中小企業に焦点を当てていたAkiraは、製造業、IT、医療、金融などの大企業へと標的を移し、マルチプラットフォーム攻撃と二重脅迫戦術を活用しています。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、FBIおよび複数の国際パートナーとともに、Akiraランサムウェアグループによる重要インフラへの脅威が増大していることを警告する新たな勧告を発表しました。
最新のアップデートによると、このランサムウェアグループはVMware ESXiやHyper-V環境を超えて、Nutanix AHV仮想マシンも標的にするようになったことが明らかになりました。
Akiraは当初、北米、ヨーロッパ、オーストラリアの中小企業に焦点を当てていましたが、近年では製造業、情報技術、医療、金融サービス、食品・農業分野の大企業を感染させる事例が増えています。
「AkiraがWindowsだけでなく、Linuxサーバー、VMware ESXi、Hyper-V、そして今やNutanix AHVにまで拡大しているのは、単なる実験ではありません。これは、このグループが長期的な活動を計画しているという非常に明確なシグナルです。マルチプラットフォームのランサムウェアは開発コストが高く、維持も非常に困難です」とGreyhound Researchのチーフアナリスト兼CEO、Sanchit Vir Gogia氏は述べています。
2025年9月末時点で、Akiraランサムウェアは約2億4,417万ドルの身代金収益を上げているとCISAは指摘しています。
Akiraの侵入手口
初期アクセスを得るために、Akiraの攻撃者は多要素認証(MFA)が導入されていない脆弱なVPNサービスを悪用し、CiscoやSonicWallなどの製品に存在する既知の脆弱性を利用しました。
使用された手法には、パスワードスプレー攻撃のほか、スピアフィッシング、正規認証情報の悪用、リモートデスクトッププロトコルなどの外部公開サービスを利用した攻撃が含まれます。一部の事例では、Secure Shell(SSH)プロトコルを使い、ルーターのIPアドレスを悪用してアクセスを得ていました。標的ルーターを経由してトンネリングした後、未修正のVeeamバックアップサーバーのVeeam Backup and Replicationコンポーネントなど、公開されている脆弱性を悪用したと勧告は指摘しています。
悪意のあるコマンド(Visual Basic(VB)スクリプトを含む)が実行されました。Akiraの攻撃者は、ネットワークやドメインの探索のためにnltest /dclist:やnltest/DOMAIN_TRUSTSを使用しました。また、検知を回避するため、AnyDeskやLogMeInなどのリモートアクセスツールを悪用して持続性を維持し、管理者の活動に紛れ込みました。Impacketを利用してリモートコマンドwmiexec.pyを実行し、エンドポイント検知・対応(EDR)システムもアンインストールしました。
攻撃者は新たなユーザーアカウントを作成し、それらを管理者グループに追加して環境内での足場を築きました。
コマンド&コントロール(C2)通信のため、以前は1回の侵害で異なるシステムアーキテクチャに対して2つのランサムウェア亜種(Windows専用「Megazord」ランサムウェアとAkira ESXi暗号化ツールAkira_v2)を使用していました。しかし、Megazordは2024年以降、使用されなくなった可能性が高いです。
新たなアップデートによれば、Ngrokなどのトンネリングユーティリティを使って暗号化セッションを開始し、境界監視を回避しています。また、PowerShellやWindows Management Instrumentation Command-line(WMIC)を使ってサービスを無効化し、悪意のあるスクリプトを実行しています。
FileZillaやWinRARなどのツールを使ってデータを収集し、WinSCPやRCloneでデータを外部に持ち出しています。データを持ち出した後は、システムの暗号化と機密情報の漏洩を脅す二重脅迫モデルを採用しています。勧告によれば、Akiraの攻撃者は初期アクセスからわずか2時間強でデータを持ち出すことができたとされています。
Akiraの攻撃者は、ChaCha20ストリーム暗号とRSA公開鍵暗号方式を使って高速かつ安全な鍵交換を行います。以前は暗号化ファイルに.akiraや.powerranges拡張子が付いていましたが、新しいAkira_v2亜種では.akiranewや.akiも使用されています。
システムの復旧を妨げ、フォレンジック分析を阻害するため、Akiraの暗号化ツール(w.exe)はPowerShellコマンドを使ってWindowsシステム上のボリュームシャドウコピーサービス(VSS)のコピーを削除しました。新たなアップデートによれば、fn.txtまたはakira_readme.txtという名前の身代金メモがルートディレクトリと各ユーザーのホームディレクトリに表示されます。
企業の死角を突く脅威
専門家は、Akiraが企業が認識しながらもなかなか修正しない死角を突いていると指摘しています。死角の中でもリモートアクセスが最も多く、次いでパッチ適用の遅れが挙げられます。
「Akiraが勝つのは、ランサムウェアを再発明したからではなく、企業が真剣に取り組まない部分を完璧に突いているからです。忘れ去られたVPN機器、パッチが遅れたファイアウォール、老朽化したバックアップサーバー、日常的なセキュリティ対策の対象外となっているエッジデバイスなど、企業の惰性を悪用しています。この脅威は巧妙で持続的、そして組織が見落としがちなグレーゾーンで生き残るよう設計されています」とGogia氏は述べています。
Gogia氏は、ネットワーク機器やバックアッププラットフォームの多くが数カ月から数年もアップデートされていないことが多く、そのためAkiraはCisco ASA、SonicWall、ESXi、Veeamなど、本来なら既に修正されているはずの脆弱性を定期的に悪用していると指摘します。
ランサムウェア対策の再考
標準的なガイダンスとしてはパッチ適用、MFA、定期的なバックアップが挙げられますが、Akiraの波は追加の防御策が必要であることを明確に示しています。
「2025年だけでも、Akiraランサムウェアは世界中の全ランサムウェア攻撃の約8~11%を占め、インシデント数は38%増加し、マルチプラットフォーム攻撃手法への顕著な拡大が見られました」とPrimus Partnerの共同創業者兼MD、Devroop Dhar氏は述べています。「この多様性は、エンドポイントと基幹業務インフラの同時混乱を意味し、Akiraの開発者が現代の企業システムの複雑さとハイブリッド性に合わせて計画的かつ長期的なビジョンを持っていることを示しています。」
「今やベストプラクティスとは、侵害を封じ込めるための堅牢なネットワーク分割、異常な管理者活動の監視、バックアップサーバーやハイパーバイザーコンソール、接続デバイスへの検知・対応の拡張を意味します」とDhar氏は付け加えています。
積極的な脅威ハンティング、厳格な権限管理、訓練された復旧計画も不可欠だとDhar氏は指摘します。
企業は全社規模のランサムウェア対策訓練も実施すべきです。「これらの演習は、技術的な復旧だけでなく、法的戦略、コミュニケーション計画、データ漏洩時の対応策も組み合わせる必要があります。Akiraに耐えうる組織は、最も多くのツールを持つ組織ではありません。防御を統合し、検知までの時間を短縮し、レジリエンスを単なる目標ではなく運用上の規律として扱っている組織です」とGogia氏は述べています。
Dhar氏は、攻撃者の視点で考えることが今や必須のスキルであり、攻撃される前に隙間を埋めることが混乱と生存の分かれ目になると付け加えています。
