marsランサムウェアの感染対策や、感染時の復旧方法を徹底解説!|サイバーセキュリティ.com

marsランサムウェアの感染対策や、感染時の復旧方法を徹底解説!

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。

PC内の重要ファイルをターゲットとしたmarsランサムウェアの感染被害が国内で拡大しています。このランサムウェアに感染すると拡張子が「.mars」に書き換わり、データが暗号化され、ファイルを開くことや、複合化が不可能になります。
この記事では、marsランサムウェアの特徴をはじめ、感染防止策や感染した際の対処法について解説します。

ランサムウェアとは

ランサムウェアは、感染した端末の操作やファイルを使用不能にし、復旧・復号を引き換えに身代金(Ransom)を要求する特徴を持つマルウェアの1種です。暗号化型・画面ロック型の2つに大別でき、中には身代金を払ったにもかかわらず復号化されず、ファイルを破壊してしまう悪質なもの存在します。

  • 暗号化型Erebus, Bad Rabbitなど)
    • ファイルを全て暗号化して使えなくする
    • データ自体が操作されている
  • 画面ロック型( Win32/Reveton, Jisutなど)
    • 画面をロックして操作をできなくする
    • データ自体は操作されていない

世界的にも企業・組織を狙ったランサムウェアを使用したサイバー犯罪は活発化しており、国内のランサムウェアの検出台数も2020 年に入り増加傾向に転じています。

ランサムウェアについての詳しい解説は以下の記事をご覧ください

marsランサムウェアの特徴

①拡張子「.mars」が追加される暗号化型のランサムウェア

marsランサムウェアは、暗号化型のランサムウェアです。marsランサムウェアがPC内に侵入すると、PC内の重要なファイルを暗号化し、拡張子が .mars に変更されます。その後、復号化ツールと引き換えに、身代金が要求されます。これは、2016年頃に日本で猛威をふるったランサムウェアLockyと同様の手法です。

Lockyを含め、その他のランサムウェアの種類に関してはこちらの記事でご紹介しています。

②PC内、NAS内の様々な重要ファイルをターゲットにしている

marsランサムウェアは、WindowsPCMacPC、複数の端末が接続しているNASなど、広範なフォルダ内のファイルをターゲットにしています。また、攻撃対象となるファイルも、doc、docx、dwg、psd、dbf、ppt、pptx、pdf、odt、ods、fpt、php、cdr、accdb、mdb、xls、xlsxなど多岐にわたります。

また、ターゲットとなるファイルは、ユーザーと関係が深い重要ファイルであることが多いです。

③昨年末から急増し、今年から日本でも増加

marsランサムウェアは、2020年の10月末に最も活動が活発となり、欧米を中心に世界中の膨大な数のシステムに感染しました。その後年末から年初にかけて日本でも被害件数が急増し、現在も拡大を続けています。

出典Latest Technical News & Malware Updates

marsランサムウェア感染時の状況

主な感染経路

もっとも一般的な感染経路は、サイバー犯罪者が送信する危険な電子メールに含まれるマルウェアファイルやそのダウンロードリンクを開き、プログラムを実行してしまうことです。通常、サイバー犯罪者は、悪意のあるMS Officeドキュメント、PDFドキュメント、ZIP、RAR、JavaScriptファイルなどのアーカイブファイル、または実行可能ファイル(.exeなど)を送信します。

また、このようなファイルをダウンロードさせる経路として、電子メールの他に、非公式のWebサイトソフトウェア更新ツールソフトウェアアクティベーション(クラッキング)ツール、トロイの木馬等のウイルスがあります。

感染すると起きる症状

画像引用PC risk

marsランサムウェアに感染すると、パソコン上のデータの拡張子が「.mars」に書き換わりデータが暗号化されてしまいます。また、暗号化されたファイルを含むすべてのフォルダに「!!! MARS_DECRYPT.TXT」というファイル名でテキストファイルが作成されます。この中で身代金を要求する内容が表示されます。

要求内容を要約すると以下のようになります

  • あなたの○○ファイルは我々のウイルスによって暗号化されました。復号化のためにはビットコインでわれわれに$500をお支払いください。
  • 支払いの前に、我々の復号化が確実に行われることを確かめることができます。3つのファイルを無料で復号化します。
  • 我々に電子メールかテレグラムで直接ご連絡ください。
  • 暗号化は、我々にしか解除することができません。第三者の作成した復号プログラムは、ファイルを傷つける恐れがあるので使用しないでください。

感染後の対応

①身代金は支払わない

上記のように、marsランサムウェア感染後にはサイバー犯罪者と直接連絡を取り、金銭を支払うように要求されます。しかし、金銭を支払ってはいけません。marsは暗号化型ランサムウェアであるため、データ自体が操作されている可能性が高く、身代金を支払ってもデータが復号される保証はありません。また身代金を支払うことで、支払った金銭が再び犯罪組織の資金源になってしまいます。

