2017年7月ごろから日本の企業を標的とした「ONI」と呼ばれるランサムウェアが活動をしていると複数のセキュリティファームが報告していた。このほどCybereasonは「Night of the Devil: Ransomware or wiper? A look into targeted attacks in Japan using MBR-ONI」において、「MBR-ONI」と呼ばれるONI系列と見られる新しいランサムウェアを発見したと発表するとともに、活動が継続していることを指摘した。もし拡張子が.oniになったファイルがあるのならすぐに調査を開始したほうがよい可能性がある。

ランサムウェア「ONI」は日本語のメッセージを表示することなどから、主に日本の企業を標的として開発されたものではないかと見られている。ONIという名称も「鬼」から来ているものと考えられている。長期にわたって活動が継続していると推測されているが、今回Cybereasonが発見した「MBR-ONI」は「ONI」と同じ開発者が作成したものだろうと推測されており注意が必要。

資料: Cybereason提供

資料: Cybereason提供

「ONI」および「MBR-ONI」はランサムウェアと呼ばれているが、調査の結果、ワイパーとしての役割を担っていた可能性が指摘されている。というのも、このランサムウェアは機能として暗号化したデータを元に戻すことが可能だが、そもそも戻す用途では使われておらず、痕跡を消し去るためのワイパーとしての役割を負っている可能性が高いという。