サイバー攻撃

WindowsとQNAPを標的にするマルウェア「Raspberry Robin」とは? その特徴や対策方法/感染時の対処方法を解説

WindowsとQNAPを標的にするマルウェア「Raspberry Robin」とは? その特徴や対策方法/感染時の対処方法を解説

Raspberry Robinは、WindowsやQNAPユーザーを対象としたマルウェアです。2021年に存在が確認されて以降、世界的に感染を拡大させており、Windowsのネットワーク上で猛威を振るっています。もし感染すると第三者に個人情報が漏えいする可能性があるため、NASユーザーは、事前にRaspberry Robinの脅威を知っておかねばなりません。

本記事では、Raspberry Robinの特徴や対処法についてご紹介します。

Raspberry Robinの感染調査をしたい方へ

どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)デジタルデータフォレンジック(DDF)がおすすめ
データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
相談からお見積までは完全無料だから、いきなり費用発生の心配もなし。

※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)

 

Raspberry Robin(ラズベリー・ロビン)の特徴

Raspberry Robin(ラズベリー・ロビン)の特徴は、次のとおりです。

WindowsとQNAPユーザーを標的とする

Raspberry Robin(ラズベリー・ロビン)とは、Windowsのシステムを悪用して拡散するマルウェアです。最近は、QNAP製NASの脆弱性を悪用し、情報を詐取するケースも多いので、QNAPとWindowsユーザーは注意を払いましょう。

Windowsで使われる「.lnk」ファイルを悪用する

Raspberry Robinは、悪意ある「.lnk」ファイル(Windows上の「.exe」ファイルのショートカット)をクリックすることで発動します。大半のマルウェアは「.lnk」ファイルを悪用する傾向があることから、不用意にクリックするのは控えましょう。

USBメモリを介して拡散する

Raspberry Robinは、USBメモリを介して拡散します。

具体的に言うと、感染端末に接続されている、USBメモリ内に生成された「.lnk」ファイルをクリックすることで、周囲に感染を広げるという構図になっています。

感染後は詐取したID・パスワードをもとに、周囲のメディア(QNAP製NASやWindowsネットワークなど)に不正ログインをはかり、永続的に感染を続けようとします。

システムを起動するたび実行される

Raspberry Robinは、システムを起動するたび実行されます。根絶しない限り、社内のネットワークに居座り続けます。もし感染の兆候が見受けられる場合は、社内のネットワークおよびデバイスを全体的に調査したうえで、クリーンな環境に復元する必要があります。

C2サーバに不正通信が行われる

Raspberry Robinに感染すると、C2サーバ(C&Cサーバ)に不正通信が行われる可能性があり、実際にC2サーバーへの不正通信が報告されています。

C2サーバとは、ハッカーが扱うサーバーのことで、ここからマルウェアに指令を出したり、あるいは詐取した情報を受け取ったりするのに使われます。ここに情報が送信されると社内の情報が筒抜けとなってしまうだけでなく、ハッカーに社内の端末がゾンビ化され、サイバー攻撃の踏み台として、サイバー犯罪に巻き込まれる恐れすらあります。

 RaspberryRobinRaspberry Robinの感染経路

 

Raspberry Robin(ラズベリー・ロビン)感染時の対処方法

Raspberry Robin(ラズベリー・ロビン)に感染すると、ネットワークを経由して拡散を広げ、関係者や取引先にもダメージを与える恐れがあります。

Raspberry Robinに感染したら、次の対応をとりましょう。

NASをネットワークから遮断する

Raspberry Robinに感染すると、他の端末へ横方向に感染を広げていきます。感染は時間経過とともに広がるので、感染が疑われた時点でNASをそのまま使用するのはやめましょう。また、それ以外の端末も感染リスクがあるので、接続しているデバイスを他の機器に接続することは控えてください。

パスワードを変更する

マルウェアに感染すると、パスワード類が外部に漏えいする恐れがあります。感染が疑われる場合は、すぐにパスワードを変更してください。

専門業者に感染経路や被害調査を依頼する

感染が疑われる場合、専門的なノウハウを持たない中で調査を行っても、被害の全容が掴みにくくなる恐れもあります。この際、端末を初期化すると、どのような経路で感染し、どれほどの被害が生じたかといった痕跡が消失してしまうので、ご注意ください。

特に法人の場合、個人情報保護法の観点から、自社調査では、客観性の担保や正確性の観点から不適切とみなされてしまうこともあります。

一方で、マルウェアの感染調査に対応した業者では、デジタル機器を解析する「フォレンジック」という特殊技術を活用して、どのようなマルウェアに感染したか、もしくは感染経路や情報漏えいの有無などを適切に調査することが可能です。

フォレンジック調査については、下記の記事でも詳しく解説しています。

フォレンジック調査
フォレンジック調査とは?メリットやインシデント別の調査事例を解説フォレンジック調査とはデジタル機器を調査・解析し、「法的証拠」に関わる情報を抽出し、インシデントの全容を解明する調査です。本記事ではフォレンジック調査の必要性・活用事例を解説します。...

 

フォレンジック調査はデジタルデータフォレンジックに相談する

サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。

特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。

>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説

当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。

デジタルデータフォレンジックの強み

デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。

累計相談件数39,451件以上のご相談実績

官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~

国内最大規模の最新設備・技術

自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)

24時間365日スピード対応

緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。

ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。

デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。

まとめ

Raspberry Robinは、ワームウイルスであり、感染すると各デバイスに被害を拡散させます。そのため、感染被害の確認時点で、正確な被害実態・範囲を把握する必要があります。

これに限らず、常日ごろから、マルウェアの感染を防ぐ基本的な対策方法を周知徹底、実行するとともに、マルウェア感染が発生してしまった場合の対応方法や相談先などもあらかじめ整理しておきましょう。

よくある質問

調査費用を教えてください。

対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。

土日祝も対応してもらえますか?

可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。

匿名相談は可能でしょうか?

もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。

この記事を書いた人

デジタルデータフォレンジックエンジニア

デジタルデータフォレンジック
エンジニア

累計ご相談件数39,451件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
必 須
必 須
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある