お問い合わせ
Phobosランサムウェアは、2018年に最初に確認されたランサムウェアファミリーです。CrySIS/Dharmaランサムウェアファミリーの亜種であり、暗号化されたファイルに「.Phobos」「.faust」拡張子を追加します。
この記事では、Phobosランサムウェアの特徴を交えつつ、被害に遭った場合の対処法などを解説します。ぜひ参考にしてください。
目次
拡張子「.phobos」「.faust」ランサムウェアの特徴
Phobosは、コンピュータシステムに侵入し、保存されたファイルを暗号化し、復号キーと引き換えに被害者に身代金の支払いを要求するように設計されたランサムウェアです。
その特徴は次のように表すことが出来ます。
- CrySIS/Dharma派生のランサムウェア
- 医療業界なども含む幅広い業界における中小規模の組織を標的
- エンドユーザーのコンピューターよりもサーバーを標的として選ぶ
CrySIS/Dharma派生のランサムウェア
Phobosランサムウェアは、CrySIS/Dharmaランサムウェアの亜種です。
これはWindowsを標的とし、システム上のすべてのファイルを暗号化して身代金としてビットコインを要求するランサムウェア・ファミリーであり、2016年に登場しました。
2018年12月に登場したPhobosランサムウェアは、Dharmaとの類似点が指摘されており、たとえば「脆弱なRDPポートを介して侵入する」「身代金をビットコインで要求する」などのほか、身代金要求のメッセージがDharmaと同一という報告もあります。
医療業界なども含む幅広い業界における中小規模の組織を標的
Phobosランサムウェアは、医療業界なども含む幅広い業界の中小企業を標的とします。これは、中小企業がセキュリティ予算が限られており、最新のセキュリティ対策を導入していない可能性が高いためです。また、中小企業は、大企業よりもデータのバックアップを頻繁に更新していない傾向があります。
Phobosランサムウェアの被害を受けた企業の具体的な例をいくつか挙げます。
- 米国の病院:Phobosランサムウェアの攻撃を受け、患者の電子カルテを含むすべてのデータが暗号化されました。このとき病院は身代金を支払い、データにアクセスを取り戻すことができましたが、結果的に反社会的勢力に資金を提供をしたとして少なくない非難を浴びました。
- 英国の製造会社:Phobosランサムウェアの攻撃を受け、すべての生産データが暗号化されました。製造会社は身代金を支払わなかった結果、データの回復に数週間を要しました。
- 米国の小売業者:Phobosランサムウェアの攻撃を受け、顧客のクレジットカード情報を含むすべての顧客データが暗号化されました。小売業者は身代金を支払わなかった結果、データの回復に数か月を要しました。
これらの例は、Phobosランサムウェアが中小企業に壊滅的な影響を及ぼす可能性があることを示しています。中小企業は、ランサムウェア感染のリスクを減らすために、最新のセキュリティ対策を導入し、被害に遭遇した場合は適切なインシデント調査をおこない、感染経路を把握することが重要です。
エンドユーザーのコンピューターよりもサーバーを標的として選ぶ
Phobosランサムウェアは、エンドユーザーのコンピューターよりも、サーバーの方が標的として選ばれることが多いです。これは、サーバーが通常、エンドユーザーのコンピューターよりも多くのデータを格納しているためです。
また、サーバーには、企業の顧客情報や財務情報など、より価値のあるデータが格納されている場合があります。さらに、サーバーはネットワーク内の他のコンピューターに感染する可能性が高いため、ランサムウェア攻撃のより大きな影響を与える可能性があります。
Phobosの亜種としてFaustランサムウェアも台頭
Phobosランサムウェアの亜種である「Faust(ファウスト)ランサムウェア」は、2022年後半に最初に発見されました。
これまでFaustランサムウェアは、医療、金融、政府など、さまざまな業界の組織を標的としてきました。また、個人のコンピューターにも感染しています。
その特徴は次のとおりです。
- 「DECRYPT-FILES.txt」というランサムノート(身代金要求画面)が表示される
- 暗号化されたファイルのタイトルが「任意のID+犯罪者のアドレス+.faust」に変わる
「DECRYPT-FILES.txt」というランサムノート(身代金要求画面)が表示される
Faustランサムウェアは、標的のコンピューターに侵入するために、フィッシングメールや脆弱なソフトウェアなどのさまざまな方法を使用できます。侵入すると、コンピューター上のファイルを暗号化し、身代金の支払いを要求するテキストファイルを作成します。
実際にFaustランサムウェアがインストールされると、コンピュータ上に「DECRYPT-FILES.txt」というランサムノート(身代金メモ)がポップアップ形式で表示されます。
内容を要約すると次のとおりです。
PCのセキュリティ上の問題により、すべてのファイルが暗号化されました。復元する場合は、xxxxxx@xxxxxxにご連絡ください。
24時間以内に返信がない場合は、xxxxxx@xxxxxxまでご連絡ください。
復号化にはビットコインで支払う必要があります。支払い前に最大5つのファイルを無料で復号化することができます。
ビットコインはLocalBitcoinsサイトで購入できます。
暗号化されたファイルの名前を変更しないでください。データが永久に失われる可能性があります。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。
このメモは、ファイルを復号化するために身代金の支払い (通常は何らかの暗号通貨で) を要求します。ただし、身代金を支払っても、ファイルが復号化されることが保証されるわけではないことに注意することが重要です。
