お問い合わせ
お見積もり無料・年中無休 まずはご相談ください
フォレンジック調査のDDFトップ
> 【ランサムウェア】感染経路や被害状況の調査
>
このようなご状況の方は、
至急ご相談ください。
- 身代金の請求画面が
表示された 
- ファイルの拡張子が
変わっている 
- ダークウェブに
企業情報が漏洩している 
- 突然プリンターから大量
の脅迫文が印刷された 
-
ファイルの拡張子が以下のように
変更されていませんか? - .akira / .MEDUSA / .Clop / .9a311a(ランダムに並んだ英数字) / .OnHnnBvUej(ランダムに並んだ英字) / .LYNX / .bzeakde / .8base / .basta / .blackcat / .lockbit / .dharma / .java / .phobos / .deimos / .epic / .djvu / .ryuk / .conti / .hive / .revil
-
作成した覚えのない
こんなファイルが増えていませんか? - ClopReadMe.txt / readme.txt / !!!README_MEDUSA!!!.txt / akira_readme.txt / README_README.txt / README_9a311a.txt / OnHnnBvUej-RECOVER-README.txt / GET IT BACK-bzeakde-FILES.txt / read_it.txt
このような状況に当てはまる場合は、
ランサムウェア感染の
疑いが極めて高いです。
「バックアップも暗号化された」「他の端末にも感染が拡がってしまった」という場合でもお任せください。
まずは無料のWeb打合せで状況の確認から適切なプランをご提案いたします。
ランサムウェア感染は
時間が経過するほど被害が拡大
データ暗号化前でも既に
攻撃者に侵入されているかもしれません。
ランサムウェア攻撃手順と被害リスク
今すぐランサムウェア被害拡大を食い止めましょう
安全な事業継続のためには、
初動対応スピードが最重要です
ランサムウェア感染後の対応の流れ(一例)
RISKランサムウェア感染による会社へのリスク
ランサムウェアは会社の業務を停止させ
倒産の危機に追い込むサイバー攻撃です。
ランサムウェアは「データ消失」や「業務停止」だけでなく、盗んだ情報の転売・公開により企業に
深刻な二次被害を与えることもあります。大手企業でも被害が後を絶たず、サービス停止や個人情報流出、
さらに身代金支払いが発覚すれば批判が殺到し、株価暴落や経営危機に直結する恐れも…
たった一度のランサムウェア感染で、企業の信頼やブランド価値を一瞬で失うリスクを伴うのです。
CASE 1
企業倒産の危機にさらされる
ランサムウェア感染時、稼働停止により業績に大きな影響を与え、最悪のケースでは会社が倒産することも珍しくありません。当社が調査を実施した企業の中には推定被害額が5億円以上に及ぶケースもあります。適切な対応を行わないと、純粋な業績の悪化だけでなく、取引先からの取引停止や風評被害も免れません。
ランサムウェアに感染し、情報漏えいが疑われる中何も行動しないでいると、取引先や顧客から、あなた自身の責任も追及される可能性すらあるのです。自社で「対応したつもり」ではなく、専門家へ相談し迅速な対応が必要です。
CASE 2
原因究明を怠り、何度も再感染する
ランサムウェアに感染した企業では、現場稼働の復旧を優先し、原因調査を実施しないケースがあります。しかし、このような企業では、感染原因を突き止め手を打たないために再びランサムウェアに感染してしまい、被害が拡大してしまうケースが多く存在します。
実際に当社が調査を行った企業でも、原因調査を検討している間に全く同じ侵入経路での攻撃に遭い、2度目の感染をしてしまい、複数台のサーバーがランサムウェアに感染した事例がございます。
CASE 3
ダークウェブやリスト屋へ情報が転売される
窃取した情報を最もスピーディーに現金化できる手法です。
ランサムウェア感染時に攻撃者に窃取された企業の機密情報や取引情報は、ダークウェブと呼ばれる場所でリスト屋や他の攻撃者に転売されています。私たちのお客様のなかにもランサムウェアのサイバー攻撃者によって顧客データを何万件も盗まれた…といった事例がございます。
