お問い合わせ
Qbot(Qakbot)に感染した場合、アカウント情報やメールが流出する恐れがあります。この際、被害実態や感染経路など調査し、個人情報保護委員会に報告する義務が発生します。
この記事では、Qbotの手口や構造を説明するとともに、Qbotの感染有無の確認方法・被害実態の調査方法を詳細に解説します。感染時もあわてず、適切な対応を心がけましょう。
目次
Qbot(Qakbot)とは
Qbot(またはQakbot)は、2007年に発見されたトロイの木馬です。発見以来、進化し続けながら世界中で広く利用されてきました。このマルウェアは、主に金融機関や企業を標的としており、個人情報や金融情報を盗むことを目的としています。
その特徴は次のとおりです。
- 情報詐取に特化したマルウェア
- ボットネットとしても動作する
- Black Bastaランサムウェアを媒介する
情報詐取に特化したマルウェア
Qbotは、情報詐取に特化したマルウェアです。たとえばQbotに感染したコンピュータは、キー入力したログ情報からパスワードを詐取し、金融詐欺やアカウント乗っ取り、個人情報の流出など、さまざまな悪意ある目的に利用される可能性があります。
ボットネットとしても動作する
Qbotは、ボットネットとしても動作し、詐取した情報は、悪意あるリモートサーバーに送信することで感染を拡大させます。
よって感染時は早期に対処し、マルウェアの駆除と被害の解明に努める必要があります。たとえばネットワーク監視ツールやパケットキャプチャツールを使用し、不審な通信を検出することで、リモートサーバーの特定や詳細なデータの漏えいを特定することができます。
しかし、Qbotは高度な暗号化技術を用いて感染を隠蔽するため、自力での調査は困難な場合があります。この際、信頼できるサイバーセキュリティの専門家の支援を受けることを強くおすすめします。
専門家は解析調査の専門知識と経験を保有しており、感染経路の特定や被害の範囲評価、リモートサーバーの特定などの調査を効果的に行うことができます。
\サイバーセキュリティの専門家へ24時間365日で無料相談/
Black Bastaランサムウェアを媒介する
Qbotは、WindowsとLinuxの脆弱性を悪用してシステムに侵入する、新種のランサムウェア「Black Basta」を媒介することにより再注目されています。Black Bastaは、WindowsやLinuxに感染するランサムウェアで、2023年以降、感染が拡大しています。
このため、Qbotによる感染が疑われた場合、サイバー攻撃やランサムウェア攻撃が開始される前兆となる可能性があるため、早急な駆除と被害調査をおこなう必要があります。
Qbot(Qakbot)の感染経路
QakBot(Qbot)は、フィッシングメールや不正なサイト、悪意あるファイルのダウンロードなどを通じて感染します(Excelファイルのマクロ機能を悪用する点など、Emotetとの類似点もあります)。
QakBotに感染しないためには、不審なメールや添付ファイルを開かず、信頼できるセキュリティソフトウェアを利用することが重要です。また、セキュリティ対策を強化するために、パッチやアップデートを定期的に適用することも必要です。
QakBot感染が発覚した場合、二次感染が疑われるため、被害を最小限に抑えるために速やかな対応が求められます。この際、端末を解析する「フォレンジック」が有効です。
フォレンジック調査により「感染経路や二次感染の特定」「盗まれた情報の詳細な把握」「悪用された脆弱性の解明」「再発防止策の検討」などが可能になります。
ランサムウェアの感染経路、症状・被害事例については下記の記事でも詳しく解説しています。
\法人様は現地駆けつけ対応も可能/
Qbot(Qakbot)感染時に起きること
Qbot(Qakbot)は、銀行アカウント情報や個人情報などの機密情報を収集するために設計されたトロイの木馬です。
感染すると、以下のようなことが起こる可能性があります。
①パスワードが盗まれる
Qbot(Qakbot)に感染すると、個人情報や銀行口座情報、パスワードなどの機密情報が盗まれる可能性があります。そのため、金銭的な被害を受けることがあります。
Qbot(Qakbot)の機能としては次のものを挙げることができます。
- キーストロークの監視
Qbotはキーストローク(キーボード操作)を監視し、入力された情報を記録し、攻撃者の制御下にあるシステムに送信することができます。 - ブラウザの自動入力機能を悪用
Qbotは、ブラウザの自動入力機能を使用して、ブラウザパスワードキャッシュからパスワードを盗み出すことができます。
②新種ランサムウェア「Black Basta」に感染する
ランサムウェアとは、悪意のあるソフトウェアで、機器やシステム上のファイルやデータを暗号化して身代金を要求するサイバー攻撃です。感染すると、ネットワーク内で広がって複数のシステムに感染し、業務停止に陥ることもあります。
2022年以降、ランサムウェア集団「Black Basta」が、攻撃をおこなう際、「QBot (Qakbot)」を利用していると宣言し、これによりQBot (Qakbot)は、ランサムウェア感染の結節点として、まずます悪名が高まっています。国内でも富士フィルムがこのランサムウェアの攻撃をQbot経由で受けたことが明らかになっています。
悪名高い二重脅迫型(詐取+暴露)ランサムウェア
このランサムウェアは、1回の攻撃で2度の利益を得る「二重脅迫型」で、データを詐取+リークサイトに暴露することが特徴です。感染すると暗号化されたファイルに「.basta」という拡張子が付加されます。
