![DDF:DIGITAL DATA FORENSICS[デジタルデータ フォレンジック]](/assets/images/ddf_head_logo.png){kind=logo}
Sodinokibi/REvilは、2021年現在、世界で最も活発に活動し、被害を出しているランサムウェア(身代金を要求するソフトウェア)の1つです。この記事では、Sodinokibi/REvilランサムウェアの感染経路や、実際に感染した時の対応方法を紹介します。
Sodinokibi/REvilランサムウェアの特徴
ランサムノート(身代金要求画面)が表示される
Sodinokibi/REvilランサムウェアに感染すると表示される脅迫文
Sodinokibi/REvilランサムウェアに感染すると、すべてのデータは暗号化され、エクスプローラー上には、1つのtxtファイルだけが表示されます。このtxtファイルは「ランサムノート」と呼ばれており、主に要求金額や支払期日、振込先などが細かく指定されています。
なお、暗号化されると、被害者ごとにランダムな文字列の拡張子が表示されます。たとえば「Apple.jpg」という名前だったファイルが、このランサムウェアに暗号化されると、その名前が「Apple.jpg.385Q2shm28」などに変更されてしまいます。
二重脅迫を行う
Sodinokibi/REvilは、いわゆる二重脅迫型(暗号化+暴露)のランサムウェアで、一定期間内に身代金を振り込まないと、暗号化したデータをWEB上に暴露するという旨の脅迫を行います。
データをフォーマットしてバックアップからシステム復旧したとしても、データが盗まれている可能性は高く、のちのち情報が漏えいすると、社会的信用の低下、取引停止・株価下落といった多大な損害が生じる危険性があります。
感染経路はメールとシステムの脆弱性
このランサムウェアの感染経路は主に次の2つです。
フィッシングメール
フィッシングメールとは、送信者を偽装(なりすまし)し、偽サイトに誘導させたり、悪意あるウイルスがダウンロード・実行させるという攻撃メールです。
このランサムウェアは暗号化システムが優れているため、アンチウイルスソフトに検知されにくく、通常のフィッシングメールでは侵入防御ができても、Revilランサムウェアが添付されたフィッシングメールでは、企業や組織のセキュリティでも突破する恐れがあります。
セキュリティの脆弱性
Sodinokibi/REvilランサムウェアは、サーバーやITシステム管理サービスの脆弱性を悪用したものが多く、過去にはOracle製サーバーやKaseya製ソフトウェアの脆弱性が攻撃される事例が相次ぎました。
脆弱性を利用したハッキングにより、Kaseya製ソフトウェアの脆弱性だけで、少なくとも数百の企業や組織が、Sodinokibi/REvilランサムウェアによる影響を受けています。
Sodinokibi/REvilランサムウェア感染時の対応方法
Sodinokibi/REvilランサムウェア感染時の対応方法を紹介しています。
身代金は支払わない
身代金を支払ったとしてもデータが帰ってくる保証はありません。また、身代金を支払うと次のデメリットが生じます。
- 攻撃者に「簡単すぎる」と判断され、再攻撃を受ける可能性がある。
- 身代金を支払うと、反社会勢力への資金提供に繋がるため、支払った企業に対し風評被害が起きる可能性がある。
このように、相手の要求を鵜呑みにすると攻撃が悪化したり、風評被害が生じる恐れがあります。また、身代金を支払った企業のうち8割が再びサイバー攻撃の被害に遭ったという報告もあるため、身代金の支払いは控えるようにしましょう。
ネットワークから切り離す
端末がSodinokibi/REvilランサムウェアに感染してしまった場合、すぐにWi-fiネットワークや有線LANから切り離しましょう。同じネットワーク環境下にある別端末にまで被害が拡大してしまう可能性があります。
被害を最小限に抑えるためにも感染端末はオフラインにしましょう。
専門業者に感染経路調査や復号を依頼する
ランサムウェアへの対応は、他のマルウェア感染以上に専門的な知識が必要になります。もし上記の方法でも対応できない場合、感染経路調査やデータの復号を専門に行っている業者まで相談しましょう。
個人での対処を行い、失敗するとデータを失ったり流出させてしまうリスクがありますが、ランサムウェアに対応実績のあるデータ復旧専門業者であれば、より早く安全に復旧することが可能です。
なお、相談・見積りまで無料で対応している業者もあるので、個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。
Sodinokibi/REvilに感染した場合の調査方法
Sodinokibi/REvilランサムウェアに感染した場合、情報漏えいなどの被害が発生している可能性があるほか、後続の攻撃者の侵入経路が開けられている危険性もあります。
今後のセキュリティー対策やコンプライアンスの観点から、暗号化されたデータの復号だけでなく、情報漏えいの有無や感染経路など被害状況の調査が必要です。
しかし、社内調査の過程で、システム担当者がむやみに操作したり、あるいは端末を独断で初期化すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。
そのため、被害調査を最も安全かつ適切な手段で行うには「フォレンジック専門業者」に相談・依頼する必要があります。「フォレンジック調査」とは、デジタル機器から法的証拠に関わる情報を抽出する手法であり、ランサムウェアのようなサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。
フォレンジック調査会社への相談方法
フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
フォレンジック調査の流れ
社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、今後のプロセス整理のためにもまずは実績のある専門会社へ相談することを推奨しています。
特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、ケースによってはデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
\24時間365日 相談受付/
ランサムウェアに感染した場合はDDFへ
デジタルデータフォレンジックでは、国内売上トップクラスのデータ復旧技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。
お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。