暗号化されたファイルのタイトルが「任意のID+犯罪者のアドレス+.faust」に変わる
Faustランサムウェアは暗号化されたファイルに「アドレス+.faust拡張子」を追加します。
たとえば、「Apr2023.docx」というファイルは「Apr2023.docx.id[xxxxxx–xxxxxx].[xxxxxx@xxxxxx].faust 」として表示されます。なお、アドレスはサイバー犯罪者の電子メールアドレスであり、絶対に連絡してはいけません。
\サイバーセキュリティ専門家へ24時間365日で無料相談/
Phobosランサムウェアに感染するとどうなるのか
Phobosランサムウェアに感染すると次のような事態に発展することがあります。
- 「info.hta」「info.txt」というランサムノート(身代金要求画面)が表示される
- 拡張子が「. Phobos」「.eking」「.Devos」「.Caley」「.dewar」「.HORSEMONEY」などに変更される
- ファイアウォールやWindows のスタートアップ修復機能を無効化される
- データが漏えいする
- 二重恐喝される
- パスワードを盗まれる
- トロイの木馬やマルウェアがインストールされる可能性がある
「info.hta」「info.txt」というランサムノート(身代金要求画面)が表示される
感染したコンピュータの画面には、「info.hta」「info.txt」というランサムノートが表示され、身代金を支払うよう要求されます。なお、このランサムノートには、身代金の支払い方法や期限などが記載されています。
ただし、身代金の支払いは推奨されません。身代金を支払っても、ランサムウェアを解除できるとは限りません。また、身代金を支払うことで、攻撃者が将来の攻撃を実行する可能性が高まります。
拡張子が「. Phobos」「.eking」「.Devos」「.Caley」「.dewar」「.HORSEMONEY」などに変更される
Phobosランサムウェアは、感染したファイルの拡張子を変更します。これにより、ファイルが正常に開けなくなります。なお、代表的な拡張子として「. Phobos」「.eking」「.Devos」「.Caley」「.dewar」「.HORSEMONEY」などを挙げることができます。
ファイアウォールやWindowsのスタートアップ修復機能を無効化される
Phobosランサムウェアは、感染したシステムのセキュリティ対策を回避するために、ファイアウォールやWindowsのスタートアップ修復機能などを無効化します。これにより、感染の検出や削除が困難になります。
データが漏えいする
Phobosランサムウェアは、感染したシステムからデータを盗み出します。これにより、機密情報や個人情報が漏えいするリスクが生じます。
ランサムウェアで機密情報や個人情報が漏えいした場合、組織は個人情報保護法に違反したとして罰金を科せられる可能性があります。たとえば、個人情報保護法では「個人情報を取り扱う事業者に対して、個人情報の漏えいなどの事態が発生した場合、当該個人情報の本人に対して通知すること」を義務付けています。
しかし、この条項に違反し、措置命令を無視した場合、組織は最大で1億円の罰金を科せられる可能性があります。これにかぎらず、顧客が組織との取引を停止するなど、風評被害による経済的損失をともなう場合もあります。
二重恐喝される
Phobosランサムウェアに感染すると、被害者は二重の脅迫に直面する可能性があります。実際、脅迫状(ランサムノート)には「72時間以内に返信がない場合、データを競合他社およびダークネットの他のハッカーに売却する」という脅迫文が記載されています。
パスワードを盗まれる
phobosランサムウェアは、キーロガーなどの機能を利用して、ユーザーのパスワードやアカウント情報を盗み出すことがあります。これにより、オンラインアカウントが乗っ取られるリスクが生じます。
トロイの木馬やマルウェアがインストールされる可能性がある
phobosランサムウェアは、感染したシステムに他のマルウェアやトロイの木馬をインストールすることがあります。これにより、セキュリティの脅威が増加します。
これにかぎらず、ランサムウェアに感染すると、データの盗難、漏えい被害、マルウェア感染に遭う恐れが高いです。したがって、被害に遭った組織は感染経路や脆弱性の特定、および被害範囲の把握などが必要になります。
この際、有効なのがフォレンジック調査です。フォレンジック調査とは、コンピューターから証拠を収集・分析し、インシデントの詳細を解明する手法です。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された侵入経路や漏えいデータを迅速に特定します。ご相談や詳細な情報については、いつでもお気軽にお問い合わせください。
\法人様は相談から最短30分でWeb打ち合わせを開催/
phobosランサムウェアの感染経路とは
phobosランサムウェアに感染する原因としては次のものが挙げられます。
- 悪意のあるファイルを添付したフィッシングメール
- 不正なWebサイトや悪意ある広告にアクセスする
- RDP(リモートデスクトッププロトコル)への不正アクセス
悪意のあるファイルを添付したフィッシングメール
不正なマクロを含む電子メールの添付ファイルをクリックすると、ランサムウェアに感染する可能性があります。なお、添付ファイルには、一般的にはOfficeドキュメントやPDFが使用されます。不正なマクロを含む添付ファイルを開くと、マクロが実行されてランサムウェアがダウンロードされる恐れがあります。
不正なWebサイトや悪意ある広告にアクセスする
不正なWebサイトや悪意ある広告には、フィッシングサイトやポップアップ広告があり、これらにアクセスするとランサムウェアに感染する可能性があります。
