このランサムウェアには鍵の取り扱いに欠陥があり、秘密の暗号鍵を破棄してしまうことでファイルを恒久的にロックし、身代金を支払っても影響を受けた組織がデータを復旧できなくなる可能性がある。
新たに観測されたSicariiランサムウェアの亜種には、暗号化鍵の取り扱いに関する重大な欠陥が含まれており、被害者が身代金を支払ったり提供された復号ツールを使用したりしても、暗号化されたデータが復旧不能になる可能性がある。
Halcyon Ransomware Research Centerのアナリストは、Sicariiが実行のたびに新しいRSA鍵ペアを生成し、その後秘密鍵を破棄するため、暗号化されたシステムに対して復旧可能な鍵素材が一切残らないことを突き止めた。
この亜種の影響を受けた組織は、感染したサンプルにおいて根本的な欠陥が修正されたという証拠がない限り、身代金交渉やサードパーティ製復号ツールに頼ってファイルを復元することはできない。「この問題は意図的な設計というより、暗号鍵管理の不備に起因しているようだ」とIDCのサイバーセキュリティ担当シニアリサーチマネージャー、Sakshi Grover氏は述べた。「これはランサムウェアのエコシステムにおけるより広範な傾向を反映しており、参入障壁の低さと迅速な収益化が、技術的な堅牢性よりも優先されている。」
Sicariiは2025年12月に初めて公表され、被害を主張する事例の実績は小さいが、その異例の技術的特徴により、研究者はこれがvibe codedで作られた可能性があると指摘せざるを得なくなっている。
暗号化の欠陥が標準的なRaaSモデルを崩壊させる
ランサムウェアは通常、攻撃者が秘密鍵を保持するか後で再生成できる公開鍵方式でファイルを暗号化し、身代金が支払われれば復号ツールが機能するようにしている。Sicariiはこのモデルから逸脱している。Halcyonが観測したサンプルでは、実行のたびに被害者のシステム上で新しいRSA鍵ペアを生成し、暗号化が完了すると直ちに秘密鍵を破棄していた。
その結果、被害者は攻撃者に協力したり公開された復号ツールを使用したりしても、暗号化データを回復する現実的な手段を失う。Halcyonのアラートによれば、企業は、その亜種で欠陥が解消されたことを独立に検証できない限り、身代金関連の復号ツールによる復旧は失敗すると想定すべきだという。
「Sicariiランサムウェアは、従来のランサムウェア対応戦略が完全に通用しない悪夢のようなシナリオを示している」とColorTokensのチーフエバンジェリスト、Agnidipta Sarkar氏は述べた。「どの復号ツールも破棄された秘密鍵を再構成できないため、企業は『データは完全に破壊されたと想定する』状況に直面し、財務・運用・評判面の被害が増幅する。」
復号ツールに基づく復旧が不可能であることは、組織に対し、バックアップと代替の運用復旧手段によって全面的な復旧を計画することを強い、費用対効果の分析を変える。これはまた、事前に整備された安全なバックアップ基盤と迅速な隔離の重要性を高める。Halcyonは、身代金ベースの復旧ではなく、即時の封じ込めと復旧に注力するよう組織に促した。影響を受けたシステムは隔離し、感染範囲を特定し、既知の正常なオフラインまたはイミュータブルなバックアップからのみ運用を復元すべきだ。
「企業は、既存のEDR、エージェント、エージェントレス機構を活用し、初期侵入地点で脅威を封じ込めて暗号化の拡散を防ぐ、数時間で導入できるよう設計されたプロアクティブなゼロトラストのマイクロセグメンテーションに投資しなければならない」とSarkar氏は付け加えた。
異例の技術プロファイルがvibe-codingの可能性を示唆
Sicariiの破綻した暗号化フローの一つの説明として、未熟または不適切に実装された開発手法が考えられる。利用可能な鍵を保持できないというこのランサムウェアの失敗は、確立されたランサムウェア設計と整合せず、厳密なテストや運用上の影響に対する明確な理解なしに組み立てられた可能性、あるいはvibe-codedである可能性すら示唆している。
研究者はアラートの中で、「Halcyonは中程度の確信をもって、開発者がAI支援ツールを使用していた可能性があり、それがこの実装ミスに寄与した可能性があると評価している」と述べた。
今月初めのCheck Point Researchによる分析でも、異例で内部的に一貫しない特徴の一群が強調されていた。分析によれば、Sicarriはブランディングやメッセージングにイスラエルおよびユダヤ人の活動を象徴する要素を取り入れている一方で、地下活動の多くはロシア語で行われているように見える。また、マルウェアや通信で使われているヘブライ語には、非ネイティブまたは自動翻訳を示唆する誤りが含まれている。
暗号化以外にも、Check PointはSicariiが認証情報の窃取、ネットワーク偵察、脆弱性スキャン、データ流出を実行していることを観測しており、この作戦には金銭目的のランサムウェアとしては非典型的なツール群が含まれていることを示している。「Sicariiはランサムウェア事案のリスクプロファイルを大きく引き上げ、影響を金銭的恐喝から、恒久的なデータ損失や長期的な事業中断の可能性へと移行させる」とGrover氏は付け加えた。「規制産業では、これがコンプライアンス、法務、運用上の影響をさらに増大させ得る。」
