![DDF:DIGITAL DATA FORENSICS[デジタルデータ フォレンジック]](/assets/images/ddf_head_logo.png){kind=logo}
近年、QNAPをメインターゲットとしたeCh0raixランサムウェア (.encrypt) の感染被害が拡大してきています。
この記事では、eCh0raixランサムウェアの特徴や対策方法、万が一感染した際の対処方法を解説します。
目次
eCh0raixランサムウェアの特徴
eCh0raixランサムウェアは、主にQTSオペレーティングシステムを実行しているQNAP NAS(Network-Attached Storage)デバイスを標的とすることで知られています。
eCh0raixの特徴は次のとおりです。
- 特定のターゲットデバイスを暗号化する
- 個人~中小企業がターゲット
- 操作していない時間帯に暗号化を開始する
- 二重恐喝を行うことがある
特定のターゲットデバイスを暗号化する
eCh0raixランサムウェアは、当初は以下の対象がメインターゲットでした。
- 台湾のQNAP社製のNAS
- 同様のOSライセンスを受けているIOデータ社製のQNAP NAS
- Synology製のNAS
eCh0raixランサムウェアは、QNAPのオペレーティングシステム「QTS」の脆弱性を狙ったものであることが判明していますが、2021年2月からは国内メーカーのバッファロー、エレコム製NASもeCh0raixの感染対象に加わりました。
個人~中小企業がターゲット
eCh0raixランサムウェアは、個人や中小企業が利用するQNAPをターゲットにしており、言い換えれば個人や中小企業が被害に遭いやすいといえます。
社内でeCh0raixランサムウェアに感染した場合、情報漏えいなどの被害が発生している可能性があるほか、後続の攻撃者の侵入経路が開けられている危険性もあります。こういった被害調査では「フォレンジック専門業者」の相談・依頼が必要です。フォレンジック調査は、サイバー攻撃や情報流出の経路を調査し、適切な対処を行うことができます。
操作していない時間帯に暗号化を開始する
このランサムウェアは、操作していない時間帯に暗号化を開始するため、気づかれずに被害が拡大することがあります。よって、このような攻撃が発生した場合、感染原因の素早い調査と対応が必要です。
二重恐喝を行うことがある
eCh0raixランサムウェアは、ファイルを暗号化するだけでなく、侵害されたQNAP NASデバイスから機密データを盗み出すことができます。これによって身代金が支払われない場合、攻撃者は機密情報を公開・売却すると脅迫するケースがあります。
eCh0raixや同様の脅威から保護するためには、QNAP NASデバイスを最新のファームウェアとセキュリティパッチで最新の状態に保つことが重要です。さらに、強力なパスワードの使用、不要なサービスの無効化などにより、感染リスクを低減することができます。
\サイバーセキュリティの専門家に無料相談できる/
eCh0raixランサムウェア感染時、企業のとるべき対応とは?
eCh0raixランサムウェアに感染した場合、情報漏えいの有無や規模、サイバー攻撃の感染経路や影響範囲を調査し、関係者に報告する必要があります。
2022年4月から改正個人情報保護法が施行
2022年4月に施行された「改正個人情報保護法」では、1件以上の個人データの漏えいや、データの漏えいが発生する可能性がある場合、調査報告と通知が法人に義務付けられました。(違反した企業には最大1億円以下の罰金が科せられる可能性があります)
しかし、被害調査には、法的知識や専門技術が必要で、自社のみで対応することが困難です。そのためデジタル端末を分析・調査する「フォレンジック」の重要度が、年々増加しています。
フォレンジックでは、脆弱性、攻撃手法、有効な対策など、様々な情報が得られます。これにより、同様の被害を未然に防ぐことができます。また調査結果をもとにセキュリティ対策を適切に見直し、強化することも可能です。
フォレンジック調査の詳細については下記の記事でも詳しく解説しています。
\即日現地駆けつけ対応も可能(法人様限定)/
eCh0raixランサムウェアに感染するとどうなる?
