「耐量子暗号(ポスト量子暗号)」を売り文句に掲げる新興ランサムウェアKyberが登場した。将来登場する量子コンピュータでも破れない暗号で人質ファイルを固める——という主張は、被害者がわずかに抱いていた「いつか復号できるかもしれない」という希望すら奪う、不気味な進化を示している。だが解析を進めると、その看板には本物と誇張が混在していた。本稿では、セキュリティ企業Rapid7の解析を基に、Kyberの実像と、暗号の流行り言葉に惑わされず守るべき本質を実務目線で整理する。
概要
- マルウェア:耐量子暗号を掲げる新興ランサムウェア「Kyber」。NISTが標準化したポスト量子暗号アルゴリズム「Kyber(ML-KEM)」から名を取っている。
- 解析:Rapid7が2026年3月のインシデント対応中に、同一ネットワーク上で同時展開された2つの異なるKyber検体を入手・解析した。
- 二面性:Windows版(Rust製)は本当にKyber1024(ML-KEM-1024)を実装する一方、Linux/ESXi版は「ポスト量子」を謳いながら実体はChaCha8とRSA-4096という看板倒れだった。
- 被害:リーク(暴露)サイトには、数十億ドル規模の米国の防衛関連・IT サービス企業が被害組織として掲載された。
何が起きたのか
2026年3月、Rapid7のインシデント対応チームが、ある侵害ネットワークから2種類のKyberランサムウェア検体を回収した。注目を集めたのは、Kyberが脅迫文(ランサムノート)で「Kyber1024鍵カプセル化による耐量子暗号」を採用したと主張した点だ。
ランサムウェアの世界では長らく、被害者側にわずかな逃げ道が残されてきた。すなわち「暗号化されたファイルを保存しておけば、将来、攻撃グループが摘発されて鍵が公開されたり、暗号アルゴリズムの欠陥が見つかったりして復号できるかもしれない」という淡い期待である。Kyberが本当に耐量子暗号を正しく実装しているなら、この最後の希望——「いつか量子コンピュータや暗号解読の進歩で破れるかも」という望み——すら断たれることになる。攻撃者の鍵そのものが量子耐性を持つからだ。
ただし、ここで冷静になる必要がある。Rapid7の解析が明らかにしたのは、この「耐量子」の看板が検体によって本物だったり誇張だったりするという事実だった。
技術的な解説
Windows版:本物のKyber1024を実装したRust製エンコーダ
Windows向けの暗号化モジュールはRustで書かれており、看板に偽りはなかった。鍵保護にKyber1024(ML-KEM-1024、FIPS 203)とX25519を組み合わせ、ファイル本体の暗号化にはAES-256-CTRを用いる。
この構成は「ハイブリッド暗号」と呼ばれる定石どおりの設計だ。整理すると次のようになる。
| 役割 | 使用アルゴリズム | 目的 |
|---|---|---|
| ファイル本体の暗号化 | AES-256-CTR(共通鍵暗号) | 大量データを高速に暗号化する |
| 共通鍵の保護 | Kyber1024 + X25519 | AESの鍵を攻撃者の公開鍵で封印する |
ポイントは、AES自体はもともと量子コンピュータに比較的強い(鍵長を伸ばせば耐えられる)共通鍵暗号である一方、その共通鍵を守る「鍵交換・鍵カプセル化」の部分こそが量子コンピュータに弱いという点だ。従来のRSAやECC(楕円曲線)による鍵保護は、将来の量子コンピュータで破られる懸念がある。Kyberはここをポスト量子のKyber1024で固めることで、「鍵を守る鎖」を量子耐性にした。さらにX25519も併用するハイブリッド構成は、Kyber実装に万一欠陥が見つかっても従来暗号で守られる二重化であり、皮肉にも防御側の堅牢設計のセオリーを攻撃者が踏襲している。
Windows版はこのほか、復旧を妨害するための機能を備える。ボリュームシャドウコピー(VSS)の削除でWindowsの復元ポイントを消し、SQL ServerやExchangeのサービスを停止してデータベースファイルのロックを解いてから暗号化する。さらに実験的なHyper-Vの停止機能も確認されており、仮想マシンを止めてから仮想ディスクごと暗号化する狙いがうかがえる。暗号化後のファイルには.#~~~という拡張子が付く。
Linux/ESXi版:「ポスト量子」を謳う看板倒れ
一方、同じ攻撃で展開されたLinux/ESXi向けの暗号化モジュールは、ランサムノートで同じく「Kyber1024による耐量子」を主張していたにもかかわらず、Rapid7の解析ではその主張は虚偽だった。実際に使われていたのは、ファイル暗号化にChaCha8、鍵の封印にRSA-4096という、ポスト量子とは無関係の従来型構成である。
この検体はVMwareのデータストアを標的とし、暗号化済みファイルには.xhsyw拡張子を付ける。1MB未満の小さいファイルは全体を暗号化し、それより大きいファイルはオペレーターの設定に応じて部分暗号化する——大量のVM仮想ディスクを短時間で人質化するための、ランサムウェアでは一般的な高速化手法だ。
なぜ「同じ名前で中身が違う」のか
Windows版は本物の耐量子暗号、Linux/ESXi版は従来暗号の看板倒れ——この食い違いは、攻撃グループの実態を読み解くヒントになる。考えられる背景は次のとおりだ。