しかし、身代金を払ってもデータが戻ってくる保証はなく、身代金を払ってしまうと「反社会的組織に資金を提供した」として信用を失う恐れがあります。遭遇した場合は、二重恐喝に従わず、法的問題を専門家と協議しながら、適切な対応をとるようにしましょう。
\サイバーセキュリティ専門家へ24時間365日無料相談/
Qbot(Qakbot)感染時の対応方法
Qbot(Qakbot)感染時、誤った対応を取ると、下記の図のように、再感染やデータ漏えいなどのインシデントに遭遇する恐れがあります。
よってQbot(Qakbot)に感染した場合は、以下の手順を実行することをお勧めします。
- システムを隔離する
- セキュリティソフトウェアを実行する
- パスワードのリセット
上記対応を実行することで、Qbot(Qakbot)の被害を最小限に抑えることができます。
ランサムウェア感染時の適切な初動対応は下記の記事でも詳しく解説しています。
システムを隔離する
Qbotはネットワーク内の他のコンピュータに感染を広げることがあるため、感染したことが発覚した、もしくは疑われる時点で、感染した端末をすぐに隔離することが重要です。
セキュリティソフトウェアを実行する
Qbotはキーの操作を監視する、高度な情報盗難の機能を持っています。Qbotに感染している可能性がある場合は、信頼できるセキュリティソフトウェアを使用してシステムをスキャンし、削除する必要があります。
パスワードのリセット
Qbotは、キーの操作を監視し、ブラウザのパスワードを盗むことができます。そのため、Qbotに感染した場合は、すべてのパスワードをリセットする必要があります。
Qbot(Qakbot)の感染有無を確認する方法
Qbot(Qakbot)の感染有無を確認する方法は、次の通りです。
- 最新のセキュリティソフトを利用する
- マルウェア感染調査に対応した専門業者を利用する
最新のセキュリティソフトを利用する
まず、Windowsセキュリティによって提供されるウイルス対策ソフトウェア「Windows Defender」を利用することをおすすめします。
Windows DefenderでQbotの感染を確認する手順は以下の通りです。
- Windows Defenderを起動します。
- デスクトップにあるWindows Defenderのアイコンをクリックするか、スタートメニューからWindows Securityを検索して起動します。
- Windows Defenderのウイルスと脅威の保護画面に移動し、[スキャンオプション]をクリックします。
- [Windows Defender Offline Scan]を選択して、スキャンを実行します。
- スキャンが完了すると、検出された脅威が一覧表示されます。
- Qbotが検出された場合は、この画面で確認できます。
- 検出された場合は、[クリーンアップ]をクリックして、ウイルスを削除します。
なお、Windows 11を利用している場合は、[スタート] > [設定] > [更新とセキュリティ] > [Windowsセキュリティ]を選択し、最新のアップデートが適用されていることを確認してください。
マルウェア感染調査に対応した専門業者を利用する
セキュリティツールはマルウェアの存在を検知・駆除こそできますが、インシデント調査には専門業者に依頼する必要があります。
特に法人の場合、個人情報漏えいが確認された場合は被害報告が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。この点、専門業者ではフォレンジック技術を使用して、感染経路や情報漏えいの有無などを適切に調査することが可能です。
感染時のフォレンジック調査を行うメリットは、主に次の2つがあります。
①専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
②セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
\フォレンジック調査の専門家へ24時間365日無料相談/
マルウェア感染による情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしQbotに感染した場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
フォレンジック調査の詳細については下記の記事でも詳しく解説しています。
\相談から最短30分でWeb打ち合わせを開催/
Qbot(Qakbot)調査・対策を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
Qbot(Qakbot)調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
Qbot(Qakbot)調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
まとめ
Qbot(Qakbot)を駆除しても、感染経路や漏えいデータを特定しなければ、被害の全容を把握できません。再発防止のためには調査が必要です。マルウェア感染を防ぐ基本的な対策方法を周知し、感染した場合の対処法を事前に整理しておくことが大切です。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
