に記されています。また、従業員の個人情報や顧客の情報など、どのようなデータが含んでいるかについても言及しています。被害者側からの攻撃者へのコンタクトを促していることがよくわかります。
図 14. Ransom note
データの消去
ファイルの暗号化後、以下のコマンドを実行することによって、復元をできないようにするためバックアップに関連するデータと痕跡を消去するためイベントログを削除します。
vssadmin.exe Delete Shadows /all /quiet vssadmin.exe delete shadows /all /quiet wmic shadowcopy delete /nointeractive cmd.exe /c wevtutil cl security | wevtutil cl system | wevtutil cl application
また、Config ファイルの設定によっては、以下のコマンドをもとに自身のプログラムの削除を行います。
cmd.exe /C ping 127.0.0.1 -n 2 > nul && del /F
暗号方式
暗号化の方法としては、暗号化対象のファイルサイズに応じて Chunk サイズを決めてデータを分割する数を決めています。10MB 以下は、データを分割しての暗号は行われませんが、10MB 以上は、図 15 に示す通りファイルサイズごとに Chunk サイズを変えて分割されます。Chunk の基準は、a1 + 488 で指定されており、値は、0x10000(64KB) が設定されます。図 16 に、ファイルサイズごとの Chunk サイズを記載します。このように実装することによって、ファイルの暗号をより高速化させています。
図 15. ファイルのサイズによって分割数を決めるコード(一部抜粋)
図 16. ファイルサイズと Chunk サイズの対応表
分割する Chunk サイズの決定後、Salsa20 を用いて、対象のデータを暗号化をします。
図 17. 暗号方法
KawaLocker2.0
我々は 7 月下旬に、KawaLocker2.0 も観測しております。このことからも、攻撃者が活発にこのマルウェアを今後より展開していく可能性があります。変更点の一つ目としては、ランサムノートが初期の KawaLocker と異なります。図 18 で示す KawaLocker2.0 のランサムノートには、新たに、メールの連絡先が追加されました。
図 18. KawaLocker2.0 Ransom note
もう一つの変更点は、KawaLocker2.0 の config を確認すると、hide_name というフラグが追加されていることが分かります。
図 19. KawaLocker Config (左), KawaLocker2.0 Config(右)
このフラグを有効にすると、ファイルの絶対パスをもとに、ファイル名がハッシュ関数によって変更され、暗号化されます。
図 20. hide_name フラグ有効時の暗号化されたファイル
Coverage
お客様がこの脅威を検知およびブロックする方法は以下の通りです。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、本投稿で詳述したマルウェアの実行を防止するのに最適です。こちらから Secure Endpoint を無料でお試しいただけます。
Cisco Secure Email(旧 Cisco Email Security)は、脅威アクターがキャンペーンの一環として送信する悪意あるメールをブロックできます。こちらから Secure Email を無料でお試しいただけます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意あるバイナリを特定し、すべての Cisco Secure 製品に対して保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型 Security Service Edge(SSE)です。Secure Access は、ユーザーがどこで働いていても、インターネット、クラウドサービス、またはプライベートアプリケーションへのシームレスで透過的かつ安全なアクセスを提供します。Cisco Secure Access の無料トライアルにご興味のある方は、Cisco のアカウント担当者または認定パートナーまでお問い合わせください。
この脅威については、ClamAV による検出も提供されています。
- Ransomware.KaWaLocker-10056371-0
Indicators of compromise (IOCs)
本投稿に関する IOCs はこちらからダウンロードできます。
Authors