Gunraランサムウェアグループが2025年4月10日に初登場し、Windows環境から攻撃を開始した。
同グループは2025年7月29日、Linux亜種を発表し、最大100スレッドの並列暗号化機能と部分暗号化に対応したクロスプラットフォーム攻撃を展開している。
同グループの手法は現在活動停止中のContiグループにインスパイアされたものである。Gunraは2025年5月に病院から40TBのデータを流出させたとされることで急速に悪名を得た。攻撃対象国はブラジル、日本、カナダ、トルコ、韓国、台湾、米国と多岐にわたり、製造業、法律・コンサルティング、医療、IT、農業分野の企業を標的としている。
日本では東証プライム上場のトーモクや新興商事への攻撃が確認されている。Linux亜種では身代金要求メモの投下を省略し、迅速な暗号化のみに特化した実行が特徴である。
Trend Micro研究者Jeffrey Francis Bonaobra、Melvin Singwa、Emmanuel Panopioが2025年7月29日に技術分析を公表し、RSA暗号化キーを別ファイルに保存する機能や設定可能な暗号化スレッド数の特徴を明らかにした。
From: 
Nimble ‘Gunra’ Ransomware Evolves With Linux Variant
【編集部解説】
このGunraランサムウェアの事案は、サイバーセキュリティの分野において極めて重要な転換点を示しています。innovaTopiaの読者の皆さんにとって、この動向はIT業界全体に与える影響を理解する上で欠かせない情報と言えるでしょう。
まず技術的な観点から見ると、Gunraの最大100スレッド並列暗号化機能は、従来のランサムウェアの概念を大きく覆すものです。他のランサムウェア(BERTランサムウェアなど)が最大50スレッドに制限されている中で、Gunraはその2倍の処理能力を実現しています。これは単純に「速い」だけではなく、設定可能性と増加したスレッド数により、強力な新亜種となっています。
クロスプラットフォーム戦略の影響は、企業のインフラ全体に及びます。Linux環境への展開は、従来Windowsベースのセキュリティ対策に依存していた企業にとって新たな脅威となります。特に注目すべきは、Linux版では身代金要求メモを投下せず、純粋に暗号化のみに特化している点です。これは検知を困難にし、より静音な攻撃を可能にしています。
日本国内での被害状況も深刻です。2025年5月には東証プライム上場企業のトーモクが攻撃を受け、グループ内サーバーの暗号化とオンライン受注システムの障害が発生しました。また、新興商事への攻撃も確認されており、日本企業が具体的な標的となっている現実があります。
Gunraの特徴的な戦術として、5日以内という極めて短い交渉期限を設定する「圧縮された恐怖」戦略があります。従来型の交渉期間が平均7~10日だったのに対し、この短縮された期限は企業の事業継続計画(BCP)において判断を迫る厄介な要素となっています。
長期的な視点では、このような高度化されたランサムウェアの登場により、従来の「パッチ適用とバックアップ」に依存したセキュリティ戦略の限界が明確になっています。AIと機械学習を活用した高度な検知技術の導入が不可欠となり、これは新たなセキュリティ市場の成長を促進するでしょう。
規制面への影響も無視できません。医療機関や金融機関における40TBレベルのデータ流出は、各国のデータ保護規制の更なる強化を促すと予想されます。企業は単なる技術的対策だけでなく、法的コンプライアンスの観点からもセキュリティ投資を拡大せざるを得ない状況となっています。
このGunraの事案は、サイバーセキュリティが「コスト」から「事業継続の生命線」へと認識を変える契機となる可能性があります。Tech for Human Evolutionの観点から見れば、人類の進歩を支えるデジタル技術が、同時に新たな脅威も生み出している現実を示している重要な事例と言えるでしょう。
【用語解説】
ランサムウェア(Ransomware)
マルウェアの一種で、被害者のファイルを暗号化してアクセス不能にし、復旧と引き換えに身代金を要求するサイバー攻撃手法である。企業や個人のデータを人質に取る現代の重要な脅威とされている。
マルチスレッド暗号化(Multi-thread Encryption)
複数の処理スレッドを同時実行してファイル暗号化を並列処理する技術である。通常はCPUのコア数に基づき実行されるが、Gunraは最大100スレッドまで設定可能で従来の倍の処理能力を持つ。
RSA暗号化
公開鍵暗号方式の代表的なアルゴリズムで、異なる鍵ペア(公開鍵・秘密鍵)を使用してデータの暗号化と復号を行う。Gunraではファイル暗号化キーの保護に利用されている。
Contiランサムウェア
2020年から2022年まで活動したロシア系ランサムウェアグループである。2022年2月にウクライナメンバーがソースコードを内部告発で流出させ、現在は多くの後継グループがそのコードを基盤として活動している。
クロスプラットフォーム攻撃
WindowsやLinuxなど複数のオペレーティングシステムを標的とする攻撃手法である。企業インフラ全体への脅威拡大を可能にし、単一OSに依存したセキュリティ対策では防御が困難になる。
二重脅迫(Double Extortion)
データの暗号化に加えて、事前に盗取したデータの公開も脅迫材料とする攻撃手法である。Gunraは専用のリークサイトを運営し、被害企業の機密情報を段階的に公開すると脅している。
【参考リンク】
Trend Micro公式サイト(外部)
今回のGunraランサムウェア分析を行ったサイバーセキュリティ企業
AhnLab ASEC ブログ(外部)
韓国セキュリティ企業の脅威分析チーム、Gunra初期活動を解説
【参考動画】
Trend Micro公式チャンネルによるランサムウェア解説動画。攻撃手法の進化、一般的な戦術、防御策について専門的に解説している。
【参考記事】
新規ランサムウェアの DLS 収集現況で見る Gunra – AhnLab ASEC(外部)
Gunra初期活動が4月10日に確認、Conti類似性と5日交渉戦略を解説
Gunra Ransomware Evolves With Linux Variant – Trend Micro(外部)
Trend Micro公式によるLinux亜種の技術分析、RSAキー分離機能を詳述
【編集部後記】
Gunraランサムウェアの事案を通して、私たちの働く環境や生活を支えるデジタルインフラが、どれほど脆弱な基盤の上に成り立っているかを改めて実感しています。特に日本企業への具体的な攻撃事例を見ると、これは遠い国の話ではなく、私たち自身の問題として捉える必要があります。
皆さんの会社や組織では、LinuxサーバーやWindowsシステムのセキュリティ対策はどのように進んでいるでしょうか?また、万が一の際の事業継続計画は、5日という短期間での判断を想定して策定されているでしょうか?
この記事を読んで感じた「うちの会社は大丈夫かな」という直感は、決して杞憂ではありません。むしろ、そうした現場での気づきこそが、未来のリスクを見抜く大切な感性だと思います。読者の皆さんが日々直面しているIT環境での疑問や不安があれば、ぜひお聞かせください。
