2025年9月5日にCheck Point研究チームが新しいランサムウェアグループYureiを発見した。Yureiは日本の民間伝承の「幽霊」から名前を取ったサイバー犯罪グループで、オペレーターはモロッコに拠点を置くと考えられている。
グループは9月5日に最初の被害者としてスリランカの食品製造会社MidCity Marketingを標的とし、9月9日までにインドとナイジェリアからの被害者2社を追加した。Yureiは二重恐喝攻撃手法を用い、システムを暗号化すると同時にデータを盗取し、後で身代金を要求する。このランサムウェアはGitHubで利用可能なオープンソースのPrince-Ransomwareバイナリを僅かに修正したバージョンを使用しており、Go言語で書かれている。
幸いなことに、Windowsのボリュームシャドウコピーサービスによって生成される既存のシャドウコピーを削除しないため、VSSが有効な場合、被害者は交渉なしでファイルを以前のスナップショットに復元可能である。
From: 
Emerging Yurei Ransomware Claims First Victims
【編集部解説】
Yureiランサムウェアの出現は、サイバー犯罪の低コスト化と民主化という深刻な問題を浮き彫りにしています。このグループがGitHubで公開されているPrince-Ransomwareのソースコードをほぼそのまま流用している事実は、高度な技術スキルがなくてもランサムウェア攻撃を実行できる時代になったことを示しています。
特に注目すべきは、このグループの地理的背景です。モロッコを拠点とする攻撃者がスリランカ、インド、ナイジェリアといった新興国を標的としている点から、サイバー犯罪のグローバル化と経済格差を悪用した攻撃パターンが見て取れます。これらの国々では国際的なサイバーセキュリティ支援体制が限定的である可能性があり、攻撃者にとって狙いやすい環境となっている懸念があります。
技術的な観点から見ると、Yureiが犯した致命的なミスは皮肉にも被害者にとっての救いとなっています。ボリュームシャドウコピーサービス(VSS)の削除を怠ったことで、適切なバックアップ体制を整えている組織であれば、身代金を支払うことなくデータを復旧できる可能性があります。
しかし、この技術的な欠陥があっても恐喝の脅威は残り続けます。現代のランサムウェア攻撃は単なるデータ暗号化から「データ窃取による恐喝」へとシフトしており、たとえファイルを復旧できても、盗まれた機密情報の公開を阻止することはできません。
特にMidCity Marketingのような食品製造業への攻撃は、単一企業を超えた社会インフラへの影響を及ぼす可能性があります。食品供給チェーンの混乱は国家の食料安全保障にも関わる重要な問題となり得るでしょう。
このケースが示唆する長期的な影響として、オープンソースマルウェアの普及により、今後さらに多くの未熟な攻撃者がランサムウェア市場に参入してくることが予想されます。技術力の低い攻撃者であっても心理的恐喝を武器として被害を拡大させることが可能であり、組織は従来以上に包括的なセキュリティ対策の構築が求められています。
【用語解説】
二重恐喝攻撃
従来の暗号化による身代金要求に加え、盗取したデータの公開を脅迫材料として使用する攻撃手法。被害者がバックアップからデータを復旧できても恐喝圧力を維持できる。
Prince-Ransomware
GitHub上で公開されているオープンソースのランサムウェア。Go言語で書かれており、犯罪者が容易にカスタマイズして悪用できる状態で配布されている。ChaCha20暗号化を使用し、ファイルに「.Prince」拡張子を付加する特徴を持つ。
ボリュームシャドウコピーサービス(VSS)
Windowsに標準搭載されているバックアップ機能。ファイルやフォルダの自動スナップショットを作成し、システム障害時のデータ復旧を可能にする。多くのランサムウェアはこの機能を無効化するが、Yureiは対策を怠った。
Go言語
Googleが開発したプログラミング言語。シンプルな構文とクロスプラットフォーム対応により、マルウェア開発者にも好まれている。
IOC(侵害指標)
システムが攻撃を受けた際に残される痕跡。IPアドレス、ファイルハッシュ、レジストリキーなどの技術的証拠で、セキュリティ担当者が攻撃を検知するために使用する。
【参考リンク】
Check Point Software Technologies(外部)
イスラエルを本拠とする世界的なサイバーセキュリティ企業で脅威インテリジェンス研究を実施
GitHub(外部)
世界最大のソースコード共有プラットフォーム。悪意のあるコードも存在するため注意が必要
【参考記事】
Yurei & The Ghost of Open Source Ransomware(外部)
Check Point Researchによる一次情報源となる詳細な技術分析レポート
Yurei ransomware exploits open-source tools, raising double extortion risks(外部)
産業サイバーセキュリティ専門媒体による分析でオープンソースツール悪用を詳述
Yurei Ransomware Uses PowerShell to Deploy ChaCha20 Encryption Against Businesses(外部)
GBHackersによる技術解説でPowerShell展開方法とChaCha20暗号化を分析
【編集部後記】
今回のYureiランサムウェアの事例を通じて、私たち個人や小規模事業者でもできる対策について一緒に考えてみませんか。Windowsのシャドウコピー機能を有効にしておくだけで、今回のような未熟な攻撃からは身を守れる可能性があります。
皆さんの職場や家庭のコンピューターでは、定期的なバックアップやソフトウェアの更新はどのように管理されていますか?また、メールの添付ファイルを開く際の判断基準はお持ちでしょうか?サイバーセキュリティは決して他人事ではなく、私たち一人ひとりの日常的な意識と行動が重要な防御線となります。もしよろしければ、皆さんの経験や取り組みを共有していただければ幸いです。
