無料会員登録
「.sorry」拡張子のファイルが突然増えたり、サーバやWebサイト上のファイルが開けなくなったりした場合、Sorryランサムウェアによって暗号化されている可能性があります。
企業環境では、Webサイトの公開ファイルだけでなく、業務システム、データベース、メール、共有フォルダ、バックアップ領域まで影響が広がるおそれがあります。特に、複数サイトや複数サーバを運用している場合、1つの侵害をきっかけに被害範囲が拡大することがあります。
2026年には、cPanel/WHMの脆弱性CVE-2026-41940との関連が指摘されるSorryランサムウェア攻撃が報告されています。cPanel/WHMは、Webサイト、メール、データベース、複数ドメインを管理する仕組みであるため、侵害された場合はサーバ全体に影響が及ぶ可能性があります。
ランサムウェア被害が疑われる場合、身代金メモの指示に従ったり、不審なファイルやログをすぐに削除したりするのは危険です。証拠が失われると、侵入経路、被害範囲、情報流出の有無を確認しにくくなります。
本記事では、「.sorry」拡張子が付いた場合に疑われるSorryランサムウェアの特徴、企業が確認すべき症状、影響範囲、安全な初動対応、専門調査を検討すべきケースについて解説します。
目次
「.sorry」拡張子を見つけたら最初に確認すべきこと
「.sorry」という拡張子が付いたファイルを発見した場合、すでに暗号化が始まっている可能性があります。企業では、共有フォルダやバックアップまで被害が広がるケースもあるため、まずは状況を落ち着いて整理することが重要です。
ファイルが開けず「.sorry」に変更されている場合は暗号化被害を疑う
WordやExcel、PDFなどのファイル名が「sample.xlsx.sorry」のように変わっている場合、ランサムウェアによる暗号化被害の可能性があります。
特に以下の症状が複数見られる場合は注意が必要です。
| 確認ポイント | 主な症状 |
|---|---|
| ファイル | 拡張子が「.sorry」に変わっている |
| 業務データ | 開こうとしてもエラーになる |
| 共有フォルダ | 複数端末で同じ症状が発生している |
| サーバ | アクセス速度低下・サービス停止 |
一部だけではなく、共有ストレージやNASにも同じ拡張子が広がっている場合は、横展開している可能性があります。
身代金メモを見つけても支払い・削除・再起動を急がない
暗号化後には、README.txtやHOW_TO_DECRYPT.txtなどのファイルが生成されるケースがあります。そこには暗号資産での支払い要求や連絡先が記載されていることがあります。
ただし、次の操作は慎重に判断する必要があります。
- 端末の再起動
- ファイル削除
- 自己判断での復旧作業
- セキュリティソフトによる一括削除
これらの操作を行うと、証拠が消失する恐れがあります。侵入経路や被害範囲の特定が難しくなり、再侵入を招く可能性もあります。
リスクを理解したうえで考えるべきこと
ランサムウェアは、暗号化だけで終わるとは限りません。場合によっては、窃取した情報の公開を脅す被害につながることもあります。
そのため、「復旧できるか」だけではなく、「どこまで侵入されているか」を確認することが重要です。自己判断で操作を続けると、被害が拡大する恐れがあります。
異常を検知した段階での迅速な行動が、被害拡大を防ぐ決め手です。状況整理が難しい場合は、専門調査会社へ早めに相談することが重要です。
Sorryランサムウェアで企業に起こり得る被害範囲
「.sorry」拡張子の被害は、単一端末だけで終わらないケースがあります。企業では、共有フォルダやバックアップ、クラウド環境まで被害が広がる事例も確認されています。
Webサイト・業務サーバ・共有フォルダ・バックアップが影響を受ける可能性
ランサムウェアは、感染した端末だけでなく、接続先のサーバや共有ストレージにも拡散することがあります。
特に企業では、以下のような環境が狙われやすい傾向があります。
| 対象 | 主な影響 |
|---|---|
| 共有フォルダ | 複数部署の業務データが暗号化 |
| ファイルサーバ | 業務停止・復旧遅延 |
| Webサーバ | サイト停止・改ざん |
| バックアップ | 復旧データまで暗号化される |
バックアップサーバが常時接続されている場合、復旧用データまで暗号化されることがあります。
顧客情報・業務メール・複数サイトに被害が広がっていないか確認する
ランサムウェアによっては、暗号化だけでなく、情報窃取も同時に行われるケースがあります。
特に確認すべき対象は以下の通りです。
- 顧客情報データベース
- 業務メール
- VPN・クラウドアカウント
- 複数運営サイト
- 社内共有ストレージ
管理者アカウントが侵害されている場合、複数サーバへ横展開している可能性があります。
このようにランサムウェアは、表面上の暗号化だけでは実態を把握できないことがあります。攻撃者がバックドアを残しているケースや、すでに情報を外部へ送信しているケースもあります。
特にログ削除や痕跡隠蔽が行われている場合、社内だけで侵入経路を特定するのは難しくなります。対応を誤ると、再侵入の恐れもあります。
不審な兆候がある場合は、無理に操作せず専門家へ相談することで、被害範囲の正確な把握につながります。
Sorryランサムウェア感染時に企業が行うべき初動対応
ランサムウェア被害では、最初の数時間の対応がその後の被害範囲を左右します。復旧を急ぐ前に、まずは被害拡大の防止と証拠保全を優先する必要があります。
感染が疑われる端末やサーバをネットワークから隔離する
まず優先すべきなのは、被害の横展開を止めることです。共有フォルダやVPN経由で他の端末へ感染が広がるケースもあります。
- 感染が疑われる端末のLAN・Wi-Fi接続を切断する
- 共有フォルダやVPN接続を一時停止する
- 影響範囲を確認しながら関係者へ連絡する
ただし、電源断は慎重に判断する必要があります。メモリ上にしか残っていない痕跡が失われる可能性もあります。
ログや不審ファイルを削除せず、復旧前に侵入経路とバックアップを確認する
暗号化ファイルや身代金メモを見つけても、すぐに削除しないことが重要です。
- バックアップが暗号化されていないか確認する
- VPN・RDP・管理画面への不審アクセス履歴を確認する
- EDR・サーバ・FWログを保全する
復旧だけを優先すると、侵入経路が残ったまま再感染する可能性があります。
判断が難しいときはどうすればいい?