国内企業における
ランサムウェア被害の平均値データ
ランサムウェア被害を経験した法人の 平均累計被害額
約2億2,000万円
ランサムウェア攻撃による 平均業務停止期間
約10.2日
ランサムウェア攻撃による 平均復旧期間(完全復旧まで)
約29日
2024年調査(従業員500名以上の法人対象)
(出典:トレンドマイクロ「セキュリティ成熟度と被害の実態調査 2024」)
CASEDDFに寄せられたランサムウェア感染相談事例
日本全国、さまざまな業種が
ランサムウェアによる多大な被害を受けています。
製造業
製造業
卸売業
教育機関
情報
サービス業
専門
サービス業
ご相談内容
年末、人が手薄になるタイミングを狙われランサムウェアに感染。「Lockbit Black Ransomware」名で社内プリンタに対して脅迫文の様なものが大量にプリントされ、サーバ群が全て暗号化された。復旧最優先として一週間前のバックアップデータを復元して業務再開したが、3週間後に「ダークウェブ上にサーバから抜き取られた情報の一部が公開されている」と警察から連絡があり、感染経路や窃取された情報の調査が必要な状況に。感染当時の状態で保全できている情報が限られている中での調査をご希望。
DDFの対応
同一ネットワーク内の端末200台弱を対象に不審なログイン履歴が特に多い端末を絞り込み、感染の可能性の高い端末を特定。PC2台に対して調査を実施した結果、全てのパスワードが弱くVPN経由で侵入されていたことが判明した。最大2ヶ月以上前から攻撃準備を行っていたとみられ、段階的に権限を奪取したのち管理アカウントにて暗号化を実行されていた。また、攻撃者が自身と共有した可能性が高いフォルダも特定し、窃取された可能性の高い情報も明らかとなった。端末内にランサムウェア本体の現存も確認されたため、早急な初期化を推奨。
ご相談内容
業務開始9時頃「サーバに入れない」と従業員から報告があり、セキュリティベンダーに相談。データが暗号化されていることからランサムウェア「LockBit3.0」感染とみられ、セキュリティ製品設置時の人的ミスが原因の可能性があるということで、当社にご相談。実は、2年半前にも当社で不正アクセスの被害調査を行っており、その後セキュリティ強化を図ったはずが、今回はランサムウェアに感染。事実確認も含めて調査したいとご相談。
DDFの対応
ネットワーク内で使用している端末200台強に対して被害範囲の調査を行った結果、攻撃が行われた端末においてインシデント知覚約5時間前から攻撃開始されていたことが判明した。さらにサーバー4台に対し詳しい調査を行ったところ、ネットワークや認証情報の脆弱性が複数確認された。また、調査の目的の1つであったセキュリティ製品設置時の人的ミスが原因の脆弱性の悪用についても確認でき、侵害・横展開の痕跡があることから、ヒューマンエラーによる脆弱性を悪用し攻撃されたことが発覚した。
ご相談内容
突然基幹システムが利用できなくなり、ベンダーに調査をしてもらったところ拡張子が変わっており、ランサムウェア「8Base」に感染していることが判明した。ロールバックから復旧し、感染翌日に業務は再開できたが、感染から2日後に警察より8Baseのリークサイトに情報が公開されていると連絡があった。警察でも解析を進めているが外部調査会社にも相談するようにと勧められた。被害の公表やマスコミ対応含め、企業としてどのように対応を進めればいいか分からず助けてほしいとのご相談。
DDFの対応
侵入経路についての調査で、VPNアカウントからのネットワーク侵入を確認。推測可能な脆弱なパスワードを利用していたことで悪用された可能性が高い点、自社運用サーバーのOSがサポート終了しており、サーバへの侵害が比較的容易だったと推測される点など詳細な調査結果をご報告。加えて、ロシアのサーバーへ暗号化されていない古い方式でファイル通信を行った痕跡があり、重要な情報が外部に流出した可能性が高い点についてもご報告。これらの結果をもとに、ホームページでの報告にお役立ていただいた。また、セキュリティ強化のためD-SOC(SIEM SOCサービス)を導入し、再発防止のサポートまで当社で一気通貫でご対応した。
ご相談内容
