お問い合わせ
セキュリティ検知で「NewHeur_PE」「Win32/Formbookの亜種 トロイの木馬」「Win32/Filecoder.LockedFile.I」などと表示された場合、「FormBook」というマルウェアに感染している可能性があります。
FormBookに感染すると個人情報が漏えいする可能性があるため、早急に対応することが大切です。本記事では、FormBook感染時の対処法を解説しておりますので、お困りの方はぜひ参考にしてください。
目次
FormBookとは
FormBookとは、Windows OSを標的とする情報搾取型のマルウェアです。
FormBookが実行されると、認証情報の窃取、スクリーンショットの収集、キーストロークの監視、C&C(コマンド&コントロール)サーバの命令に応じたファイルのダウンロードなどの侵害行為が可能となります。
2016年に初めて発見されて以来マルウェアとしての知名度は高まり続けており、アンダーグラウンドのハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売され、強力な検知回避技術と比較的安価に入手できることで知られます。
Formbookに感染した際の被害例
FormBookに感染すると、どのような被害が発生するのでしょうか。ここではFormBookの主な被害例をまとめています。
- 個人情報の窃取・流出
- デバイスの遠隔操作
デバイスの遠隔操作
FormBookに感染すると、デバイスを第三者に制御され、被害が発生する可能性があります。例えば、C&Cサーバ(コマンド&コントロール)と通信し、攻撃者からの指示通りに遠隔でデバイスを操作し、新たなコマンドや活動を実行することができます。
また、キーロギングを行いユーザーがキーボードを使用して入力したパスワードや個人情報を収集したり、定期的にスクリーンショットを撮影して、ユーザーの活動を視覚的に監視することも可能になります。
個人情報の窃取・流出
FormBookに感染すると、個人情報が流出する可能性があります。企業の場合、機密情報や顧客情報が外部に流出すると信頼性の失墜はもとより、法的な問題が生じかねません。
仮に漏えいが発覚した場合、フォレンジック調査が役立ちます。これにより、今後同様の事態が発生することを防ぐことができ、被害の最小化に役立ちます。
仮に機密情報や個人情報が漏えいした場合、組織は被害の実態や漏えいした情報の詳細を特定する必要があります(2022年4月に改正された個人情報保護法にもとづく)。
この際、「フォレンジック調査」が役立ちます。フォレンジック調査とは法的に正しい手続きを用いて、デジタル端末を解析する専門的な手法です。
これにより、被害の実態や漏えいの手口を特定でき、今後同様の事態が発生することを防ぐことに役立ちます。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。24時間365日体制で相談や見積もりを無料で受け付けておりますので、まずはお気軽にご相談ください。
\入力から送信まで3分で簡単に完了/
FormBookの感染経路
FormBookの主な感染経路は下記のとおりです。
- スパムメールの添付ファイル
- 不正なWebサイトや広告
- Microsoftの脆弱性(CVE-2021-40444)
スパムメールの添付ファイル
FormBookに感染すると、Word文書・Excel・PDFファイル・ZIPアーカイブなどに扮したマルウェアが添付されたスパムメールが送信されることがあります。
企業の場合、従業員間のスパムメールを介してFormBookに感染する可能性があります。顧客情報などが外部に流出すると、信頼性の失墜や法的問題が生じる恐れがあります。
怪しいメールを受信した場合は、添付ファイルは開かず、すぐに削除しましょう。
不正なWebサイトや広告
FoamBookの侵入を防ぐためには、不正なWebサイトや偽広告への注意が必要です。これらにアクセスしたりクリックしたりすると、FoamBookに感染する危険があります
マルウェア感染の潜在的なリスクを認識し、Webサイトや広告を適切にチェックしてからクリックしましょう。
Microsoftの脆弱性(CVE-2021-40444)
CVE-2021-40444は、かつてMicrosoft製品に存在した脆弱性の一例です。この脆弱性は、FoamBookの攻撃に悪用されました。具体的には、特定のコードを埋め込んだWord文書などのOffice文書を用いて、被害者がこれを開くとマルウェアが感染し、個人情報が窃取される危険性があります。
FormBookに感染した際の対処法
FormBookに感染した際は早急に対処することが肝心です。
なるべく早く下記の対処法を実行しましょう。
- ネットワークを遮断する
- システム復元を実行する
- OSを最新のバージョンに更新する
- 専門業者に相談する
ネットワークを遮断する
FormBook感染が疑われる場合は、まずネットワークを遮断することが重要です。FormBookによって収集された情報は通常ネットワークを介して送信されます。そのため、素早く接続を切断することで情報の送信を防ぐことができる可能性があります。
システム復元を実行する
システム復元とは、パソコンのシステムの状態を「復元ポイント」まで戻すことです。
「復元ポイント」は、過去のシステムファイルの状態を保存したもので、システム復元を実行することで、FormBookに感染する前の状態にパソコンを戻すことができます。
- 「スタートメニュー」→「設定」→「更新とセキュリティ」を開く
- 「更新とセキュリティ」の画面で「回復」を選択→「今すぐ始める」をクリック
- リストから復元ポイントを選択し「次へ」をクリックすると復元が開始される
- 復元が完了するまで待つ
OSを最新のバージョンに更新する
OSを最新のバージョンにアップデートし、セキュリティ機能の改善を行いましょう。
アップデート後は、フォレンジック調査などを行い不正利用された形跡を確認することをおすすめします。
- 「スタートメニュー」→「設定」→「更新とセキュリティ」を開く
- 「更新とセキュリティ」の画面で左側のメニューから「Windows Update」を選択する
- 右側の画面に「利用可能な更新プログラムを確認する」というボタンが表示されているか確認し、このボタンをクリックして、新しいアップデートをチェックする
- 一覧から更新プログラムを選択し「今すぐダウンロードしてインストール」ボタンをクリックする
- 必要があれば、指示に従い再起動する
- 再起動後、再度「Windows Update」を開いて、アップデートが正しくインストールされたかを確認する
専門業者に相談する
下記の兆候がある場合は、ハッキングによる漏えいが発生している可能性があります。
- システムやアプリケーションが予期せぬ方法で動作する
- ファイルが暗号化されたり、削除されたりした
- セキュリティソフトウェアが不正なファイルを検出した
- パスワードが変更されたり、アカウント情報が盗まれたりした
上記の兆候が確認された場合、フォレンジック調査会社に相談することをおすすめします。
フォレンジック調査を行うことで、感染経路や情報漏洩の有無などのインシデントを正確に把握することが可能です。
ただし、フォレンジック調査は自力で行うのは困難です。理由として専門的な知識とツールが必要であることや、誤った操作や不適切なツールの使用で、データの損失や改ざんのリスクを引き起こす可能性があることを挙げることができます。
また、誤ってデータを上書きしたり消去したりすると、不正の痕跡を取得することが難しくなります。したがって適切な被害調査を行う場合は、フォレンジック調査の専門業者まで相談するようにしましょう。
ハッキング調査が必要な場合は専門家に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ハッキング調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
ハッキング調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