ランサムウェア被害では、「どこまで感染しているのか」「情報漏えいが起きているのか」を早期に把握することが重要です。
しかし、中小企業では専任のセキュリティ担当者がいないケースも多く、ログ解析や侵入経路の特定まで社内だけで行うのは簡単ではありません。
自己判断で復旧を進めると、証拠が消失する恐れがあります。異常を検知した時点で、フォレンジック調査会社へ相談することで、被害範囲や侵入経路を客観的に把握しやすくなります。
cPanel/WHMの脆弱性CVE-2026-41940が関係する場合の確認ポイント
「.sorry」拡張子のランサムウェア被害では、侵入経路の確認が重要です。cPanel/WHMの脆弱性CVE-2026-41940が関係する可能性がある場合は、パッチ適用状況だけでなく、不審な管理者やSSHキー、cronの有無まで確認する必要があります。
cPanel/WHMのパッチ適用状況と不審な管理者・SSHキー・cronを確認する
cPanel/WHMを利用している場合は、まず対象バージョンかどうか、修正版が適用されているかを確認します。レンタルサーバや制作会社が管理している場合は、対応済みかを具体的に確認してください。
| 確認対象 | 見るべきポイント |
|---|---|
| cPanel/WHM | バージョンと更新状況 |
| 管理者アカウント | 見覚えのない追加・権限変更 |
| SSHキー | 不審な公開鍵の追加 |
| cron | 不審な自動実行コマンド |
| メール設定 | 転送設定・大量送信の痕跡 |
更新が完了していても、攻撃者がすでに不正アカウントやバックドアを残している可能性があります。更新後も、ログや設定の確認を行うことが大切です。
- サーバ会社や保守会社にcPanel/WHMの利用有無と対象バージョンを確認する
- 管理者アカウント、SSHキー、cron、メール設定の変更履歴を確認する
- 更新前後のログを保全し、不審なアクセス元や操作時刻を記録する
複数サーバやホスティング環境では横展開と再侵入の有無を確認する
ホスティング環境や複数サーバを運用している場合、1台の侵害が他のサーバへ広がる可能性があります。同じ管理者パスワードやSSHキーを使い回している環境では、横展開のリスクが高まります。
また、復旧後に再び暗号化される場合は、侵入経路が残っている可能性があります。単に暗号化ファイルを復元するだけではなく、攻撃者が再侵入できる経路を閉じることが重要です。
- 同じ認証情報を使っているサーバや管理画面を洗い出す
- 横展開先になり得るWebサーバ、DBサーバ、バックアップサーバを確認する
- 復旧後も不審な通信や自動実行が残っていないか確認する
cPanel/WHM経由の侵入が疑われる場合の注意点
cPanel/WHMの管理画面が侵害されている場合、Webサイト、メール、データベース、複数ドメインに影響が及ぶ可能性があります。管理画面が正常に見えても、裏側で不審な設定変更が行われていることがあります。
特に、ログや不審ファイルを削除してしまうと、侵入経路や影響範囲の確認が難しくなります。時間が経つと証拠が失われる恐れがあります。
cPanel/WHMの脆弱性悪用やランサムウェア感染が疑われる場合は、復旧作業と並行して、侵入経路と被害範囲を調査することが重要です。
参考資料:NVD
おすすめのランサムウェア感染調査会社
公式サイトデジタルデータフォレンジック
編集部が厳選したおすすめのランサムウェア調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジックは、累計4万7千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
24時間365日の相談窓口があり、緊急時でも安心です。相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
まとめ
「.sorry」拡張子が付いたファイルを見つけた場合、ランサムウェアによる暗号化被害の可能性があります。企業では、1台の端末だけでなく、共有フォルダ、業務サーバ、バックアップ、Webサイト、メールまで被害が広がることがあります。
まずは感染が疑われる端末やサーバをネットワークから隔離し、ログや不審ファイルを削除せずに保全してください。復旧を急ぐ前に、侵入経路、被害範囲、バックアップの状態を確認することが重要です。
cPanel/WHMの脆弱性CVE-2026-41940が関係する可能性がある場合は、パッチ適用状況だけでなく、不審な管理者、SSHキー、cron、メール設定、横展開の有無まで確認する必要があります。
ランサムウェア被害では、暗号化ファイルの復元だけでは十分とはいえません。再感染や情報流出を防ぐためには、原因と被害範囲を正しく把握することが大切です。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
