レイメイ藤井のランサムウェア攻撃事例から学ぶ!CrySiS/Dharmaを使った新たな手口とは

レイメイ藤井を襲ったCrySiS/Dharmaランサムウェアの衝撃

文房具メーカーとして親しまれている株式会社レイメイ藤井が、2025年8月にランサムウェア攻撃を受けた事件をご存知でしょうか?

この事件、実は我々サイバーセキュリティの専門家の間では「かなり巧妙で新しい手口」として注目されているんです。なぜなら、今回使われたのは従来とは少し違う特徴を持ったCrySiS/Dharmaランサムウェアの亜種だったからです。

今回のフォレンジック解析結果から見えてきた攻撃の全容と、あなたの会社が同じ被害に遭わないための対策について、現役のCSIRTメンバーとして詳しく解説していきますね。

攻撃者はどうやって侵入したのか?フォレンジック解析で判明した手口

まず驚くべきは、攻撃者の侵入経路です。フォレンジック解析の結果、以下のことが判明しました:

攻撃の流れ

  1. 社外からネットワーク経由でコンピュータに接続
  2. リモートで操作して不正アクセスを実行
  3. 複数の社内サーバに次々と接続
  4. 最終的にランサムウェアを実行してファイルを暗号化
  5. サーバ内に脅迫文を残す

この手口、実は最近のランサムウェア攻撃でよく見られるパターンなんです。単純にマルウェアをばらまくのではなく、まず内部に侵入してから「手動で」ランサムウェアを実行する。これを「ハンズオンキーボード」攻撃と呼んでいます。

私が過去に対応した類似事例でも、攻撃者は数日から数週間かけて社内ネットワークを探索し、重要なサーバを特定してから一気に暗号化を実行するケースが多いんです。

CrySiS/Dharmaランサムウェア亜種の特徴とは?

今回発見されたランサムウェアは、CrySiS/Dharmaファミリーの亜種でした。興味深いのは、このマルウェアの特徴です:

このランサムウェアの特徴

  • 永続性の機能なし:再起動すると消える
  • 拡散機能なし:他のコンピュータに自動で感染しない
  • 外部通信機能なし:情報を外に送らない
  • 情報漏えい機能なし:データを盗まない
  • ファイル改ざん機能なし:暗号化以外は何もしない

これ、一見すると「おとなしいランサムウェア」に見えますが、実は違います。攻撃者の目的が「データの窃取」ではなく「業務停止による身代金要求」に特化していることを意味しているんです。

実際、私が対応した中小企業の事例でも、似たようなシンプルなランサムウェアで「データは盗まれていないが、業務が完全に停止してしまった」というケースがありました。復旧に2週間以上かかり、売上への影響は数百万円規模でした。

なぜリークサイトがなかったのか?攻撃者の意図を読み解く

今回の事件で注目すべきは「リークサイトに関する記述がなかった」という点です。

最近のランサムウェア攻撃では、「二重恐喝」が主流になっています。つまり:
1. ファイルを暗号化(業務停止)
2. データを盗んでリークサイトで公開すると脅迫(情報漏えいの脅迫)

しかし今回は、情報漏えい機能もリークサイトもない。これは攻撃者が「とにかく素早く身代金を得たい」と考えていた可能性が高いんです。

実際、私の経験では、こうした「シンプルな暗号化のみ」のランサムウェアほど、被害者が身代金を支払ってしまう確率が高い傾向があります。「データが盗まれていないなら、お金を払って解決しよう」と考えてしまうからです。

個人や中小企業が取るべき対策とは?

レイメイ藤井の事例から学べる教訓は多いです。特に個人事業主や中小企業の方は、以下の対策を必ず実施してください:

1. ネットワークセキュリティの強化

多要素認証の導入
リモートアクセスには必ず多要素認証を設定しましょう。VPN 0を使っている場合でも、VPN接続後に更に認証を求める設定にすることが重要です。

エンドポイント保護の強化
すべてのPCにアンチウイルスソフト 0を導入するのは当然ですが、EDR(Endpoint Detection and Response)機能付きの製品を選ぶことをお勧めします。

2. 脆弱性管理の徹底

攻撃者は脆弱性を突いて侵入することが多いです。特に:
– OSの定期的なアップデート
– 強固なパスワードポリシーの設定
– 不要なサービスの停止

これらは基本中の基本ですが、意外と軽視されがちです。

3. Webサイトを持つ企業は脆弱性診断を

もしあなたの会社がWebサイトを運営しているなら、定期的な脆弱性診断は必須です。Webサイト脆弱性診断サービス 0を利用して、攻撃者に狙われる前に弱点を発見・修正しましょう。

実際のフォレンジック対応から見えた課題

今回のレイメイ藤井のケースでは、フォレンジック解析に約1ヶ月かかっています(8月9日発生、9月2日に最終報告受領)。

これは決して長いわけではありません。実際、私が担当した中小企業のケースでは、以下のような課題がありました:

よくある課題
– ログが適切に保存されていない
– 初期対応で証拠が消失
– 専門家への連絡が遅れる
– 復旧を急ぐあまり、原因究明がおろそかになる

特に個人事業主や小規模企業では「とにかく早く復旧を」と考えがちですが、原因を特定せずに復旧すると、同じ攻撃を再び受けるリスクが高まります。

まとめ:今すぐできる対策から始めよう

レイメイ藤井の事例は、決して「大企業だけの問題」ではありません。むしろ、セキュリティ対策が手薄になりがちな中小企業や個人事業主こそ、同様の攻撃を受けるリスクが高いのが現実です。

今回の事件から学ぶべき最重要ポイントは:

1. 攻撃者は外部からネットワーク経由で侵入してくる
2. シンプルなランサムウェアでも甚大な被害をもたらす
3. 事前の対策が何より重要

まずは基本的な対策から始めましょう。アンチウイルスソフト 0の導入、VPN 0の利用、そして定期的なWebサイト脆弱性診断サービス 0。これらは「保険」のようなものです。

事件が起きてから「あの時対策しておけば…」と後悔するより、今すぐ行動することが、あなたのビジネスと大切なデータを守る最良の方法です。

一次情報または関連リンク

レイメイ藤井、サーバへの不正アクセスについて続報を発表

タイトルとURLをコピーしました