サイバー攻撃

Makopランサムウェアとは?その特徴と感染時の対応方法/調査方法を解説

Makopランサムウェアとは?その特徴と感染時の対応方法/調査方法を解説

Makopとは、トロイの木馬型のランサムウェア(身代金を要求するマルウェア)であり、2021年から国内外で被害が報告されています。この記事では、Makopランサムウェアについて、その特徴や感染事例、対処方法を解説します。

Makopランサムウェアの特徴

Makopランサムウェアによるデータの暗号化には、強力な暗号化アルゴリズムが使用されており、画像や動画、音楽、ドキュメント、PDFなど、ほぼすべてのファイルが暗号化の対象となっています。Makopランサムウェアには次の特徴があります。

感染経路はメールの添付ファイル

Makopランサムウェアの感染経路は、主に電子メールの添付ファイルです。主にExcelなどofficeファイルが使われており、クリックすると自動でファイルを展開するマクロ機能が悪用され、瞬時に感染してしまいます。

また、Makopランサムウェアには、ユーザーの興味を惹く件名が付けられており、たとえば「エントリーシートを装ったファイルに、Makopが仕込まれていた」など企業の採用担当者を標的にしたケースも報告されています。

ファイルの拡張子が「.makop」「.pecunia」に変更される

ファイル名や拡張子は「~[メール@アドレス].makop(もしくは.pecunia)」というものに変更されます。変更された拡張子は元に戻すことは出来ず、データは暗号化されたままとなっています。

ランサムノート(FAQメッセージ)が表示される

Makopランサムウェアに感染すると身代金をビットコインで要求するランサムノート(FAQメッセージ)がデスクトップに表示されます。

MakopランサムウェアのFAQメッセージMakopランサムウェアのFAQメッセージ

またMakopランサムウェアのランサムノートには、次のようなFAQが記載されています。

Q:あなたのような悪い人にお金を払いたくないのですが?

A:もしあなたが私たちのビジネスに協力しないのであれば、私たちにとってはまったく問題ありません。もちろん、あなたは時間とデータを失うことになります。ただし、私たちだけが暗号化を解除する秘密鍵を持っているのです。

このランサムノートには身代金の額が具体的に記載されていません。なぜなら支払うタイミングにより、要求される金額が数十万から数百万と大きく変動するからです。

また、身代金を支払ったとしても、反社会勢力の増長につながる恐れもあるため、身代金を支払うのは極力回避しましょう。ちなみに身代金を支払った組織の8割が再び攻撃を受けたという報告もあり、相手の要求を鵜呑みにするとサイバー攻撃が悪化する恐れがあります。

2.Makopランサムウェア感染時の対応方法

ネットワークから切り離す/パスワードを変更する

ランサムウェアに感染した場合、まず行うことは、端末をネットワークから切り離すことです。ランサムウェアは一つの端末だけでなく、ネットワークに接続している全ての端末を暗号化することもあり、最悪の場合、企業が稼働停止に追い込まれることもあります。

次に、感染が疑われるデバイスで使用していたメールアドレスやパスワードを変更しましょう。メールアドレスやパスワード悪用される可能性があるからです

また、メールアドレスやパスワードの変更は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイスからメールアドレスやパスワードを変更したとしても、新たなメールアドレスやパスワードの情報が攻撃者に盗まれ、再び悪用されてしまいます。

バックアップを確認する/初期化する

ファイルの回復を実現するには、独自に作成したバックアップファイルを試すことをお勧めします。

独自に作成したバックアップファイルがある場合は、暗号化された端末を初期化後、その端末にバックアップデータを反映させることで、感染前の状態まで戻ることが出来ます。

ただし「ネットワーク上の仮想的なバックアップが暗号化されていた」「古いバックアップで、データが消えてしまう」という場合、データが完全に失われる恐れがあるため、この解決方法は推奨できません。

専門業者に感染経路調査や復号を依頼する

もし上記の方法でも対応できない場合、感染経路調査やデータの復号を専門に行っている業者まで相談しましょう。個人では対応できない領域まで作業することが出来ます。

なお、相談・見積りまで無料で対応している業者もあります。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

Makopランサムウェアに感染した場合の調査方法

社内でMakopランサムウェアに感染した場合は、情報漏えいや感染経路など被害状況の調査、ならびに暗号化されたデータの復号を行うことが適切な初動対応となります。

しかし、調査の過程で、社内のシステム担当者がむやみに操作したり、あるいは端末を独断で初期化すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。

被害調査を最も安全かつ適切な手段で行うには「フォレンジック専門業者」に相談・依頼する必要があります。「フォレンジック調査」とは、デジタル機器から法的証拠に関わる情報を抽出する手法であり、ランサムウェアを用いたサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。

フォレンジック調査会社への相談方法

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

フォレンジック調査の流れ

社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、今後のプロセス整理のためにもまずは実績のある専門会社へ相談することを推奨しています。

特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、ケースによってはデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

\24時間365日 相談受付/

ランサムウェアに感染した場合はDDFへ

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法定資料としても活用できる報告書の作成も承っております。

 

共通CTA