Brain Cipher(ブレイン・サイファー)は、データの暗号化に加えて窃取データの公開をちらつかせる「二重恐喝(Double Extortion)」の文脈で語られることが多いランサムウェアグループです。
目次
LockBit系エコシステムを流用
Brain Cipherを語るうえで頻繁に参照されるのが、LockBit 3.0(いわゆるLockBit Black)をめぐる状況です。彼らのツールは、悪名高いランサムウェアグループ「LockBit 3.0」のビルダー(作成ツール)をベースに構築されています。
LockBit 3.0のビルダーは、2022年に内部の不満分子によってリークされ、ダークウェブ上で広く拡散しました。
Brain Cipherはこの流出したコードを再利用し、身代金要求文(ランサムノート)や一部の構成ファイルを書き換えただけの、いわば「亜種」あるいは「模倣犯」です。
しかし、模倣犯であることは彼らの危険性を下げるものではありません。むしろ、世界で最も成功したランサムウェアの一つであるLockBitの強力な暗号化機能(ChaCha20とPoly1305アルゴリズムの組み合わせ)を、開発コストゼロで手に入れたことを意味します。
関連:ランサムウェア グループ Qilin(キリン、キーリン)とは
何が危険か
近年のランサムウェア被害で厄介なのは、復旧が進んでも終わらない点です。暗号化で業務停止に追い込むだけでなく、窃取したデータを材料に、
-
取引先・顧客への二次攻撃(なりすまし、追加恐喝、フィッシング)
-
競争上の機微情報(契約・見積・設計・調達)流出による長期損失
-
個人情報流出による法対応・通知対応・信用毀損
といった形で、被害が継続します。米政府のStopRansomware系の推奨でも、侵害前提での備え(バックアップ、認証強化、権限最小化、ログ監視、復旧手順の整備)が繰り返し重視されています。
日本の被害企業
026年2月頃ランサムウェアグループ Brain Cipherがダークウェブ上のリークサイトでkisnet.co.jpを被害企業として掲載し、公開済みの表示とともにダウンロード先(.onion)が記載されています

ダークウェブに公開されたデータ(dmpファイル等)の内容
セキュリティ対策Labで確認すると、窃取データとされるKISNET.zip配下のフォルダ構成として、ORACLEディレクトリ直下に複数の業務システム名を想起させるフォルダ群、SQLsフォルダ、さらに拡張子dmpのファイルが確認できます
画面上で確認できる範囲でも、ORACLE配下にDMPという名称のフォルダや、FPで始まる複数のフォルダ、環境構築セットと読めるフォルダ、そして日付を含むdmpファイル名が並んでいます。
関連:関西総合システムへのサイバー攻撃-ランサムウェア グループBrain Cipherが不正アクセスを主張
インドネシア国家データセンター(PDNS)事件
Brain Cipherの名を世界に知らしめたのは、2024年6月20日に発生したインドネシアの国家データセンター(PDNS 2)への攻撃です。この事件は、単なる企業への攻撃とは次元が異なり、一国の行政機能を物理的に停止させる事態へと発展しました。
攻撃を受けたスラバヤのデータセンターは、インドネシア通信情報省が管轄する重要インフラでした。Brain Cipherによる暗号化の影響は甚大で、以下のような被害が発生しました。
-
入国審査の停止: スカルノ・ハッタ国際空港をはじめとする主要空港で、入国管理システムがダウン。審査官が手作業でパスポートを確認する事態となり、長蛇の列が発生しました。
-
行政サービスの麻痺: 投資調整庁や法務人権省など、200以上の政府機関のデジタルサービスが利用不能となり、公共サービスに大混乱が生じました。
800万ドルの要求
Brain Cipherは、データの復号と引き換えに800万ドル(約12億円以上)という巨額の身代金を要求しました。インドネシア政府は「身代金は支払わない」という断固たる姿勢を示しましたが、データのバックアップ体制に不備があり、復旧は難航を極めました。
しかし、事件発生から約2週間後の7月上、Brain Cipherは突如として、「我々は無料で復号鍵を提供する」と発表しました。
ペネトレーションテストだったと主張
彼らが公表した声明文は、米国のサイバーセキュリティ研究者たちの関心を集めました。その内容は、犯罪者によるものとは思えないほど「教育的」かつ「政治的」なトーンを帯びていました。
「我々はインドネシア国民に対し、この事態が多くの人々に影響を与えたことを謝罪する」 「この攻撃は政治的なものではなく、ペネトレーションテスト(侵入テスト)の一環である」 「我々の目的は、データセンター業界への投資と、専門家の採用がいかに重要かを政府に理解させることだ」
彼らは、自らの行為を「セキュリティ監査」であるかのように正当化し、最終的に復号鍵へのリンクを公開しました。さらに、「寄付を歓迎する」というウォレットアドレスまで添えられていました。
なぜ鍵を無償公開したのか?
米国のインテリジェンスコミュニティでは、彼らが鍵を公開した理由についていくつかの分析がなされています。
-
国際的な圧力: 国家インフラへの攻撃は一線を越える行為であり、各国の法執行機関(FBIやインターポール等)による追跡が激化し、リスクが許容範囲を超えた。
-
資金洗浄の困難さ: 注目度が高まりすぎたため、仮に身代金を受け取っても、その暗号資産を現金化(ミキシング)する過程で追跡される可能性が高まった。
-
名声の獲得: 「慈悲深いハッカー」というブランディングを行うことで、将来的なターゲット(企業など)に対して「話の通じる相手」と思わせ、交渉を有利に進めるための布石。
攻撃の典型フロー
Symantec(Broadcom)やSentinelOneが共通して強調するのは、ランサムウェアが「暗号化」だけで成立しているわけではない、という点です。概ね以下の流れで被害が成立します。
-
初期侵入(VPN/公開サービス/認証情報漏えいなど)
-
権限昇格(管理者権限、ドメイン権限の奪取)
-
横展開(サーバー、ファイル共有、バックアップ環境へ拡散)
-
防御回避(監視停止、ログ削除、セキュリティ製品の無効化)
-
持ち出し(文書・DB・メール等の外部送信)
-
一斉暗号化+恐喝(身代金要求、リーク予告)す。
防御の要点
最後に、米政府系推奨(StopRansomware)と、SentinelOne/Broadcomの観点を合わせた、現実的な優先順位を整理します。
1)認証の強化(最優先)
MFAの徹底、特権アカウントの保護、パスワード運用の見直しは“費用対効果が高い”対策です。
2)分離と権限最小化(横展開を止める)
ネットワーク分離、管理系セグメントの隔離、バックアップ環境への到達を難しくする設計が効きます。
3)バックアップの「復元可能性」検証
暗号化されない保管(イミュータブル等)や、定期的な復元テストがなければ“バックアップがあっても詰む”ケースが起きます。
4)ログと検知(早期発見)
EDR等の導入だけでなく、ログの集約、異常検知の運用、封じ込め手順の訓練が必要です。
参照
- インドネシア政府へのサイバー攻撃について
https://thehackernews.com/2024/07/brain-cipher-ransomware-gang.html -
Broadcom(Symantec)脅威情報(Brain Cipher Ransomware)
https://www.broadcom.com/support/security-center -
SentinelOne(LockBit 3.0 / LockBit Black 解説)
https://www.sentinelone.com/anthology/lockbit-3-0-lockbit-black/ -
米政府系 StopRansomware(ランサムウェア対策・ガイダンス集約)
https://www.cisa.gov/stopransomware







