お問い合わせ
Cl0pランサムウェアは、2019年以降に初めて発見され、2025年時点で流行しているランサムウェアの1つです。
近年のCl0pランサムウェアは、ファイルを暗号化しないことがある点で、一般的なランサムウェアと異なります。しかしネットワーク侵入時などに情報を抜き取り、攻撃者グループが運営するリークサイト上で公開する代わりに身代金を要求する点は、他のランサムウェアと共通します。
この記事では、Cl0pランサムウェアの特徴と、被害に遭った場合の対処法などを解説します。
目次
Cl0pランサムウェアとは
Cl0p(Clop)ランサムウェアは、2019年2月に初めて確認されたマルウェアであり、CryptoMixランサムウェアの亜種とされています。ロシアを拠点とする脅威グループが開発したと考えられており、現在は「Ransomware-as-a-Service(RaaS)」モデルで提供されています。
このRaaSモデルにより、Cl0pは特定の1グループに限らず、複数の犯罪組織が利用しています。代表的な利用グループには、TA505(GOLD TAHOE)、FIN7(GOLD NIAGARA)、FIN11(RACE TEMPEST)などが含まれます。
Cl0pは医療、金融、保険、エネルギー、教育、製造など、多様な業種を標的としており、特に北米での被害が目立っています。2025年の第1四半期には、Cl0pによる被害報告件数が392件に達し、ランサムウェアグループの中で最も多くの攻撃を記録しました。被害企業の33%は消費財・サービス業であり、サプライチェーンを狙った戦略的な攻撃が強まっています。
出典:Medium
出典:PR TIMES
Cl0pランサムウェアの特徴
Cl0pランサムウェアには、以下のような特徴が確認されています。
リークサイト「CL0P^_-LEAKS」による情報公開の脅迫
Cl0pに感染すると、ファイルの拡張子が「.Clop」「.Cllp」「.C_L_O_P」などに変更され、アクセスできなくなります。同時に「ClopReadMe.txt」と呼ばれる身代金要求メモが作成されます。
身代金要求メモでは、専用のリークサイト「CL0P^_-LEAKS」で情報を公開しない代わりに金銭を支払うよう脅す内容が記載されています。これは「二重脅迫(二重恐喝)」と呼ばれる手法です。
2021年以降、Cl0pの攻撃ではファイルの暗号化を行わず、企業内部の情報を盗み出し、それを公開すると脅して金銭を要求する事例が増えています。2023年には「CVE-2023-0669」などの脆弱性を突いた情報窃取型の攻撃が多数報告されました。
出典:PCrisk
出典:CISA
Cl0pランサムウェアは攻撃者グループ「Cl0p」の攻撃手段の1つ
Cl0pはランサムウェアの名称であると同時に、それを使用する攻撃者グループの呼称でもあります。以下に、Cl0pグループによる主な攻撃事例を示します。
- 2019年:活動開始。CryptoMixランサムウェアの亜種を使用して初めて企業を標的とする 。
- 2020年:Accellion FTA(ファイル転送プライアアンス)のゼロデイ脆弱性を悪用したサプライチェーン攻撃を実施。
- 2021年:SolarWinds Serv-U FTPソフトウェアのゼロデイ脆弱性を悪用した攻撃を実施する
- 2023年:GoAnywhere MFTプラットフォームやMOVEit Transfer プラットフォームの脆弱性が悪用され、延べ約2,700社以上の企業が被害を受ける
- 2024年:Cleo製ファイル転送ソフトのゼロデイ脆弱性を悪用
近年のCl0pは、暗号化を行わず情報を盗み出し、その情報を盾に身代金を要求する「非暗号型ランサムウェア」への移行が進んでいます。
出典:CISA
ファイルが暗号化されていない場合でも、身代金を要求するメモが届いた際は、Cl0pランサムウェアやゼロデイ脆弱性を突いた不正アクセスを受けた可能性があります。特に、攻撃者によって機密情報が窃取された場合は、被害の範囲や侵入経路を正確に把握する必要があります。
このような状況では、フォレンジック調査の実施が効果的です。フォレンジック調査は、コンピューターやネットワーク上に残されたログや証拠データを収集・分析し、インシデントの原因や侵入経路、被害の広がりを明らかにする専門的な手法です。
年間収益が500万ドル以上の組織を目標にしている
Clopは金銭を目的としたランサムウェアグループであり、これまでに数億ドル規模の身代金を受け取ったと報告されています。標的とするのは、一般的な中小企業ではなく、年間収益が500万ドルを超える大規模な組織です。
出典:Medium
ランサムウェアに感染した場合は、身代金を安易に支払わず、サイバーセキュリティの専門家へ相談することが望ましいです。専門家の支援を受けることで、被害状況の調査や再発防止に向けた対策、法的対応まで、状況に応じた適切な対応を進めることができます。
Cl0pランサムウェアの感染経路
Cl0pランサムウェアは、活動時期によって感染手口を変化させていますが、主に以下の経路が確認されています。
フィッシングメール
Cl0pと関係がある攻撃グループは、メールに添付されたファイルやリンクを用いて、受信者にマルウェアを実行させる攻撃を行っています。2019年には、マクロ付きのOffice文書を使い、金融情報を窃取する「Dridex」マルウェアを起動させた事例が複数報告されました。
この攻撃では、初期感染後にCobalt Strikeが展開され、権限を奪取された後、Cl0pランサムウェアによる暗号化と脅迫が行われたとされています。
出典:CISA
ファイル転送ソフトのゼロデイ脆弱性
Cl0pは、ファイル転送ソフトウェアに存在する未修正の脆弱性を突いた攻撃で広く知られています。実際に悪用された製品と脆弱性は以下のとおりです。
- MOVEit Transfer:CVE-2023-34362
- Cleo Harmony / VLTrader / LexiCom:CVE-2024-50623、CVE-2024-55956
MOVEitの脆弱性では、SQLインジェクションを利用して管理者権限を奪取し、外部からファイル操作やコマンド実行が可能となっていました。Cl0pはこの手法により、多数の企業システムへ侵入したと報告されています。
Cleo製品に関しては、認証なしでファイルのアップロード・ダウンロードができる不備や、任意のファイルを書き込める脆弱性が確認されています。これらの脆弱性については、CISAなどの機関により、Cl0pによって実際に悪用されたと公表されています。
Cl0pランサムウェアの感染時の対応
ランサムウェアに感染した場合は、以下のフローで被害を最小限に抑える必要があります。
感染時は慌てずに、過不足のないフローで適切な対応を取りましょう。 ランサムウェアに感染した場合の対応は次のとおりです。
端末をオフラインにする
まずは、ネットワークから感染した端末を切り離す必要があります。これにより感染が広がることを防ぐことができます。
リストアする(バックアップから感染前のデータを復旧する)
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復することができます。
ただし、ランサムウェア感染時は、復旧だけではなく、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時は、感染経路を特定し、再発防止策を講じる必要があります。
たとえば「脆弱性」を悪用した攻撃を受けた場合、再攻撃を受けないよう、適切な対応を行うとともに、どの端末の、どのデータが被害に遭ったのかを確認する必要があります。
特に法人の場合、個人情報の漏えいが疑われる際は、関係各所に向けた「被害報告」が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできないからです。
したがって、ランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計39,451件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
ランサムウェア感染時、感染経路調査を行うメリット
ランサムウェアに感染した場合、感染経路を調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
ランサムウェア感染の調査を行う方法として「フォレンジック調査」を挙げることができます。フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
- 被害範囲を特定できる
- 感染経路や攻撃手法の解析・証拠が確保できる
- 専門エンジニアの詳細な調査結果が得られる
- セキュリティの脆弱性を発見し、再発を防止できる
①被害範囲を特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠が確保できる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
Cl0pランサムウェアによる被害の調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
\法人様 最短30分でお打合せ可能です/
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