月曜の朝にランサムウェア「MalloX」に感染したことが判明。15時頃ベンダーに確認してもらったところファイルサーバー・教務システムサーバー・ADサーバーの3台と教職員のPC複数台が暗号化している事を確認した。
授業に支障が出ているため一刻も早く復旧したいとご相談。
DDFの対応
詳細な攻撃活動に関する調査を実施した結果、感染発覚のおよそ1か月半前の履歴よりネットワーク内部への侵入・Windowsの認証情報を窃取するハッキングツール使用といった、攻撃者による事前偵察と思われる痕跡を確認。また、感染発覚前日にVPN経由でリモートデスクトップを通じた侵入があり、ランサムウェアを含む不審なファイルが実行された事実が判明した。 ダークウェブ上での情報漏えいの有無についても調査を実施し、調査時点で漏えいは確認されなかった点をご報告。本件に関する詳細な調査結果を調査報告書として納品するとともに今後のセキュリティ対策に関する推奨事項を提示し、再発防止までトータルサポートを行った。
ご相談内容
年始の業務開始前に社内サーバーに繋がらない事に気づき、社内調査を行ったところファイルの拡張子が見覚えのない文字列に変更されており、脅迫文を発見した。顧客から情報漏えいについての速報や中間報告が欲しいと言われており、「データが本当に外部に流出したのか」「被害にあっていないPCが本当に安全か」を確認したいとご相談
DDFの対応
侵入経路に関する調査を実施し、VPNのファームウェアを2年間更新しておらずライセンスが切れたまま使用していたことで、VPNの脆弱性を悪用して侵入していたことが判明。具体的な攻撃活動についてさらに詳細に調査し、攻撃者が実行された不審なファイルを削除し痕跡を隠ぺいしていたことも明らかになった。被害範囲については調査対象端末から他の機器への横展開の痕跡は確認されておらず、詳細な調査結果と再発防止のための推奨事項を調査報告書としてご納品した。また暗号化されたファイルと暗号化されていないファイルを仕分け、安全に使用できる状態でご納品し、業務復旧まで支援した。
ご相談内容
システム担当者が前日のサーバー履歴から見覚えのないファイル書き換え履歴を発見し、すぐネットワークを遮断。PC・サーバーが暗号化されたため翌日から復旧作業に入り、概ねバックアップから復旧できた。しかし、感染発覚から2日後に警察から「ランサムウェアに感染している可能性がある」と連絡があり、さらに数日後には犯人と思われる外国人より電話で複数回の脅迫を受けた。弁護士相談・個人情報保護委員会へ報告したうえでベンダーへ相談したものの、対応スピードに懸念があり当社へご相談。情報漏えいの事実確認した上で外部への報告ができるような調査、事後対応まで一気通貫サポートをご希望。
DDFの対応
サーバーのログ調査を行いロシア宛の暗号化されていない古い方式のファイル通信を確認。メール経由のフィッシングなどを起点としたマルウェア感染を経て、当該通信が攻撃者の侵入経路となったと考えられる。さらに調査対象端末に対して外部からの接続リモートデスクトップ接続が確認できており、当該端末が踏み台として利用され内部ネットワーク内で収集された認証情報を元に、他のサーバーへ不正アクセスが行われたことで感染が拡大したと推定。ランサムウェア実行直前には不審な外部通信が増加しており、情報流出が発生していた可能性が高く、時間差でリークサイトへ情報公開されるケースもあるため定期的なダークウェブ調査を行い、万が一の対応まで支援した。
「ハッカーを名乗る外国人から会社に電話がかかってくる」
「窃取したデータをSNSに公開し、脅迫してくる」など過激な手口のご相談も増加しています。
緊急事態に対応し、
少しでも多くの企業様を支援するため
DDFは24時間365日稼働しています。
緊急事態に直面したら、迷わずDDFへ。
“今すぐ助けて”に応えます。
- 安全に復旧して、一刻も早く止まった業務を再開したい
- 速やかに感染範囲を特定して封じ込めたい
- どの情報が漏えいしたのか・ダークウェブやリークサイトに公開されているのか調べたい
- 個人情報保護委員会への報告や顧客取引先への通知など、必要な対応がわからない
- ランサムウェア攻撃に悪用された脆弱性を特定し、二次被害を防ぎたい
ご提案できるサービス項目の例
攻撃者の
侵入経路の調査
感染被害範囲の
特定
情報漏えいの
有無を確認
攻撃者の
行動履歴確認
個人情報保護委員会
への報告アドバイス
