![DDF:DIGITAL DATA FORENSICS[デジタルデータ フォレンジック]](/assets/images/ddf_head_logo.png){kind=logo}
悪名高いランサムウェア「REvil」(Sodinokibi)をご存じですか?
REvilは、世界で最も活発に活動しているサイバー犯罪組織です。このランサムウェアは検出を回避するなど絶え間ない進化により、重大な脅威となっています。
この記事では、Sodinokibi/REvilランサムウェアの感染経路や対処方法について紹介します。被害に遭った方、あるいは未然に被害を防ぎたい方は、ぜひ参考にしてください。
目次
Sodinokibi/REvilランサムウェアとは:特徴と脅威
Sodinokibi/REvilはランサムウェアの一種で、データを暗号化し、復号ツールと引きかえに身代金を要求します。ただ、このランサムウェアは、それ以外に様々な特徴があります。
主な特徴としては以下のものがあります。
- RaaSモデルのランサムウェア
- 強力な暗号化
- バックドアを残す
- 二重恐喝
- 知名度の高い組織を主なターゲットとする
- 脆弱性の悪用
上記の脅威に遭わないためにも、企業はパスワードとアクセス制御を厳格に設定し、定期的なアップデートを行いましょう。
RaaSモデルのランサムウェア
Revilは、Ransomware-as-a-Service(RaaS)モデルです。RaaSとは開発者がランサムウェアを販売し、実際に攻撃を行うアフィリエイトメンバーに提供する仕組みです。このモデルは、広範囲に配布することができ、攻撃の起点を追跡するのが困難になる特徴があります。なお開発者は、被害者から支払われる身代金から利益を得ることができ、アフィリエイトは収益の一部を共有することができます。
強力な暗号化
REvilランサムウェアは、RSAとAES(強力な暗号化アルゴリズム)を使用してファイルを暗号化します。そのため、固有の復号キーがなければファイルを復号化することが極めて困難になっています。さらに、REvil は、暗号化する前に感染したネットワークから機密データを流出させる機能を備えており、身代金要求のレベルを高めています。
バックドアを残す
Revilは、感染したシステムにバックドア(出入口)を残すことがあります。これにより、攻撃者は長期間にわたってシステムにアクセスを保持し、追加の攻撃やデータの窃取を行うことができます。
バックドアが開けられると、以下のようなリスクがあります。
- 持続的にアクセスされる/機密情報の漏えい:バックドアを利用することで、攻撃者は長期間にわたってシステムにアクセスでき、機密情報や個人データを盗み出すことができます。
- 追加の攻撃手段が増える:バックドアは攻撃者にとっての便利な手段であり、バックドアが残されていると、攻撃者は追加の攻撃手段を容易に展開できます。
- 再感染のリスク:バックドアが開けられると、感染を駆除しても攻撃者は再び侵入することができ、新たな攻撃を行うことができます。
バックドアの存在は、被害者にとって「持続的な」セキュリティリスクです。バックドアを見つけ出し、除去するためには、まずは感染経路や漏えいデータを確認することが重要です。この際、セキュリティ専門家やフォレンジック専門家と提携して調査を実施し、必要な対策を実施することがマストとなります。
\サイバーセキュリティの専門家に無料相談できる/
二重恐喝
Revilは、ファイルの暗号化に加えて、被害者のデータを盗み、身代金が支払われない場合、盗まれたデータを暴露する「二重恐喝」手法を採用しています。
この手法は、データ損失だけでなく、データ流出による風評被害や法的影響も懸念されるため、非常に悪名高い攻撃手口として広く知られるようになりました。
知名度の高い組織を主なターゲットとする
ReVilは、大企業、医療機関、政府機関など「貴重なデータと多額の資金を持つ組織」「知名度の高い組織」に巨額の身代金を要求することで、攻撃の成功率を高めています。
脆弱性の悪用
REvilは、操作システムやアプリケーションの脆弱性を悪用して侵入します。例えば、未修正のセキュリティパッチやソフトウェアのバグがある場合、攻撃者はその脆弱性を利用してシステムに侵入し、ランサムウェアを実行することができます。
ランサムウェアに感染しないためにも、常に最新の脆弱性情報にアクセスし、適切な対策を取ることが重要です。例えばシステムのパッチ適用、セキュリティソフトウェアの使用、ユーザーの教育などが予防策の一部となります。
\官公庁や上場企業、捜査機関 対応実績対数/
Sodinokibi/REvilランサムウェア感染時、企業のとるべき対応とは?
