2025年3月に発見された新興のランサムウェア・アズ・ア・サービス(RaaS)グループ「AiLock」が、企業のデータを暗号化するだけでなく、身代金を支払わなければ規制当局や被害企業の競合他社にまで情報を通報すると脅す、独自の恐喝手法で注目されています。ChaCha20とポスト量子暗号アルゴリズムNTRUEncryptを組み合わせた技術的にも特徴的な暗号化方式を採用しており、2026年に入り被害件数が急増しています。
サマリー
- AiLockは2025年3月、米セキュリティ企業Zscalerの脅威分析チームThreatLabzによって初めて発見されたランサムウェア・アズ・ア・サービス(RaaS)グループで、実行者(アフィリエイト)を募集し身代金の一部を分配する運営形態を取っている
- 最大の特徴は、二重恐喝(ファイルの暗号化+データ窃取)に加えて、身代金の支払いに応じない場合、被害企業の各国の個人情報保護当局(規制当局)へ違反を通報し、あわせて競合他社にもメール・SNSを通じて情報を知らせると脅す、三重に近い恐喝手法を採用している点
- 被害者に与えられる猶予は、最初の連絡から72時間以内の応答、支払いまで最大5日間とされ、期限内に支払わない場合はデータの公開とファイル復旧ツールの破棄が実行される
- 技術面では、C/C++で開発されており、ファイル内容の暗号化にChaCha20、メタデータ(暗号化鍵を含む)の保護にポスト量子暗号アルゴリズムのNTRUEncryptを採用するハイブリッド方式を用いている。ランサムウェアでのNTRUEncrypt採用は珍しい選択とされる
- 100MB未満のファイルは全体を暗号化し、それを超える大きなファイルは部分暗号化にとどめることで、暗号化の速度を上げ検知されるまでの時間を短縮する設計になっている
- 暗号化されたファイルには「.AiLock」拡張子が付与され、ファイルアイコンは緑色の南京錠マークに、デスクトップの壁紙はロボットの頭蓋骨をあしらったロゴに変更される
- 米ブロックチェーン分析企業TRM Labsの調査(2025年10月)によれば、AiLockは受け取った資金を少額に分割し段階的に移転する「ピールチェーン」という手法を用いて資金洗浄を行っており、大部分はビットコインミキサー「Wasabi」を経由し、その後Moneroへ変換されることが多いとされている
- ランサムウェア追跡サービスransomware.liveの集計によれば、2026年6月上旬時点で少なくとも38件の被害を主張しており、2026年第1四半期に被害件数が顕著に増加したと、セキュリティ企業IronGate Securityが指摘している
- 初期侵入に使われた具体的な脆弱性・侵入経路は、本稿執筆時点の公開情報では確認されていない。一方、侵入後の挙動についてはMITRE ATT&CKの複数の技術(トークン偽装・ネットワーク共有の探索・データ暗号化・サービス停止等)が確認されている
- これまでの被害の中で最も広く報じられたのは、2026年3月に主張された英国のフィールドホッケー統括団体England Hockeyへの攻撃で、129GBのデータ窃取が主張されている
| 項目 | 内容 |
|---|---|
| 初確認日 | 2025年3月(Zscaler ThreatLabzによる発見) |
| 分類 | RaaS(Ransomware-as-a-Service) |
| 自称する特徴 | 「AI支援型」を標榜(具体的な技術的裏付けは第三者分析で未確認) |
| 恐喝手法 | 二重恐喝+規制当局・競合他社への通報という脅し |
| 猶予期間 | 初回連絡から72時間以内に応答、最大5日間で支払い |
| 拡張子 | .AiLock |
| 暗号化方式 | ChaCha20(ファイル内容)+NTRUEncrypt(メタデータ、ポスト量子暗号) |
| ランサムノート | Readme.txt |
| 資金洗浄手法 | ピールチェーン、Wasabiミキサー経由、Monero転換 |
| 被害件数(2026年6月上旬時点) | 38件(ransomware.live集計) |
| 初期侵入経路 | 本稿執筆時点で公開情報からは未確認 |
| 確認済みのMITRE ATT&CK技術 | トークン偽装(T1134.001)、ネットワーク共有探索(T1135)、データ暗号化(T1486)、サービス停止(T1489)等 |
| 最も注目された被害事例 | England Hockey(英国、2026年3月、129GB窃取を主張) |
目次
手口の特徴-規制当局・競合他社への通報を脅しに使う恐喝モデル
AiLockの恐喝手法で最も特筆すべき点は、単にデータを公開すると脅すだけでなく、身代金の支払いに応じない場合、被害企業を各国の個人情報保護法(PDPL:Personal Data Protection Law)を所管する規制当局へ通報し、あわせて競合他社にもメールやソーシャルメディアを通じて情報を知らせると明言している点です。多くのランサムウェアグループはデータ公開の脅しにとどまりますが、AiLockはコンプライアンス上の義務そのものを被害者への圧力材料として利用しています。欧州のGDPR(一般データ保護規則)は、データ侵害を認知してから72時間以内に監督当局へ通知することを義務付けていますが、これはAiLockが交渉のために被害者へ与える猶予期間と偶然にも一致しており、被害企業が自らの法的義務による報告を行う前に、心理的な圧力をかける設計になっているとみられます。