たとえば「フィッシングサイト」は、本物のWebサイトに偽装され、ユーザーの個人情報やクレジットカード情報を盗むために使用されます。また「ポップアップ広告」は、ユーザーに不要な広告を表示するために使用され、不正なWebサイトに誘導したり、マルウェアをダウンロードさせたりすることもあります。
RDP(リモートデスクトッププロトコル)への不正アクセス
すでにRDPを悪用した攻撃は、企業にとって深刻な脅威であり、RDPの脆弱性を悪用した攻撃は、ランサムウェア攻撃の過半数を占めています。
特に安全でないパスワードを使うと、RDPの資格情報が盗まれ、ランサムウェアに感染する可能性があります。ちなみに安全でないパスワードには、「password」や「123456」などの一般的な単語や数字の組み合わせ、個人情報(名前、誕生日、住所など)、一般的な単語やフレーズが含まれます。
RDPの脆弱性を確認する場合、デジタル端末を解析する「フォレンジック調査」を行うことで、脆弱性の特定、被害範囲の把握、再発防止策の検討に役立ちます。
RDPの脆弱性については下記で詳しく解説しています。
phobosランサムウェア感染時の対応
phobosランサムウェア感染時、誤った対応を取ると、再感染やデータ漏えいなどのインシデントに遭遇する恐れがあります。
よって過不足のないフローで適切な対応を取りましょう。 phobosランサムウェアに感染した場合の対処法は次のとおりです。
- 端末をオフラインにする
- バックアップから感染前のデータを復旧する
- ランサムウェア感染調査に対応した専門業者を利用する
①端末をオフラインにする
まずは、ネットワークから感染した端末を切り離す必要があります。これにより感染が広がることを防ぐことができます。
②リストアする(バックアップから感染前のデータを復旧する)
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復することができます。
ただし、ランサムウェア感染時は、復旧だけではなく、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
③ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時は、感染経路を特定し、再発防止策を講じる必要があります。
特に「脆弱性」を悪用した攻撃を受けた場合、再度、攻撃を受けないよう、適切な対応を行うとともに、どの端末のどのデータが詐取されたのかを確認する必要があります。
法人の場合、個人情報の漏えいが疑われる際は、関係各所に向けた「被害報告」が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。
たとえば、セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできません。したがって、phobosランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計32,377件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
※2 累計ご相談件数32,377件を突破(期間:2016年9月1日~)
ランサムウェア感染時、感染経路調査を行うメリット
ランサムウェアに感染した場合、感染経路を調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
ランサムウェア感染の調査を行う方法として「フォレンジック調査」を挙げることができます。フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
①被害範囲の特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠の確保できる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
ランサムウェア感染による企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしphobosに感染した場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
phobosランサムウェアによる被害の調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
ランサムウェアの感染対策
ランサムウェアの感染対策として次のものが挙げられます。
多要素認証の導入
まずは多要素認証の導入が重要です。
ID管理や認証強化により、ユーザーが利用するデバイスやデータを認証してアクセス権を設定することで、ランサムウェアを防ぐことができます
EDR等の導入による不審な挙動の早期発見
次に、EDR等の導入により、ネットワーク内の不審な挙動を早期に発見することが重要です。ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバーとの間で不審な通信が発生する場合がありますが、これをEDRで早期に発見することで、感染拡大や外部からの侵入の範囲拡大を防ぐことができます。
VPN機器の脆弱性対策の実施
また、VPN機器の脆弱性対策の実施も重要です。VPNを利用する場合には、セキュリティパッチの適用やアクセス制限の設定などを行うことで、攻撃者によるVPNの脆弱性をついた攻撃を防ぐことができます。
データのバックアップ
最後に、データのバックアップも欠かせません。ランサムウェアに感染すると、企業内のネットワークに接続された端末内のデータが暗号化されて使えなくなることがあります。このため、定期的にバックアップを行うことで、ランサムウェアの被害を最小限に抑えることができます。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