Sodinokibi/REvilランサムウェアに感染した場合、情報漏えいの有無や規模、サイバー攻撃の感染経路や影響範囲を調査し、関係者に報告する必要があります。
2022年4月から改正個人情報保護法が施行
2022年4月に施行された「改正個人情報保護法」では、1件以上の個人データの漏えいや、漏えいが発生する可能性がある場合、調査報告と通知が法人に義務付けられました。(違反した企業には最大1億円以下の罰金が科せられる可能性があります)
しかし、被害調査には、法的知識や専門技術が必要で、自社のみで対応することが困難です。そのためデジタル端末を分析・調査する「フォレンジック」の重要度が、年々増加しています。
フォレンジックでは、脆弱性、攻撃手法、有効な対策など、様々な情報が得られます。これにより、同様の被害を未然に防ぐことができます。また調査結果をもとにセキュリティ対策を適切に見直し、強化することも可能です。
フォレンジック調査の詳細については下記の記事でも詳しく解説しています。
\即日現地駆けつけ対応も可能(法人様限定)/
Sodinokibi/REvilランサムウェアに感染するとどうなるのか
REvilに感染すると次のような症状に遭遇する場合があります。
- ランサムノート(身代金要求画面)が表示される
- 二重恐喝される
- ネットワークに感染が拡大する
- システムの停止
- データが漏えいする
ランサムノート(身代金要求画面)が表示される
Sodinokibi/REvilランサムウェアに感染すると表示される脅迫文
Sodinokibi/REvilランサムウェアに感染すると、すべてのデータは暗号化され、エクスプローラー上には、1つのtxtファイルだけが表示されます。このtxtファイルは「ランサムノート」と呼ばれており、主に要求金額や支払期日、振込先などが細かく指定されています。
なお、暗号化されると、被害者ごとにランダムな文字列の拡張子が表示されます。たとえば「Apple.jpg」という名前だったファイルが、このランサムウェアに暗号化されると、その名前が「Apple.jpg.385Q2shm28」などに変更されてしまいます。
二重恐喝される
Sodinokibi/REvilは、いわゆる二重脅迫型(暗号化+暴露)のランサムウェアで、一定期間内に身代金を振り込まないと、暗号化したデータをWEB上に暴露するという旨の脅迫を行います。
データをフォーマットしてバックアップからシステム復旧したとしても、データが盗まれている可能性は高く、のちのち情報が漏えいすると、社会的信用の低下、取引停止・株価下落といった多大な損害が生じる危険性があります。
ネットワークに感染が拡大する
ネットワーク内でファイル共有が行われている場合、暗号化が他のコンピュータに広まる可能性があります。特に不正な電子メールの添付ファイルからの感染は、ランサムウェアの拡大につながる恐れがあります。
またネットワーク内の機器やセキュリティ設定に脆弱性がある場合、攻撃者はネットワーク内の他のコンピュータにアクセスし、ランサムウェアを拡散することがあります。
システムの停止
Revilに感染すると、ネットワークがダウンし、システムが停止する可能性があります。これにより企業の業務が中断し、損失が拡大する場合があります。
この際、ランサムウェア攻撃の原因、侵入経路、攻撃手法を分析することにより、被害の再発を防止することが出来ます。また、この情報を得ることで、攻撃者がどのようにシステムに侵入したのかを特定し、将来の攻撃を防ぐための対策を講じることができます。
データが漏えいする
Revilに感染すると「ファイルの暗号化による身代金要求」だけでなく「データが漏えいする恐れ」があります。企業は、個人データや機密情報の保護に関する関連法規を遵守する義務があります。しかしデータ漏えい時、不適切な調査を行うと、これらの法規に違反する可能性があり、罰金や法的措置の対象になる可能性があります。
こういったデータ漏えいを調査する場合、デジタル端末を解析する「フォレンジック調査」という手法が有効です。フォレンジック調査では「データ漏えいの特定」、「復旧計画の策定」、「法的問題への対応」が可能です。
また迅速なフォレンジック調査により、被害の範囲や深刻さを把握し、適切な対応策を早期に実施することができます。これにより、データ漏えいによる損失を最小限に抑えることができます。
ご相談や詳細な情報については、いつでもお気軽にお問い合わせください。私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された侵入経路や漏えいデータを迅速に特定します。
\サイバーセキュリティの専門家に無料相談できる/
Sodinokibi/REvilランサムウェアの感染原因・経路とは
REvilの感染経路は主に次の3つです。
- フィッシングメール
- サーバー・OSの脆弱性
- 脆弱なパスワード
フィッシングメール
フィッシングメールとは、送信者を偽装(なりすまし)し、偽サイトに誘導させたり、悪意あるウイルスがダウンロード・実行させるという攻撃メールです。
このランサムウェアは暗号化システムが優れているため、アンチウイルスソフトに検知されにくく、通常のフィッシングメールでは侵入防御ができても、Revilランサムウェアが添付されたフィッシングメールでは、企業や組織のセキュリティでも突破する恐れがあります。
サーバー・OSの脆弱性