②攻撃者が提供してくるプログラムをダウンロードしない

攻撃者が何らかのプログラムを提供したとしてもダウンロードしてはいけません。プログラムファイルにウイルスが仕込まれており、更に事態が悪化する危険性が高いためです。

③無理に対処しようとせず専門家に相談を

感染の疑いがある場合には、専門業者に相談することをお勧めします。ランサムウェアへの感染が疑われる場合、状況が分からないまま放置すると感染被害が拡大し、業務停止による損失の発生や、個人情報の漏洩により顧客にも被害が及ぶ可能性があります。

そのような事態を防ぐために、万が一の場合は速やかに相談しましょう。ランサムウェアの対応実績がある復旧業者であれば安全かつ的確な対処が分かり、結果として被害を最小限に抑えることができます。

データ復旧業者については下記の記事で詳しく記載しています。

出典 PC risk

marsランサムウェアの感染対策方法

marsランサムウェアの感染を防止する対策方法として、以下の5つがあげられます。

①ファイルのバックアップをこまめに行う

万が一ファイルが暗号化されてしまった場合、ファイルを正確に復号化できる可能性はかなり低くなります。サイバー犯罪者に身代金を払うのは避けるべきですし、かといって他の有効な復元ツールも現時点では存在しません。最も有効なファイルの復元方法は、marsに侵されたファイルを削除したのち、バックアップからファイルを復元することです。そのためにもこまめにバックアップを作成することをお勧めします。自動でバックアップが作成できるシステムを導入するのもよいでしょう。

②ランサムウェア対策ソフトウェアを保持しておく

信頼でき、ランサムウェア対策の実績もあるウイルス対策ソフトをインストールしておくことで、ランサムウェアの被害を抑えることができます。

③SMBプロトコルを無効にする

SMBプロトコルとは、Windowsネットワークで最もよく使われるファイル共有機能の基本プロトコルのことです。このSMBプロトコル経由でのランサムウェアの流入が頻繁に起こっています。SMBプロトコルを無効にすることで、サーバーからのランサムウェアの侵入を防ぐことができます。

ネットワークアクセス保護を有効にしアカウントを保護する

ウイルス対策ソフトやネットワーク保護を行うことも、サイバー攻撃から情報を守り対策を行う際の一つの方法です。

⑤パスワードをより強固なものに設定する

そもそも簡単なIDやパスワード設定がなされているデバイスはその脆弱性を狙われやすいため、パスワード設定を強化することをおすすめします。管理者パスワードを初期設定のままにしている場合は、かならず任意の強固なパスワードに変更を行ってください。

また、最新のセキュリティ製品では、ランサムウェアへの抑止力を持ったものもリリースされています。詳しく知りたい方は以下の記事をご覧ください。

marsランサムウェア感染が疑われる際にすぐ行うべきこと

marsランサムウェアへの感染が疑われる場合、速やかに下記のことを行ってください。

①ネット接続をOFFにする

ランサムウェアの感染はネットワークを伝って拡大します。まだ感染していない他のデバイスへの感染を防ぐため、感染が疑われる端末をネットワークから切断しましょう。

②メールアドレス・パスワードを変更する

感染が疑われるデバイスで使用していたメールアドレス・パスワードを変更しましょう。

また、メールアドレスやパスワードの変更は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイスからメールアドレスやパスワードを変更したとしても、新たなメールアドレスやパスワードの情報が攻撃者に盗まれ、再び悪用されてしまいます。

marsランサムウェアの復旧方法

万が一、marsランサムウェアに感染してしまった場合の復旧方法を説明します。

バックアップから復元を行う

前述したように、marsランサムウェアの有効な復号ツールはいまだ開発されておらず、データを復旧するにはバックアップからの復元が最善の手段となります。ウイルス駆除ソフトなどを用いてマルウェアファイルを削除するか、サーバーの初期化を行った後、バックアップからファイルの復元を試みましょう。

専門業者へ相談する

データを復元できても、感染の疑いが発覚した場合には、なるべく専門家に相談するようにしましょう。

また単にデータを復号するだけでなく「情報漏えいがあったのか」「何が原因でランサムウェアに感染したのか」といった事後調査が必要です。しかし、個人での原因特定、および暗号化されたデータの復元(複合)作業には限界があるため、ランサムウェアの感染経路を適切に調査するには「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • 緊急時のスピード対応が可能
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

公式サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。

一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。

運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等
サービス ●サイバーインシデント調査:
マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査
●社内不正調査:
退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元
●その他のサービス:
パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等
※法人・個人問わず対応可能
特長 官公庁・法人・捜査機関への協力を含む、累計23,000件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査
※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)
基本情報 運営会社:デジタルデータソリューション株式会社
所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階
受付時間 24時間365日 年中無休で営業(土日・祝日も対応可)
★最短30分でWeb打合せ(無料)

>フォレンジック調査会社の一覧リストはこちら

まとめ

今回はmarsランサムウェアについて、特徴や感染防止策、復旧方法を解説しました。感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。また、感染が疑われる際はネットワークからの隔離を速やかに行い、必要に応じて専門業者への相談も含めて対応策を検討してください。

  • 中小企業の情報瀬キィリティ相談窓口[30分無料]
  • 情報処理安全確保支援士(登録セキスペ)募集
  • サイバー保険比較
  • 【企業専用】セキュリティ対策無料相談