調査報告書の
作成
データ復旧
新たな環境構築
脆弱性診断
SIEM SOC導入
DDFは初動対応から調査・復旧・再発防止まで
一気通貫でサポートします。
まず何から対応すべきか分からない状態でも、
状況の整理から優先対応の判断まで
すべてDDFにお任せください。
IPAの「情報セキュリティサービス基準連合サービスリスト」登録。
経済産業省の定める情報セキュリティサービス基準に適合したサービスとして認められています。
JNSA(日本ネットワークセキュリティ協会)所属企業です。
お見積もり無料・年中無休 まずはご相談ください
「もしかして、ランサムウェア感染してる?」
そんな時のランサムウェア感染診断チャート
このチャートは、ランサムウェア感染の可能性を診断する際の参考にするためのものです。
感染が確実な場合は、電源を切ったうえで電源ケーブルを抜き、速やかに専門機関へ連絡してください。
お見積もり無料・年中無休 まずはご相談ください
調査を行わず、復旧のみを優先した場合、
こんなリスクがあります。
- ランサムウェア再感染
- 後日リークサイトで企業情報が公開される
- 原因不明・対策未実施の場合、取引先との信頼失墜
- 保険金請求が通らない
フォレンジック調査は再発防止・
社内報告・法的説明・保険請求
すべての土台となります。
被害を最小限に食い止め、安全に事業継続するために
迅速な初動対応・復旧(立て直し)・再発防止を
ワンストップで対応します。
各種ランサムウェアにご対応いたします
- AKIRA
- Medusa
- Clop
- RansomHub
- Qilin
- Lynx
ここに記載のない種類のランサムウェアでも対応します。
まずは状況整理と適切な対処を知ることから始めましょう。
24時間365日ご相談お見積り無料
お見積もり無料・年中無休 まずはご相談ください
FEATURE選ばれる理由
累積ご相談件数
39,451件以上の実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
利用しやすい料金設定 相談・見積無料
外注により費用が高くなりやすい他社様と異なり、当社では自社内のラボで調査するため、業界水準よりも安価に調査サービスを提供しております。初動対応のご相談・お見積は無料で実施。はじめてのご利用でも安心してお任せください。
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※4)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※4)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
国際空港レベルのセキュリティ体制
官公庁や警察などの機密性の高い情報を取り扱うため、第三者機関の警備やセキュリティゲート、監視カメラを配置し、情報の管理を行っています。世界基準のセキュリティ規格であるISO、Pマークを取得。万全のセキュリティ体制を構築しています。
全国各地の捜査機関より、
ご依頼いただいております。
北海道から沖縄まで、全国各地の警察・捜査機関の方よりご相談いただいております。
平塚警察署
大阪府東淀川警察署
埼玉県岩槻警察署
厚生労働省麻薬取締課
神奈川県警
京都府警
神奈川県警暴力団対策課
群馬県伊勢崎警察署
川崎警察署
お見積もり無料・年中無休 まずはご相談ください
FAQ
よくある質問
- 土日祝も対応してもらえますか?
- まず調査可能かを知りたいのですが、相談にお金はかかりますか?
- 機器を持ち出すことができません。出張での調査は可能ですか?
- もちろん可能です。むしろ事実解明のためには、当社の担当者ができる限り早く訪問させていただき、対象機器やネットワーク環境の状況確認とデータ保全をさせていただいた方が確実です。また、対象機器は当社の保全作業が完了するまで操作をしないようお願いしてお ります。不用意な操作によって痕跡や証拠を消してしまったり、誤って上書きをしたことによってデータの復旧・調査が困難になったケースもあります。まずは機器の使用を中断し、お早めにご相談ください。(出張対応は法人様のみとなります)
- 費用は大体どのくらいかかりますか?
- 疑わしい人物や社内に気づかれないよう調査できますか?