身代金を支払った場合、AiLockは情報を機密として扱うことを約束し、窃取したデータを削除した証拠として「削除ログ」を提供するとしているほか、「今後の脅威に備えたIT基盤強化のための専門的な助言」まで提供すると謳っています。不正アクセスを行った当事者が事後にセキュリティ助言を提供するという構図は、皮肉な側面として指摘されています。
技術的特徴-ポスト量子暗号を採用したハイブリッド暗号化方式
AiLockはC/C++で開発されており、ファイル暗号化には2種類のスレッド(パストラバーサルスレッドと暗号化スレッド)を、I/O Completion Port(IOCP)を用いて並行処理する設計を採用しています。パストラバーサルスレッドが暗号化対象のファイルを特定し、暗号化スレッドが実際の暗号化処理とファイルフッターの構築、拡張子の変更を担います。
暗号化方式は、ファイル内容にCPU最適化されたChaCha20アルゴリズムを、メタデータ(ChaCha20の暗号鍵を含む)にNTRUEncryptというポスト量子暗号アルゴリズムを組み合わせたハイブリッド方式です。NTRUEncryptは、将来の量子コンピュータによる解読にも耐性を持つとされるアルゴリズムで、これまで分析されてきたランサムウェアファミリーの中では珍しい選択とされています。暗号化戦略はファイルサイズによって異なり、100MB未満のファイルは全体を暗号化する一方、それを超える大きなファイルは部分暗号化にとどめることで、実行速度を上げつつ検知されるまでの時間を短縮する設計になっています。
このほか、文字列はXOR演算(8バイトの繰り返し鍵)により難読化されており、システム関数の呼び出しもLoadLibrary()・GetProcAddress()を用いて実行時に動的に解決されるなど、静的解析への対抗策が随所に施されています。実行中は「FAUST」という名称のミューテックスを用いて複数インスタンスの同時実行を防止し、特定のパラメータ(-del)を指定して実行した場合は自己削除機能により痕跡を消去することも確認されています。暗号化完了後は、サービス・プロセスの停止、ごみ箱の空化、レジストリ変更によるデスクトップ壁紙・ファイルアイコンの変更といった追加の妨害行為も行われます。
悪用する脆弱性・戦術の特徴
AiLockについて特筆すべき点は、他の主要なランサムウェアグループ(Cl0pのMOVEit脆弱性悪用、Akiraの特定VPN製品の脆弱性悪用等)とは異なり、本稿執筆時点で初期侵入に使われた具体的な脆弱性(CVE)や侵入経路が、公開情報の範囲では確認されていないという点です。
IronGate Securityの分析では、悪意あるメール添付ファイル、脆弱なリモートアクセスサービスへのパスワード推測・認証情報の使い回し、海賊版ソフトウエアへの偽装といった、RaaSグループ一般に共通する侵入経路が想定として挙げられていますが、これはAiLock固有の確認済み手口ではなく、同種のRaaS運営形態に一般的な推測にとどまる点に注意が必要です。
実際、セキュリティ研究者Yang氏による分析(SOS Ransomware掲載)は「AiLockの初期侵入ベクトルは確認されていない」と明記しています。
一方、侵入後の挙動についてはMITRE ATT&CKフレームワークに基づく複数の技術が具体的に確認されています。
Windowsコマンドシェルの悪用(T1059.003)、トークンの偽装・窃取(T1134.001)、ファイルまたは情報の難読化(T1027)、実行環境の検査によるサンドボックス回避(T1480)、システム情報の探索(T1082)、ネットワーク共有の探索(T1135)、影響を及ぼすためのデータ暗号化(T1486)、そしてサービスの停止(T1489)です。特にネットワーク共有の探索(T1135)が確認されている点は、AiLockが単一の端末にとどまらずネットワーク共有ドライブへも感染を広げる能力を持つことを示しており、ネットワークセグメンテーションとアクセス権限の制限が被害封じ込めの観点から重要になります。
なお、マルウェア内で使用される「FAUST」というミューテックス名は、Phobosランサムウェアの亜種でも使用されている名称と一致していますが、これはAiLockとPhobosファミリーとの間に技術的な関連があることを示すものではなく、偶然の一致である可能性が高いとされています。
最も注目された被害事例-England Hockeyへの攻撃主張
これまでにAiLockが主張した攻撃の中で最も広く報じられたのは、2026年3月、イングランドのフィールドホッケーを統括する競技団体England Hockeyへの攻撃です。同団体は800以上のクラブ、約15万人の登録選手、1万5,000人のコーチ・審判・関係者を抱えており、AiLockは同団体から129GBのデータを窃取したと主張しました。England Hockeyは、外部の専門家と連携し当局とも協力しながら調査を行っていると説明していますが、本稿執筆時点で実際にデータが持ち出されたかどうかは確認していないとしています。