eCh0raixランサムウェアに感染すると次のような事態に発展することがあります。
- 拡張子が「.encrypt」に書き換わる
- 身代金を要求する画面が表示される
- ネットワークに感染が拡大する
- データが漏えいする
拡張子が「.encrypt」に書き換わる
eCh0raixランサムウェアに感染すると、データが暗号化され、ファイルのアイコンがすべて真っ白になります。この際、パソコン上のデータの拡張子が「.encrypt」に書き換わり、ファイルサイズは2倍ほど大きくなります。
身代金を要求する画面が表示される
eCh0raixは、「README_FOR_DECRYPT.txt」というテキストファイル、またはポップアップメッセージの形で身代金メモを残し、復号キーと引き換えに身代金の支払いを要求しています。このメモには、支払方法に関する指示が含まれており、多くの場合、Bitcoinなどの暗号通貨で支払われます。
もし感染が疑われる場合は、被害拡大を防ぐために感染元の端末を速やかにネットワークから遮断し、隔離する必要があります。
ネットワークに感染が拡大する
ネットワーク内でファイルの共有が行われている場合、脆弱性のある機器やセキュリティ設定によっては、他のコンピュータに暗号化が広まるおそれがあります。特に不正な電子メールの添付ファイルからの感染は、ランサムウェアの拡大につながる恐れがあります。
データが漏えいする
eCh0raixランサムウェアに感染するとデータが漏えいする恐れがあります。この際、企業は機密情報を保護する法律に従う必要があります。しかし、データ漏えいがあった場合、不適切な調査を行うと法律に違反することがあり、罰金などの対象になることがあります。
こういったデータ漏えいを調査する場合、デジタル端末を解析する「フォレンジック調査」という手法が有効です。フォレンジック調査では「データ漏えいの特定」、「復旧計画の策定」、「法的問題への対応」が可能です。
データ漏えいの調査においてフォレンジックは有効な手法
フォレンジック調査はデータ漏えいの調査において有効な手法です。
たとえばフォレンジック調査では、デジタル端末やネットワーク上の活動を詳細に解析し、データ漏えいの原因や侵入経路を特定することができます。
また迅速なフォレンジック調査により、被害の範囲や深刻さを把握し、適切な対応策を早期に実施することができます。これにより、データ漏えいによる損失を最小限に抑えることができます。インシデント発生時も、これにより適切な対策を講じることが可能で、事態を適切に処理することで、企業の信頼性と評判を向上させることができます。
ご相談や詳細な情報については、いつでもお気軽にお問い合わせください。私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された侵入経路や漏えいデータを迅速に特定します。
24時間365日体制で相談や状況のヒアリング、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
\サイバーセキュリティの専門家に無料相談できる/
eCh0raixランサムウェア感染時の対処方法
eCh0raixランサムウェア感染時、誤った対応を取ると、再感染やデータ漏えいなどのインシデントに遭遇する恐れがあります。
よって過不足のないフローで適切な対応を取りましょう。eCh0raixランサムウェアへの感染が疑われる場合は、速やかに下記の対処方法を行ってください。
- 身代金を支払わない
- ネットワークから遮断する
- メールアドレス・パスワードを変更する
- 専門業者に被害実態の調査を依頼する
身代金を支払わない
このランサムウェアは、身代金を払ったとしても暗号化されたファイルを全て元に戻せる可能性は非常に低いです。例え復号できたとしても、開く事ができないケースも多く見られます。
また身代金を支払うことが、反社会勢力の増長につながる恐れもあるため、身代金を支払うことは避けましょう。なお、身代金を支払った組織の8割が再び攻撃を受けたという報告もあり、相手の要求を鵜呑みにすると、ランサムウェア攻撃が悪化する恐れがあります。
攻撃者はセキュリティの脆弱性を突いて攻撃を試み続けるため、一度ランサムウェアに感染し復号に成功しても、セキュリティ対策を見直さなければ、再びランサムウェアや別のマルウェアに感染する可能性が高くなります。
コンプライアンスはもとより、セキュリティの脆弱性をなくすためにも、企業は感染経路を専門業者による調査で明確に特定し、セキュリティ対策を見直さなければなりません。
ネットワークから遮断する
ランサムウェアの感染はネットワークを伝って拡大します。まだ感染していない他のデバイスへの感染を防ぐため、感染が疑われる端末をネットワークから切断しましょう。
