米国政府機関は、悪名高いAkiraランサムウェアがその攻撃範囲を拡大し、Nutanix AHV仮想マシンを標的にしていると警告を発しました。CISA、FBI、国防総省サイバー犯罪センター(DC3)、米国保健福祉省(HHS)を含む複数の国際的なパートナー機関が共同で発表した最新のアドバイザリは、AkiraがNutanix AHV仮想ディスクファイルの暗号化能力を獲得したことを明らかにしています。これは、従来のVMware ESXiやHyper-V環境を超えた新たな脅威の出現を意味します。
この警告は、サイバーセキュリティコミュニティに大きな波紋を広げています。特に、Nutanix AHVプラットフォームが多くの企業で広く導入されていることを考えると、その影響は甚大です。攻撃者は、システムの基盤となる仮想化インフラストクチャを直接狙うことで、企業の運用に壊滅的な打撃を与えようとしています。
アドバイザリは、FBIの調査および第三者からの報告を通じて得られた最新の侵害指標(IoC)と戦術を詳細に記述しており、その情報は2025年11月時点のものです。これは、Akiraが継続的にその攻撃手法を進化させていることを示唆しています。
この新たな展開は、ランサムウェアグループが特定の技術スタックに特化し、その攻撃効果を最大化しようとする傾向を浮き彫りにしています。企業は、自社の仮想化環境が新たな脅威の標的となっていることを認識し、早急な対策を講じる必要があります。
Akiraの新たな標的:Nutanix AHV仮想マシンへの侵攻
AkiraランサムウェアグループがNutanix AHV仮想マシンディスクファイルの暗号化を開始したのは、2025年6月のインシデントが最初であると報告されています。これは、彼らがVMware ESXiやHyper-Vといった従来の仮想化プラットフォームを超え、その能力を拡大した画期的な瞬間でした。この攻撃の背景には、SonicWallの脆弱性であるCVE-2024-40766(CWE-284: Improper Access Control)の悪用があったとされています。
NutanixのAHVプラットフォームはLinuxベースの仮想化ソリューションであり、Nutanixインフラストラクチャ上で仮想マシンを実行・管理するために広く利用されています。そのため、ランサムウェアグループがこのプラットフォーム上の仮想マシンを標的にし始めたことは、驚くべきことではありません。BleepingComputerの分析によると、AkiraのLinux暗号化ツールは、Nutanix AHVが使用する仮想ディスク形式である.qcow2拡張子のファイルを暗号化しようとします。この.qcow2ファイルへの標的化は、少なくとも2024年末からAkiraのLinux暗号化ツールによって行われていたことが確認されています。
しかし、AkiraのNutanix VMへの攻撃手法は、VMware ESXiに対するものほど洗練されていません。VMware ESXiの場合、Linux暗号化ツールは`esxcli`や`vim-cmd`コマンドを使用して仮想マシンを正常にシャットダウンしてからディスクを暗号化します。対照的に、Nutanix AHVに対しては、プラットフォームの`acli`や`ncli`コマンドを使用してAHV VMを停止させることなく、単に.qcow2ファイルを直接暗号化するに留まっています。
この違いは、AkiraがNutanix AHV環境への攻撃能力を急速に発展させている途上にあることを示唆しています。将来的には、より高度な手法が導入される可能性も十分に考えられ、Nutanixユーザーは警戒を怠るべきではありません。
攻撃者の侵入経路と巧妙な手口
Akiraランサムウェアの攻撃者は、企業ネットワークへの侵入に際して、複数の巧妙な手口を組み合わせています。最も一般的な初期侵入経路の一つは、公開されているルーター上で盗まれた、またはブルートフォース攻撃によって取得されたVPNおよびSSHの認証情報を悪用することです。さらに、公開されているファイアウォールに存在するSonicWallの脆弱性(CVE-2024-40766)を悪用することも確認されています。これらの手法により、攻撃者はネットワークへの足がかりを築き、次の段階へと移行します。
ネットワークへのアクセスを確立した後、Akiraのメンバーは、バックアップシステムを無力化するために、パッチが適用されていないVeeam Backup & Replicationサーバーに存在するCVE-2023-27532またはCVE-2024-40711の脆弱性を悪用します。これにより、バックアップへのアクセス権を獲得し、データを削除することで、被害組織の復旧能力を著しく低下させます。これは、ランサムウェア攻撃において被害を最大化するための典型的な戦術です。
内部ネットワークでの活動において、Akiraは偵察、ラテラルムーブメント、および永続化のために、さまざまなユーティリティを悪用します。具体的には、`nltest`、AnyDesk、LogMeInといったリモートアクセスツール、Impacketの`wmiexec.py`、およびVBスクリプトなどが観測されています。これらのツールは、システム間の移動、情報の収集、そして将来的なアクセスを確保するための新たな管理アカウントの作成に利用されます。
さらに、攻撃者はエンドポイント検出ツール(EDR)を無効化または削除し、検知を回避しようとします。あるインシデントでは、攻撃者がドメインコントローラーの仮想マシンをシャットダウンし、そのVMDKファイルをコピーして新しい仮想マシンにアタッチしました。その後、NTDS.ditファイルとSYSTEMハイブを抽出することで、ドメイン管理者アカウントの認証情報を取得するという高度な手法を用いています。これらの手口は、Akiraが標的のネットワーク内で深いアクセス権と永続性を確立するための執拗な努力を示しています。
Akiraの脅威の全貌と経済的影響
Akiraランサムウェアは、その活動を通じて多大な経済的被害をもたらしており、その脅威は広範囲に及んでいます。米国政府機関の警告によると、2025年9月時点で、Akiraの脅威アクターはランサムウェアの身代金として約2億4417万ドルもの収益を上げているとされています。この驚異的な数字は、Akiraがサイバー犯罪エコシステムにおいていかに大きな存在であるかを物語っています。
