調査日: 2025-05-21
本レポートは、JackSparrowランサムウェアとして特定されたインシデントに関する技術的分析結果と、CISOおよびIT管理者向けに推奨される対策をまとめたものです。当該ランサムウェアはファイルの拡張子を変更し、システムの復元機能を無力化する特徴を持っています。
JackSparrowランサムウェアは、侵入後、システム内の全ファイルを標的とし、ファイル名を「<ファイル名>.encrypted.<元の拡張子>」の形式に変更します。このランサムウェアはC++で記述されており、暗号化処理の開始前に、OSの回復機能を無効化する手順を組み込んでいる点が特徴です。
<ファイル名>.encrypted.<元の拡張子>
このランサムウェアの実行ファイルは、C++ベースでコンパイルされており、特定の環境情報とファイルメタデータを保持しています。
JackSparrowランサムウェアは、実行されると以下の手法を用いてシステムへの常駐化を図ります。
%APPDATA%
%TEMP%
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
<実行ファイルのコピー生成と、ログイン時の自動実行を設定するスケジューラの作成>
暗号化を実行する直前、JackSparrowは被害者によるシステム復元や回復の試みを阻止するため、以下のコマンドを実行します。
vssadmin delete shadows /all /quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
<シャドウコピーの削除コマンド実行および、Windows復元機能とエラーメッセージ表示機能の無効化>
システム復旧機能を無力化した後、ランサムウェアはターゲットファイルを探索し、暗号化処理を実行します。暗号化が完了したファイルは、拡張子が「.encrypted.<元の拡張子>」に変更されます。
.encrypted.<元の拡張子>
暗号化が完了すると、ランサムウェアは被害者に対して金銭を要求するためのランサムノートを自動的に表示します。システム内のデータファイルは全てアクセス不能な状態となり、前述の形式でファイル名が変更されます。
<感染後のデスクトップ画面と暗号化されたファイルの表示>
JackSparrowランサムウェアのような侵入型攻撃に対処するため、以下の対策を緊急で実施することを強く推奨します。
初期侵入経路(多くは外部に公開されたサービスやフィッシングメール)を特定し、直ちに封鎖する必要があります。特に、リモートアクセスに使用されるVPNゲートウェイやWebアプリケーションなどの外部公開リソースについて、最新のパッチが適用されているかを確認し、設定の不備がないかを再点検してください。
従来のシグネチャベースの対策では対応が困難なため、ランサムウェア特有の悪質な「行動」(大量ファイルアクセス、VSS削除コマンド実行、暗号化後の拡張子変更など)をリアルタイムで検知し、即座にプロセスを遮断できる次世代型のエンドポイントセキュリティ(EDR機能を有する製品)を導入してください。
<悪意あるプロセスの実行を検知し、ファイル暗号化を防止する遮断メッセージ>
万が一、暗号化処理が開始された場合でも、そのプロセスを検知した時点で実行ファイルと暗号化され始めたファイルを即座に隔離し、感染前の状態にファイルを瞬時に復元できるアンチランサムウェア技術(ロールバック機能)を導入・活用し、被害範囲を最小限に抑える体制を構築してください。
重要データや基幹システムを保持するサーバー群と、一般従業員が使用するクライアントネットワークを物理的または論理的に分離(セグメンテーション)し、万一感染が発生した場合のラテラルムーブメント(横展開)を阻止してください。