一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介する本連載。今回は、Lynxランサムウェアを紹介します。

Lynxランサムウェアの前身「INC」とは

Lynxランサムウェアのサンプルが最初に確認されたのは、2024年7月でした。FortiGuard Labsの調査によれば、このランサムウェアは2023年7月に初めて登場した「INCランサムウェア」と酷似しており、FortiGuard Labsでは、INCランサムウェアがLynxランサムウェアの前身であると考えています。

ただし、INCランサムウェアはWindowsとVMware ESXi(仮想マシン実行のためにVMwareが提供している仮想化ソフトウェア)で実行可能ですが、Lynxランサムウェアで確認されているのはまだWindows向けの亜種のみです。

ここで簡単に、INCランサムウェアについて振り返っておきましょう。2023年7月に初めて発見されたこのランサムウェアは、同名の「INCランサムグループ」によって提供されています。このグループは比較的新興のものと言えますが、同年のうちに複数の企業と政府機関、慈善団体が被害を受けており、翌2024年にも複数の医療・ヘルスケア関係機関などが攻撃を受けてきました。

脅迫の手法はいわゆる「二重脅迫型」であり、被害者とやり取りするための「ログイン認証が必要なサイト」と、盗み出したデータの漏洩などを目的とした「公開サイト」の2サイトを運営していました。

INCランサムグループによる日本企業に関係するインシデントとしては、2023年10月に発生し、本誌でも報道された、ヤマハ発動機のフィリピン子会社へのランサムウェア攻撃事案があります。同年11月にはリークサイトに「Yamaha Motor Philippines, Inc (YMPH)」の名前とリークデータが掲載され、自分たちがこの攻撃を行ったと主張しています。

LynxランサムウェアとINCランサムウェアの関係

このINCランサムウェアとLynxランサムウェアの関係には諸説あります。

一つは、LynxランサムウェアがINCランサムウェアの「リブランド(名称変更)」であるという見方です。これは両者の類似性からの推測で、ランサムウェアの世界ではこのようなリブランドが頻繁に発生しています。

もう一つは、LynxランサムグループがINCランサムグループから、ランサムウェアのコードを購入したという説です。実際に「INCランサムウェアのソースコードとされるものが30万ドルで売りに出された」と2024年5月13日に報道されており、ネット上では「Lynxランサムグループがこれを購入したと主張している」という記述も見られます。

いずれも真偽のほどは明らかではありませんが、両者に何らかの関係があることは間違いなさそうです。

LynxランサムウェアとINCランサムウェアの比較

次に、LynxランサムウェアがINCランサムウェアからどのような進化を遂げているのか、両者を比較してみましょう。

まずはランサムウェア実行時のオプションです。上側がINCランサムウェア、下側がLynxランサムウェアです。

LynxランサムウェアはINCランサムウェアよりオプションが多く、より細かい制御が可能になっていることがわかります。

次に実行時の挙動ですが、両者ともほぼ同じと言えます。具体的には、Windowsマシン上のファイルを暗号化し、デスクトップの背景を変更して、身代金要求のランサムノートを残します。暗号化手法も同一であり、接続されたプリンターにランサムノートを送信しようとする点も似ています。

Lynxランサムウェアが残すランサムノートは以下のとおりです。

このランサムノートの主たる目的は、Lynxランサムグループが運営するチャットサイトに被害者を誘導することです。被害者がこのサイトにアクセスするには、被害者固有のIDでログインする必要があります。

またLynxランサムグループはINCランサムグループと同様に、以下のようなデータ流出サイトも運営しています。

このサイトには2025年1月29日時点で、96人の被害者がリストアップされていました。その概要は以下のとおりです。

  • 被害者は16カ国に分散
  • 被害者の60%以上は米国在住、次いでカナダとイギリスがそれぞれ約8%で2位
  • 業種別では製造業が20%以上と最も被害を受けており、次いで建設業が20%弱となっている

なお、身代金を支払った被害者はデータ流出サイトから削除されている可能性があるため、これよりも多くの企業が被害を受けている可能性も考えられます。いずれにしても、かなり活発な活動を行っていることがわかります。

また以下のような「行動規範」も掲載されています。

これによれば「政府機関、病院、非営利組織は社会的に重要な役割を担っているため除外する方針である」と主張していますが、データ流出サイトに記載されている被害者の中にはヘルスケアやエネルギー部門と思われる組織もあるため、この行動規範を額面通りに受け取ることはできません。

ダイナミックに変化を続けるランサムウェアに注意

今回はLynxランサムウェアの発見を端緒に、INCランサムウェアとの関係性を軸に説明しましたが、このような関連性を持つランサムウェアやランサムグループは数多く存在します。要因としては、捜査機関の目をそらすためのリブランドや、ランサムグループ内の内紛による分裂、コードや資金の持ち逃げ、ランサムグループ間の協力・合流などが考えられています。ただ、実態が明らかなケースは稀で、多くは推測に過ぎません。

いずれにしても今のランサムウェアの世界は、「群雄割拠」「合従連衡」といった言葉を連想させ、主要なプレイヤーだけを見てもダイナミックに変化し続けています。そのため常に最新情報を入手し続けることが重要です。

これらのランサムウェアについて、もっと詳しく知りたい方に

ここでご紹介したランサムウェアは、FortiGuard Labsが公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。

Lynxランサムウェア

「Ransomware Roundup - Lynx」(Shunichi Imano and Fred Gutierrez、2025年2月14日)

著者プロフィール


今野 俊一(フォーティネットジャパン 上級研究員)、Fred Gutierrez