Akiraは、Storm-1567、Howling Scorpius、Punk Spider、Gold Saharaといった複数のグループと関連付けられており、その攻撃対象は多岐にわたります。中小企業から大規模組織まで、製造業、教育機関、情報技術、医療、金融、食品・農業といった幅広いセクターが標的となっています。このような広範な標的選定は、Akiraが利益を最大化するために、あらゆる機会を狙っていることを示唆しています。
攻撃の実行速度もAkiraの顕著な特徴の一つです。一部の攻撃では、データ流出がわずか2時間という短時間で完了したことが報告されています。これは、攻撃者が迅速に目的を達成し、被害組織が対応する間もなく重要な情報を窃取する能力を持っていることを意味します。
コマンド&コントロール(C2)通信には、Ngrokのようなトンネリングツールが頻繁に利用されています。これにより、攻撃者は暗号化されたチャネルを確立し、境界監視システムを迂回して検出を困難にしています。これらの戦術は、Akiraが高度な技術と組織力を持つ脅威アクターであることを明確に示しており、その経済的影響は計り知れません。
進化する攻撃ツールと戦術の変遷
Akiraランサムウェアグループは、その攻撃キャンペーンにおいて、特定の目的のために設計された多様なツールと戦術を巧みに組み合わせています。初期アクセス後、彼らはリモートアクセスにAnyDeskを利用するだけでなく、認証情報窃取のためにSharpDomainSprayを使用します。さらに、特権昇格の目的で「Bring Your Own Vulnerable Driver(BYOVD)」戦術を実装するPOORTRYというマルウェアも活用しています。このPOORTRYは、追加のペイロードをロードするためにSTONESTOPという別のマルウェアによって展開されることがあります。これらのツール群は、Akiraが標的システム内で深いアクセスと制御を確立するための多層的なアプローチを採用していることを示しています。
注目すべきは、Akiraの攻撃ツールセットの進化です。以前Akiraの活動と関連付けられていた「Megazord」ツールは、2024年以降、使用が放棄されたと報告されています。これは、脅威アクターが検出を回避し、攻撃効率を向上させるために、常にそのツールと戦術を更新していることを示唆しています。このような継続的な進化は、防御側にとって常に新たな課題を突きつけます。
他のランサムウェアグループと比較すると、Akiraの戦術の独自性が際立つ場面もあります。例えば、2025年2月に登場したKrakenランサムウェアは、暗号化を開始する前に被害マシンの暗号化能力をベンチマークするという珍しい特徴を持っています。これは、システムに過負荷をかけることなく、どれだけ迅速に操作できるかを評価するためのもので、ランサムウェアとしては稀な機能です。Krakenは、SMBの脆弱性を初期アクセスに悪用し、Cloudflaredを永続化に、SSHFSをデータ流出に利用しています。
Akiraはこのようなベンチマークは行わないものの、迅速なデータ流出や特定の仮想化環境への適応など、独自の最適化を進めています。これらの事例は、ランサムウェアの脅威が単一の固定された手法ではなく、常に変化し、進化していることを明確に示しており、サイバーセキュリティ対策の継続的な見直しと適応の重要性を強調しています。
サイバーセキュリティコミュニティへの警鐘と推奨される対策
CISA、FBI、およびその他の国際的なパートナー機関が共同で発表したアドバイザリは、Akiraランサムウェアの新たな脅威に対する深刻な警鐘を鳴らしています。特にNutanix AHV仮想マシンを標的とする能力の拡大は、多くの企業にとって無視できないリスク要因となります。この状況を受けて、各機関は組織に対し、最新のガイダンスを徹底的に確認し、推奨される緩和策を速やかに実施するよう強く促しています。
最も基本的ながらも極めて重要な対策の一つは、定期的なオフラインバックアップの実施です。ランサムウェア攻撃の際にデータを復旧するための最後の砦となるため、ネットワークから隔離された場所にバックアップを保管することが不可欠です。これにより、たとえシステムが完全に暗号化されたとしても、業務の継続性を確保し、身代金の支払いを回避する可能性が高まります。
次に、多要素認証(MFA)の強制的な導入が挙げられます。Akiraが盗まれた、またはブルートフォース攻撃によって取得されたVPNおよびSSHの認証情報を悪用して初期侵入を行うことを考慮すると、MFAは不正アクセスに対する強力な障壁となります。これにより、たとえパスワードが漏洩しても、攻撃者がシステムに侵入することを困難にできます。
さらに、既知の脆弱性、特にAkiraが積極的に悪用しているSonicWallのCVE-2024-40766やVeeam Backup & ReplicationサーバーのCVE-2023-27532、CVE-2024-40711のような脆弱性に対する迅速なパッチ適用が不可欠です。攻撃者は、パッチが適用されていないシステムを狙う傾向があるため、セキュリティ更新プログラムを常に最新の状態に保つことが、防御の最前線となります。
これらの対策は、Akiraのような高度なランサムウェアグループからの攻撃リスクを軽減するために不可欠です。組織は、仮想化環境のセキュリティを特に重視し、包括的な防御戦略を策定・実行することで、新たな脅威の波に立ち向かう必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -CISA warns of Akira ransomware Linux encryptor targeting Nutanix VMs - https://www.bleepingcomputer.com/news/security/cisa-warns-of-akira-ransomware-linux-encryptor-targeting-nutanix-vms/
- -Weekly Recap: Fortinet Exploited, China's AI Hacks, PhaaS Empire Falls & More - https://thehackernews.com/2025/11/weekly-recap-fortinet-exploited-chinas.html