【KiRaランサムウェア】

KiRaランサムウェアと推定される侵害事案が確認されましたため、当該状況に関する確認と注意喚起を以下の通り報告いたします。

KiRaランサムウェアの概要

本ランサムウェアは「KiRa」と称されており、感染対象ファイルの拡張子を「.ファイル名.4桁の個別固有値」に変更する挙動が確認されています。

ファイル属性

動作の特徴

• ランサムウェア実行ファイルの移動とスタートアップ登録

  初回実行後、ランサムウェアは自己を%AppData%Roamingフォルダへコピーし、そこから再実行されます。さらに、スタートアップ（スタートアッププログラム）の場所にショートカットリンクを生成し、持続性（Persistence）を確保しようとします。

  

  <Roamingフォルダにコピーされた実行ファイル>

  

  <スタートアップへのランサムウェアリンク作成に関する静的コードの記述>

  

  <スタートアップフォルダに生成された実在のリンクファイル>

• バックアップおよびセキュリティ機能の無力化

  ファイルの暗号化後に復旧を困難にするため、シャドウコピー（ボリュームシャドウコピーサービス）およびバックアップカタログを削除します。また、Windowsの復元機能やエラーメッセージ表示機能を無効化する処理も確認されています。

  

  <シャドウコピー削除およびバックアップカタログ削除コマンドの静的コード>

上記動作の特徴に基づき、感染から暗号化完了までのプロセスは以下の通りと推定されます。

1. 初期実行と自己複製（%AppData%Roamingへの移動）。
2. 持続性の確立（スタートアップへのショートカット登録）。
3. セキュリティ機能の無効化（VSS削除、復元機能無効化）。
4. ファイル検索と暗号化処理の実行。

感染結果

身代金要求ファイル（ランサムノート）は、各感染ディレクトリに <read it!!.txt> として生成されます。暗号化が完了すると、ファイル名は <ファイル名.元の拡張子.4桁の個別固有値> へと変更されます。処理完了後、デスクトップの背景が変更されます。

<感染結果（ランサムノートとファイル変更の様子）>

対策製品による検知と対応

本ランサムウェアの悪性動作や、暗号化が進行する前の段階において、対策製品（例：ホワイトディフェンダー）はリアルタイムでの自動復旧機能をサポートしています。

<検知・ブロックメッセージ>

KiRaランサムウェアの侵害を防ぐため、以下の対策を強く推奨いたします。

1. バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された場所に保管してください（3-2-1ルール推奨）。
2. エンドポイントセキュリティの強化: 既知および未知の脅威に対応可能なEDR/EPPソリューションを導入し、常に最新の状態に保ってください。
3. VSS保護の確認: 攻撃者がVSSを削除する前に、システム設定やセキュリティポリシーによりVSSへのアクセス権限を制限してください。
4. 不審なメール・ファイルへの注意: 添付ファイルやリンクの開封前に、送信元を厳密に確認するよう、全従業員への教育を徹底してください。