資金洗浄の手口-ピールチェーンとビットコインミキサーの活用
米ブロックチェーン分析企業TRM Labsは2025年10月、AiLockの資金の流れに関する分析を公表しました。
それによれば、AiLockは受け取った身代金を、少額かつ段階的な送金に分割して転送することで追跡を困難にする「ピールチェーン」という手法を用いています。資金の大部分はビットコインのミキサーサービス「Wasabi」を経由し、一部はリスクの高いノンカストディアル型の交換プラットフォーム「FixedFloat」を経由したうえで、その後Moneroへと変換されることが多いとされています。
被害の広がりと標的の傾向
セキュリティ企業S2Wの分析によれば、2025年7月4日時点でAiLockの被害組織は5件確認されていました。その後、セキュリティ企業IronGate Securityは2026年第1四半期にAiLockによるインシデントが顕著に増加したと指摘しており、ランサムウェア追跡サービスransomware.liveの集計では、2026年6月上旬時点で少なくとも38件の被害が主張されているとされています。確認されている被害には、韓国のレンタルサービス企業AJ Networks Co. Ltd(2026年3月)のほか、金融・製造業・医療分野の組織も含まれるとされていますが、
特定の業種・地域に絞った標的選定を示す明確な傾向は、本稿執筆時点の公開情報からは確認できていません。侵入経路についても、悪意あるメール添付ファイル・リンク、脆弱なリモートアクセスサービスへのパスワード推測・認証情報の使い回し、海賊版ソフトウエアへの偽装等が想定されるとする分析はあるものの、確定的な手口として広く裏付けられているわけではなく、この点は今後の追加情報が待たれます。
情報システム部門への示唆
AiLockの手口は、既存のランサムウェア対策の延長線上で対応可能な部分と、新たな観点が必要な部分の両方を含んでいます。基本的な対策としては、フィッシングメール対策とメールサンドボックス、インターネット公開アプリケーションへの迅速なパッチ適用、すべてのアクセス経路への多要素認証(MFA)の導入、EDR(端末における検知・対応)の展開、そしてオフラインまたはイミュータブル(改ざん不可能)なバックアップの整備といった、他の主要なランサムウェアグループへの対策と共通する土台が引き続き有効です。特に、初期侵入経路が未確認である以上、リモートデスクトップ(RDP)やVPNの不要な公開を制限し、不要なポートを閉塞することが、現時点で想定しうる最も可能性の高い侵入口を塞ぐ手段になります。
MITRE ATT&CKで確認されている技術に照らすと、ネットワーク共有の探索(T1135)への対策としてネットワークセグメンテーションとアクセス権限の制限を徹底すること、そしてデータの暗号化・復旧ツールの破棄という脅しそのものを無力化するオフライン・イミュータブルバックアップの整備が、AiLockの中核的な脅しの効力を削ぐうえで特に重要です。復旧手段を確保できていれば、攻撃者が恐喝の主要な交渉材料として持つ「データを人質に取る」という前提そのものが崩れます。EDR・SIEMを運用している組織は、FAUSTミューテックスや研究機関が公開するYARAルール等の指標を検知ルールへ組み込んでおくことも有効です。
一方で、AiLockが採用する「規制当局・競合他社への通報」という恐喝手法は、インシデント対応計画そのものに新たな検討事項を追加します。
自組織が個人情報保護法制上の報告義務(日本の個人情報保護委員会への報告義務等)を負っている場合、攻撃者からの通報の脅しに動揺して不用意な対応を取るのではなく、平時からインシデント発生時の当局報告フロー・期限・担当者をあらかじめ明確にしておくことで、攻撃者の心理的な圧力に左右されない冷静な対応が可能になります。攻撃者が「規制当局へ通報する」と脅すこと自体は、法的な報告義務を代替するものではなく、被害組織は攻撃者の脅しの有無にかかわらず、自らの法的義務に従って適切な期限内に当局への報告を行う必要がある点を、平時から組織内で徹底しておくことが重要です。
出典
- Ailock – RansomLook
- Detailed Analysis of AiLock Ransomware – S2W BLOG
- AiLock ransomware: What you need to know – Fortra
- Ransomware.live: AiLock
- AiLock Ransomware: Profile and Extortion Tactics – SOS Ransomware(England Hockey事案はBleepingComputerの報道を引用)
- Newly emergent AiLock ransomware group examined – SC Media
- AiLock Ransomware – IronGate Security
- AiLock Ransomware Emerges with Hybrid Encryption Tactics – GBHackers
- AiLock Ransomware Attack on AJ Networks Co. Ltd – DeXpose








