【Aokiランサムウェア分析】

Aokiランサムウェアと推定される侵害事案が確認されましたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。

本報告書は、Aokiランサムウェアの活動に関する技術的知見をまとめたものです。このマルウェアは、C++で記述されており、GlobeImposter系統に関連するものと特定されています。感染後、実行ファイルは自己削除し、永続化のためにシステム領域へ移動・再実行される特徴を持ちます。

当該ランサムウェアの実行ファイルに関するメタデータ分析を実施しました。

Aokiランサムウェアは、実行時に自己を削除し、%APPDATA%Localディレクトリへコピーした後、再実行される挙動を示します。

実行ファイル情報

Aokiランサムウェアの主要な動作特徴は以下の通りです。

• 自己複製と永続化: 最初に実行されたファイルは削除され、その後、%APPDATA%Localへコピーされ再実行されます。

  

  <LocalAppDataへのコピーと再実行の痕跡>

  
  

• レジストリによる持続性確保: 暗号化処理を開始する前に、ランサムウェアは現在のユーザーのスタートアップレジストリ（RunOnce）に自身を登録します。これにより、たとえ直近のプロセスが停止しても、Windowsログオン時に再実行される永続性が確保されます。

  

  <スタートアップ項目への登録の痕跡>

  
  

暗号化が完了した後、身代金要求ファイルはhow_to_back_files.htmlという名前で、暗号化された各ファイルが存在するディレクトリ内に生成されます。暗号化されたファイルは、<元のファイル名.拡張子.crypted_aoki@airmail_cc> の形式で拡張子が変更されます。

<暗号化後のファイルとランサムノートの生成>

本マルウェアの活動を鑑み、以下の対策を強く推奨いたします。

• エンドポイント保護の強化: 既知の脅威だけでなく、振る舞い検知が可能なセキュリティ製品（例：本件で言及されているWhiteDefenderなど）を導入し、実行ファイルが自己複製やレジストリ操作を行う前にプロセスを遮断してください。
• バックアップ戦略の徹底: 3-2-1ルールに基づいたオフラインまたはイミュータブルなバックアップを維持し、ランサムウェアによるデータ破壊から復旧できる体制を確保してください。
• 不審な実行ファイルの監視: %APPDATA%や%TEMP%ディレクトリからの不審な実行ファイルの起動や、レジストリのRunキーへの不審なエントリ追加を継続的に監視・監査してください。

WhiteDefenderによる対応

WhiteDefenderは、ランサムウェアの悪意ある振る舞いを検知し、暗号化が進行する前にファイルのリアルタイム自動復元機能をサポートします。

<遮断メッセージの例>