REvilは、サーバーやITシステム管理サービスの脆弱性を悪用した攻撃が多いです。過去には、Oracle製サーバーやKaseya製ソフトウェアの脆弱性が攻撃された事例が相次いでおり、特にKaseya製ソフトウェアの脆弱性だけでも、少なくとも数百の企業や組織が、Sodinokibi/REvilランサムウェアによる影響を受けています。
脆弱なパスワード
脆弱なパスワードを使うと、REvilに感染する可能性が高まります。また脆弱なパスワードを複数のアカウントで再利用すると、他のアカウントも攻撃のリスクにさらされます。パスワードの漏えいを調査する方法は、下記の記事でも説明しています。
VPN/RDP(リモートデスクトップ)の不正利用
Revilは、弱いパスワードを持つVPNやRDP(リモートデスクトップ)を採用したサーバーに不正アクセスし、システムに侵入することがあります。
この攻撃手法では、強力なパスワード管理が重要です。VPN/RDPの脆弱性を悪用するランサムウェア攻撃については下記の記事でも詳しく解説しています。
Sodinokibi/REvilランサムウェア感染時の対応方法
Sodinokibi/REvilランサムウェア感染時、誤った対応を取ると、再感染やデータ漏えいなどのインシデントに遭遇する恐れがあります。
よって過不足のないフローで適切な対応を取りましょう。ここでは感染時の対応方法を次の流れに沿って紹介します。
- 身代金は支払わない
- ネットワークから切り離す
- 専門業者に被害状況の調査を依頼する
- セキュリティ対策をおこなう
身代金は支払わない
身代金を支払ったとしてもデータが帰ってくる保証はありません。また、身代金を支払うと次のデメリットが生じます。
- 攻撃者に「簡単すぎる」と判断され、再攻撃を受ける可能性がある。
- 身代金を支払うと、反社会勢力への資金提供に繋がるため、支払った企業に対し風評被害が起きる可能性がある。
このように、相手の要求を鵜呑みにすると攻撃が悪化したり、風評被害が生じる恐れがあります。また、身代金を支払った企業のうち8割が再びサイバー攻撃の被害に遭ったという報告もあるため、身代金の支払いは控えるようにしましょう。
ネットワークから切り離す
端末がSodinokibi/REvilランサムウェアに感染してしまった場合、すぐにWi-fiネットワークや有線LANから切り離しましょう。同じネットワーク環境下にある別端末にまで被害が拡大してしまう可能性があります。
被害を最小限に抑えるためにも感染端末はオフラインにしましょう。
専門業者に被害状況の調査を依頼する
Revilランサムウェアに感染した場合は、以下の初動対応が必要です。
- 被害状況の調査
- 暗号化されたデータの復号
ただし、社内のシステム担当者がむやみに操作すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。
被害調査を最も安全、かつ適切な手段で行うには「フォレンジック専門業者」に相談・依頼する必要があります。
フォレンジック調査は、ランサムウェアを使用したサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、適切な対処を行うことができます。
セキュリティ対策をおこなう
次に、パッチ適用や、不正アクセスを検知するファイアウォールなどの「入口対策」などセキュリティ対策をおこなう必要があります。詳しくは、下記の記事を参照してください。
ランサムウェアによる被害の調査を行う場合、専門業者に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
調査の料金・目安について
調査の料金・目安について
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
ランサムウェアの感染対策
ランサムウェアの感染対策として次のものが挙げられます。
- 多要素認証の導入
- EDR等の導入による不審な挙動の早期発見
- VPN機器の脆弱性対策の実施
- データのバックアップ
多要素認証の導入
多要素認証の導入による認証強化により、ユーザーが利用するデバイスやデータを認証してアクセス権を設定することで、ランサムウェアを防ぐことができます
EDR等の導入による不審な挙動の早期発見
次に、EDR等の導入により、ネットワーク内の不審な挙動を早期に発見することが重要です。ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバーとの間で不審な通信が発生する場合がありますが、これをEDRで早期に発見することで、感染拡大や外部からの侵入の範囲拡大を防ぐことができます。
VPN機器の脆弱性対策の実施
また、VPN機器の脆弱性対策の実施も重要です。VPNを利用する場合には、セキュリティパッチの適用やアクセス制限の設定などを行うことで、攻撃者によるVPNの脆弱性をついた攻撃を防ぐことができます。
データのバックアップ
最後に、データのバックアップも欠かせません。ランサムウェアに感染すると、企業内のネットワークに接続された端末内のデータが暗号化されて使えなくなることがあります。このため、定期的にバックアップを行うことで、ランサムウェアの被害を最小限に抑えることができます。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック エンジニア
累計ご相談件数23,703件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。
その技術力は各方面でも高く評価されており、フォレンジック調査やセキュリティ対策の取り組みで在京キー局による取材実績や、警察表彰実績も多数。