- 開発リソースの差:Rustで新規にポスト量子暗号を組めるWindowsモジュールに対し、ESXi版は既存のランサムウェアコードを流用しただけで、ノートの「耐量子」は単なるマーケティング文句だった可能性。
- 「ポスト量子」はハッタリのブランディング:被害者と交渉する上で「将来も絶対に復号できない」と思わせることは、身代金支払いへの心理的圧力になる。技術的実体より恐怖の演出が目的という側面。
いずれにせよ防御側にとって重要なのは、暗号方式が本物か誇張かは、被害発生後の復旧可能性をほとんど左右しないという冷徹な事実だ。RSA-4096であれKyber1024であれ、攻撃者の秘密鍵がなければ現実的な時間内に復号する手段はない。「耐量子だから絶望的、従来暗号だから希望あり」という線引きは成り立たない。
日本企業への影響
Kyberが象徴するのは、ランサムウェアの「暗号技術のキャッチアップの速さ」と「ESXiという急所」という2つの現実だ。
第一に、NISTがポスト量子暗号を標準化(FIPS 203など)したのは比較的最近のことだが、攻撃者はそれを早くも武器に取り込み始めている。防御側が「耐量子暗号への移行はまだ先の課題」と捉えている間に、攻撃側が先に実装してくる構図は、VPN製品や通信の暗号化議論にも通じる。日本企業も「将来課題」ではなく「いま起きていること」として認識を改める必要がある。
第二に、より差し迫った脅威はESXiを狙う暗号化だ。多くの日本企業は基幹システムをVMware vSphere上の仮想マシンで集約運用している。ESXiホストが暗号化されれば、その上で動く何十台もの業務サーバーが一斉に停止する。Fogランサムウェアや近年のランサムウェア動向で繰り返し見てきたとおり、ESXiは「一撃で被害が最大化する」ため攻撃者が最優先で狙う基盤になっている。
加えて、Kyberの確認された被害組織が防衛関連・ITサービス企業であった点も示唆的だ。サプライチェーンの上流に位置する企業が侵害されれば、その取引先である日本企業へも影響が波及し得る。
今すぐ確認すべきポイント
1. オフライン/イミュータブルなバックアップを確認する
暗号方式が何であれ、ランサムウェア対策の本丸は復旧可能なバックアップだ。Kyberはシャドウコピーを削除し、ネットワーク上のバックアップも狙う。ネットワークから隔離されたオフラインバックアップ、または書き換え不可能なイミュータブルストレージ(オブジェクトロック等)を用意し、実際にリストアできるかを定期的にテストする。「バックアップを取っている」ではなく「復旧できることを確認済み」が到達点だ。
2. ESXi / vCenter の防御を最優先で固める
ESXiは攻撃者が真っ先に狙う。次を確認したい。
- ESXi / vCenter を最新パッチへ更新する
- ESXiのロックダウンモードを有効化し、SSHを常時無効にする(必要時のみ一時有効化)
- 管理インターフェース(vCenter・ESXi)を業務ネットワークから分離し、アクセス元を限定する
- ESXiホストの管理アカウントにMFAと最小権限を適用する
3. 復旧妨害の前兆を検知する
Kyberは暗号化の前にシャドウコピー削除やサービス停止を行う。これらは暗号化本番の「予兆」であり、検知できれば被害最小化のチャンスになる。
# シャドウコピー削除はランサムウェアの典型的な前兆
# 以下のようなコマンド実行を EDR / イベントログで監視・アラート化する
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
# SQL / Exchange など業務サービスの不審な一斉停止も監視対象4. 横展開と権限昇格を止める
ランサムウェアの一斉展開には、ドメイン管理者権限の奪取と横展開(ラテラルムーブメント)が前提になることが多い。MFAの徹底、特権アカウントの分離、管理共有(C$等)やRDPの制限、EDRによる正規ツール悪用(LOLBins)の監視で、暗号化に至る前の段階を断つ。
5. 「耐量子だから諦める」交渉に乗らない
Kyberの「ポスト量子だから絶対に復号不能」という主張は、支払いを促す心理的圧力でもある。実態として復旧の鍵はバックアップと初動対応であり、暗号方式の真偽に関わらず方針は変わらない。万一被害に遭った場合はインシデント対応手順に沿って封じ込め・証拠保全を進め、支払いの是非は法務・専門家を交えて判断する。
参考情報
- BleepingComputer: Kyber ransomware gang toys with post-quantum encryption on Windows
- Rapid7: Kyber ランサムウェア検体(Windows / Linux ESXi)の解析(インシデント対応)
- SC Media: Kyber ransomware targets Windows and ESXi with post-quantum encryption claims
- Cloud Security Alliance: Kyber Ransomware — Post-Quantum Encryption as an Attack Weapon
- NIST: FIPS 203(ML-KEM / Kyber)ポスト量子暗号標準