本レポートは、新たに観測された「Sage」ランサムウェアの活動に関する技術的分析結果を報告するものです。本マルウェアは、特定の手法によりシステムへ侵入した後、ファイルを.sage拡張子に変更し、身代金要求を行います。本件に関連する組織におかれましては、直ちに以下の推奨事項に基づいた対策の実施をお願い申し上げます。

当該ランサムウェアは「Sage」と特定されており、感染が完了すると被害ファイルの拡張子を.sageに変更する特徴が確認されています。

ファイルの属性とバージョン情報

対象となる実行ファイルや関連ファイルの属性情報が以下の図にて確認されました。

Sageランサムウェアの実行から暗号化完了に至るまでの主要な動作プロセスを以下に詳述します。

1. 復旧機能の無効化（シャドウコピーの削除）

攻撃者は、Windows OS標準の回復機能であるシャドウコピー（ボリューム・シャドウ・コピー・サービス: VSS）を削除することにより、被害からの復旧を意図的に困難にしています。これは、永続化と被害拡大を確実にするための一般的な手口です。

<シャドウコピーの削除処理>

2. 実行環境の準備と難読化された実行

ランサムウェア本体は、実行時に一時的なコマンドファイル（임시 명령어 파일）を生成します。このプロセスは以下の手順を踏みます。

• 通信状態の確認（C2サーバとの疎通確認など）。
• ランサムウェア実行ファイルの所在をシステムの一時フォルダ（Tempディレクトリなど）へ移動させ、そこから実行します。
• 実行に使用された一時的なコマンドファイルは、痕跡を消すために削除されます。

<一時フォルダへの移動>

<実行コマンドの痕跡>

<ランサムウェアの実際の実行場所>

3. コードの保護と難読化

本マルウェアは、動的解析や静的解析を困難にするための防御機構を組み込んでいます。具体的には、圧縮（Packing）やアンパック処理に対する防御メカニズムが適用されており、スクリプト自体にも高度な難読化が施されていることが確認されています。

暗号化処理が完了すると、以下の痕跡が残されます。

• ファイル拡張子の変更: 影響を受けた全ファイルは、末尾に <元のファイル名>.sage の形式に変更されます。
• 身代金要求メッセージ: 各ディレクトリには、身代金要求ファイルとして !Recovery_SB8.html という名称のHTMLファイルが生成されます。

<暗号化後の被害状況>

セキュリティ製品による検知と対応（WhiteDefenderの事例）

セキュリティ製品（本件ではWhiteDefender）は、ランサムウェアの悪性動作を検知し、ブロックしています。さらに、ファイル暗号化が開始される直前の段階で、リアルタイム自動復元機能により影響を受けるファイルを保護できることが示唆されています。また、初期実行ファイルについても検知・排除が行われます。

<検知およびブロックメッセージ>

<ブロック履歴>

Sageのブロック動作デモンストレーション映像はこちら

本種の脅威、特にマクロ機能を利用した初期感染経路を考慮し、以下の対策を直ちに実施してください。

• メールセキュリティの強化: 添付ファイル付きの不審なメール（特にOfficeファイル）の開封を厳しく禁止し、サンドボックス環境での挙動確認を徹底してください。
• マクロ実行の原則禁止: Microsoft Office製品において、信頼できない送信元からのファイルのマクロ実行を無効化する設定を適用してください。
• VSS保護の徹底: 攻撃者がVSSを削除できないよう、定期的なバックアップの取得と、バックアップデータのネットワークからの隔離（オフラインまたはイミュータブルストレージ）を確立してください。
• エンドポイント検出と対応（EDR）の導入: 疑わしいプロセス挙動やファイルシステム操作（大量のファイルリネームや削除試行）をリアルタイムで検出し、自動的に隔離・復旧できるソリューションの導入・活用を強化してください。