ランサムウェアに感染した場合、まずはじめに行うべきことは、端末をネットワークから遮断することです。ランサムウェアは一つの端末だけでなく、ネットワークに接続している全ての端末を暗号化することもあり、最悪の場合、企業が稼働停止に追い込まれることもあります。
まだ感染していない他のデバイスへの感染を防ぐため、感染が疑われる端末をネットワークから遮断しましょう。
メールアドレス・パスワードを変更する
次に、感染が疑われるデバイスで使用していたメールアドレスやパスワードの変更を行いましょう。メールアドレスやパスワード悪用される可能性があります。
また、メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイス上でセキュリティ情報を変更したとしても、それらの新しい情報が攻撃者に盗まれれ、第三者に悪用されてしまう場合も考えられます。
バイスのパスワードを変更する方法は次のとおりです。
- QTSに管理者としてログオンします。
- タスク バーのプロファイル画像をクリックし、[オプション]ウィンドウを開きます。
- [パスワード設定]をクリックします。
- 古いパスワードを指定します。
- 新しいパスワードを指定・確認します。
- [適用]をクリックします。
なおQNAPでは、パスワードの強度を向上させる次の基準を推奨しています。
- 長さは8文字以上
- 大文字と小文字の両方を含める
- 少なくとも1つの数字と1つの特殊文字を含める
- ユーザー名と同じ、またはユーザー名を逆にしたものにしない
- 連続して3回以上繰り返される文字を含めない
専門業者に被害実態の調査を依頼する
ランサムウェア感染時、感染経路調査を専門に行っているフォレンジックサービスまで相談しましょう。
フォレンジックサービスは、ランサムウェア感染の調査において専門知識と豊富な経験を持っており、たとえば「システムログの調査」や「不審なファイル・プロセスの分析」など専門的な手法により、感染経路や被害の実態を特定することができます。
また、これにより、迅速な対応策の立案や感染拡大の防止が可能となります。
ランサムウェア感染時の対応については下記の記事でも詳しく紹介しています。
セキュリティ対策をおこなう
次に、パッチ適用や、不正アクセスを検知するファイアウォールなどの「入口対策」などセキュリティ対策をおこなう必要があります。詳しくは、下記の記事を参照してください。
ランサムウェアによる被害の調査を行う場合、専門業者に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
調査の料金・目安について
調査の料金・目安について
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
ランサムウェアの感染対策
ランサムウェアの感染対策として次のものが挙げられます。
- 多要素認証の導入
- EDR等の導入による不審な挙動の早期発見
- VPN機器の脆弱性対策の実施
- データのバックアップ
多要素認証の導入
多要素認証の導入による認証強化により、ユーザーが利用するデバイスやデータを認証してアクセス権を設定することで、ランサムウェアを防ぐことができます
EDR等の導入による不審な挙動の早期発見
次に、EDR等の導入により、ネットワーク内の不審な挙動を早期に発見することが重要です。ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバーとの間で不審な通信が発生する場合がありますが、これをEDRで早期に発見することで、感染拡大や外部からの侵入の範囲拡大を防ぐことができます。
VPN機器の脆弱性対策の実施
また、VPN機器の脆弱性対策の実施も重要です。VPNを利用する場合には、セキュリティパッチの適用やアクセス制限の設定などを行うことで、攻撃者によるVPNの脆弱性をついた攻撃を防ぐことができます。
データのバックアップ
最後に、データのバックアップも欠かせません。ランサムウェアに感染すると、企業内のネットワークに接続された端末内のデータが暗号化されて使えなくなることがあります。このため、定期的にバックアップを行うことで、ランサムウェアの被害を最小限に抑えることができます。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック エンジニア
累計ご相談件数23,703件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。
その技術力は各方面でも高く評価されており、フォレンジック調査やセキュリティ対策の取り組みで在京キー局による取材実績や、警察表彰実績も多数。
