Sodinokibi/REvilランサムウェアとは?感染時の対処法・対策|徹底解説|サイバーセキュリティ.com

Sodinokibi/REvilランサムウェアとは?感染時の対処法・対策|徹底解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。



Sodinokibi/REvilランサムウェアは、2019年に確認された比較的新しいマルウェアです。そのため、このマルウェアに関する情報はまだ少ないのが現状です。今回は、Sodinokibi/REvilランサムウェアについて、特徴や感染時に起きること、感染対策、対処法を、海外の情報も交えてご紹介します。

1ランサムウェアとは

ランサムウェアとは、ファイルを暗号化もしくは画面をロックして、データの復号やロックの解除と引き換えに身代金を要求するマルウェアです。ランサムウェアは感染力も強く、一つのデバイスが感染してしまうとネットワークを共有している他の端末にまで感染が広がってしまいます。

なお、要求された身代金を支払ったとしても、データが復号される保証はありません。反社会的勢力の増長につながる恐れもあるため、身代金は絶対に支払わないようにしてください。

2Sodinokibi/REvilランサムウェアの特徴

①暗号化型

Sodinokibi/REvilランサムウェアは暗号型のランサムウェアに属します。感染すると、デバイス内のファイルが暗号化され、データに通常通りアクセスすることができなくなってしまいます。

他のランサムウェア同様、暗号化したデータの復号と引き換えに、身代金として仮想通貨(ビットコイン)の支払いを要求されます。現時点で報告されている身代金の金額は2500ドル(約27万円)から5000万ドル(約55億円)まで様々あり、また大企業には「期限内に支払われなければ身代金を倍にする」といった内容の脅迫文が送られていることも確認されています。

身代金の支払いを求める警告画面
出典Malwarebytes

②感染経路は主に2つ

フィッシングメール

フィッシングメールとは、悪意あるファイルを添付しウイルスに感染させることを目的とした攻撃メールのことです。添付されているファイルをクリックした途端にウイルスがダウンロード・実行されてしまいます。

セキュリティの脆弱性を攻撃される

パソコンのセキュリティの脆弱性を突いて攻撃されることによっても、Sodinokibi/REvilランサムウェアに感染してしまうことがあります。特に、Oracle Weblogicのサーバーの脆弱性が攻撃されていると報告されています。

③感染するとランサムノート(脅迫文)が表示される

Sodinokibi/REvilランサムウェアによってデータが暗号化されると、身代金を要求する内容が書かれたランサムノートがデスクトップまたはファイル内に表示されます。

ランサムノートのファイル名は、[random]-HOW-TO-DECRYPT.txtです。


出典Malwarebytes

④アンチウイルスソフトに検知されにくい

Sodinokibi/REvilランサムウェアは、他のランサムウェアと比較して、ウイルスを検知してユーザーに知らせてくれる機能を果たすアンチウイルスソフトに検知され難いと言われています。そのため、ウイルスの除去ができないまま放置され、気づいたら感染していたという事態に陥りやすいのです。

3Sodinokibiランサムウェアの感染対策方法

最新版にアップデートする

Sodinokibi/REvilランサムウェアは脆弱性を攻撃してウイルス感染させるという特徴を持つことから、ご使用のデバイスのバージョンを常に最新のものにアップデートしておくことが効果的と言えます。

不審なメールやファイルを開かない

Sodinokibi/REvilランサムウェアはまた、メールから感染するという特徴も持ち合わせていることから、不審なメールや添付ファイルを安易にクリックしないことで感染を防げる可能性があります。

データバックアップをとる

定期的にデータのバックアップをとることで、万が一Sodinokibi/REvilに感染してしまったとしても、バックアップデータからデータを復元するだけで済みますので、データを失う心配はありません。

セキュリティソフトの導入

ランサムウェア感染対策のセキュリティソフトを導入することで、感染被害を抑えることができます。セキュリティソフトの働きによって、データが全て暗号化されてしまうのをなるべく早く止められる可能性があります。

