ビジネスパーソンが押さえておくべきランサムウェア最新動向 第15回 FF7の『神羅カンパニー』を想起させるShinraランサムウェアに注意

画像提供：マイナビニュース

一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、以下のランサムウェアを紹介します。

Shinra ランサムウェア
Limpopo ランサムウェア

Shinraランサムウェア

Shinraランサムウェアは、一般公開されているファイルスキャンサービスに、2024年4月に初めてサンプルが提出されたものです。サンプルの提出元は、イスラエル、ポーランド、ロシア、英国、米国です。

このランサムウェアを使うサイバー攻撃者は、ランサムウェアを実行してデータを暗号化する前に、被害者のデータを盗み出す、いわゆる「二重恐喝」型の攻撃手法を使用します。また、ShinraランサムウェアのターゲットはWindowsで、指定されたボリュームの内容を自動的にバックアップする「ボリュームシャドウコピー」を削除するため、データの復旧は困難です。

これまで紹介してきた事例にもあったように、サイバー攻撃者はアニメやゲームのキャラクターや組織の名前を使用することが多いです。Shinraと言えば、スクウェア（現在のスクウェア・エニックス）が1997年に発売した「ファイナルファンタジーVII」に登場する、「神羅カンパニー」という架空の大企業を想起させます。このため、当初はこのランサムウェアもその類のサイバー攻撃者による使用が疑われましたが、明確な関連性は見つかっていません。

Shinraランサムウェアのサンプルは、すでに複数提出されています。その1つは、まず自分自身をユーザーのスタートアップフォルダにコピーし、ファイルの暗号化などの妨げになりそうな複数のプロセスとサービスを停止させます。さらに、Windowsがシステムやアプリケーションの設定データなどを管理するための仕組みであるレジストリの設定を変更し、デスクトップの壁紙を以下のように書き換えてしまいます。

データ復旧のために連絡すべきサイバー攻撃者のEメールアドレスが、デスクトップに大きく表示される他、いくつかのレジストリ設定が変更されます。

また、システム挙動に影響を与えると考えられるファイルなどを除外した上でファイルの暗号化を実行し、ボリュームシャドウコピーを削除します。この亜種は暗号化したファイルに「.SHINRA2」という拡張子を追加していますが、他にも「.SHINRA3」「.SHINRA7」「.SHINRA9」という拡張子を追加する亜種が見つかっています。