4感染が疑われる際に留意すべきこと

身代金は支払わない

データを取り戻したいからと言って身代金を支払うことは絶対にしないでください。実際のところ、身代金を支払ったとしてもデータが復号される保証はありません。特に、Sodinokibi/REvilランサムウェアのランサムノートには、期限を超えた場合のペナルティを記載しているため、決断の猶予なく身代金を支払ってしまいがちですが、この罠にはかからないように注意しましょう。

身代金を支払ってしまうことで、攻撃者への加勢になる他、企業の風評被害など二次的な被害が生じる可能性があります。

インターネット接続を遮断する

直ちに、感染が疑われるデバイスをネットワークから切り離してください。Sodinokibi/REvilランサムウェアを含むマルウェアは、ネットワークを介して感染を拡大させる性質を持っています。感染の疑いのあるデバイスをネットワークからなるべく早く切り離すことで、被害の拡大を防ぐ効果があります。

メールアドレス・パスワードを変更する

ネットワークの接続を遮断した後には、感染が疑われるデバイスで使用していたメールアドレスやパスワードを、なるべく早く変更しましょう。その際には、変更後の情報まで盗まれてしまうことを防ぐために、他のデバイスから行ってください。

メールアドレスやパスワードを悪用して関係者にウイルスが仕組まれたメールを送信されたり、その他の情報やWebサイト・SNSなどのアカウントを悪用されてしまうのを防ぎましょう。

5Sodinokibi/REvilランサムウェアの復旧方法

バックアップからデータを復元する(※バックアップがある場合)

Sodinokibi/REvilランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することが最善策です。ウイルス駆除ソフトなどを用いてマルウェアファイルを削除するか、サーバーの初期化を行った後、バックアップからファイルの復元を試みましょう。

専門業者へ相談する

データを復元できても、感染の疑いが発覚した場合には、なるべく専門家に相談するようにしましょう。ランサムウェアは、自分だけでなく関係者にも被害を与えてしまう可能性がある、非常に厄介なものです。もし専門知識がないまま対処すると、感染を拡大させ、業務停止や個人情報の漏洩により、顧客にも被害が及んでしまいます。

そうした事態を防ぐためにも、適切な対処を取る際には、速やかに専門業者まで相談しましょう。ランサムウェアの対応実績がある復旧業者であれば、安全かつ的確な対処が取れるため、被害を最小限に抑えることが可能です。

専門業者に調査を依頼する

ランサムウェアに感染した際は、単にデータを復号するだけでなく「情報漏えいがあったのか」「何が原因でランサムウェアに感染したのか」といった事後調査が必要です。しかし、個人での原因特定、および暗号化されたデータの復元(復号)作業には限界があるため、適切な調査を行うには、専門業者に相談することが最善の対処法と言えます。

ランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

6 おすすめのフォレンジック調査業者

ランサムウェア感染時、フォレンジック調査に対応している業者の中でも、実績のある業者を選定しました。

デジタルデータフォレンジック


公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。

マルウェア感染、不正アクセス、ランサムウェア感染、情報漏えい調査など法人を対象としたサイバーインシデントに幅広く対応している専門性の高い業者であり、突然のトラブルにもスムーズに対応することが出来ます。また警視庁からの捜査依頼実績も多数あることから実績面でも信頼ができ、費用面でも安心といえるでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 NAS/サーバー(RAID等も対応)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカード、スマートフォンなど
調査実施事例 警察からの捜査依頼(感謝状受領)、退職者調査、社内不正調査、情報持出し調査、マルウェア・ランサムウェア感染調査など
特長 大手企業や警察を含む累計32,377件の相談実績
■「Pマーク」「ISO27001」取得済のセキュリティ
駆けつけ対応のサービスあり(法人のみ)

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

7まとめ

今回はSodinokibi/REvilランサムウェアについて、特徴や感染防止策、復旧方法を解説しました。アンチウイルスソフトに検知されにくく、感染を防止することが他のマルウェアよりも困難ですが、感染対策を取り入れることで、少しでも被害を抑えることができます。感染が疑われる際はネットワークからの切断を速やかに行い、感染拡大を防ぎましょう。データのバックアップを定期的にとっている場合にはデータの復元を行い、被害を把握し適切な対処を行うために、必要に応じて専門業者に相談するようにしましょう。

SNSでもご購読できます。