Phobosランサムウェアとは、ファイルの拡張子を「.Phobos」「.eking」「.faust」に書き換え、身代金を要求するランサムウェアです。2020年からは、コロナ禍に乗じて、リモートワークのセキュリティ環境の不備を突いたPhobosによる攻撃が多発している状況です。

この記事で特徴や感染時のリスク、適切な対処法を知ることで、迅速な対処を取れるようにしましょう。

Phobosランサムウェアの特徴

Phobosランサムウェアの特徴は次のとおりです。

• 「.Phobos」「.eking」「.faust」などの拡張子に暗号化される
• ランサムウェア「Dharma」との類似性が指摘されている
• あらゆる種類のファイルを暗号化する
• 身代金は、ビットコインまたは他の暗号通貨での支払いを要求される
• 身代金は通常、数百ドルから数千ドルの範囲

「.Phobos」「.eking」「.faust」などの拡張子に暗号化される

Phobosランサムウェアに感染すると、拡張子が「.Phobos」「.eking」「.faust」に暗号化されてしまい、ファイルを暗号化したという脅迫画面が表示されます。

ランサムウェア「Dharma」との類似性が指摘されている

Phobosは2018年末以降、欧米を中心に被害が多発しているランサムウェアで、国内でも2020年以降、被害が相次いでいます。Phobosは2016年に登場した「Dharma」というランサムウェアのコードを流用した亜種とみなされており、両者は復号プロセスや要求メッセージが類似しています。

出典advintel.io

あらゆる種類のファイルを暗号化する

Phobosランサムウェアは、様々な種類のファイルを暗号化し、システムの重要なファイルをロックすることができます。また暗号化されるファイルには、ドキュメント、スプレッドシート、プレゼンテーション、画像、ビデオ、音楽ファイル、メールが含まれます。

身代金は、ビットコインまたは他の暗号通貨での支払いを要求される

Phobosに感染すると、身代金をビットコインまたは他の暗号通貨で要求されます。

ランサムウェア攻撃者がビットコインやその他の暗号通貨で身代金を要求する理由は以下の通りです。

• 追跡が難しい
• 匿名性が高い
• 国際送金が容易

まず暗号通貨は分散型通貨であるため、追跡が困難で、捜査機関に追跡されにくいことが特徴です。また暗号通貨は匿名性が高く、これは攻撃者が身元を明かさずに身代金を受け取ることができることを意味します。なお、暗号通貨は国際送金が容易で、攻撃者が世界中のどこからでも身代金を受け取ることができます。

被害に遭った場合は、すぐに専門家に相談することが重要

いずれにせよ、身代金を支払っても、データが復号される保証はありません。また組織は個人情報保護法の観点から、ランサムウェア攻撃の被害に遭った場合は、すぐにサイバーセキュリティの専門家に相談することが推奨されています。

サイバーセキュリティの専門家は、次の点について調査を行い、支援することができます。

• 攻撃者がどのように侵入したか
• 攻撃がどれほど広範囲に及んでいるか
• どのデータが影響を受けているか

このようにサイバーセキュリティの専門家は、被害全容の把握と再発防止策を支援することができます。ランサムウェア攻撃の被害に遭った場合は、落ち着いて、プロの助けを求めることが重要です。

相談見積無料！おすすめの調査会社はこちら＞＞

身代金は通常、数百ドルから数千ドルの範囲

Phobosランサムウェアの身代金要求は、一般的に数百ドルから数千ドルの範囲に設定されています。おおよその参考として、2023年現在の為替レートで数百ドルは約2万5千円から3万円程度、数千ドルは約25万円から30万円程度となります。

ここから次のような示唆が考えられます。

中小規模の個人や企業を標的としている

数百ドルから数千ドルの身代金要求は、一般的に大規模な企業よりも中小規模の企業を対象としていることを示唆しています。

身代金の支払いの容易さを考慮している

数百ドルから数千ドルの範囲は、多くの被害者にとって支払い可能な金額です。つまり攻撃者は、身代金の支払いの容易さを考慮し、被害者に対して高額すぎず低額すぎずの金額を要求することで、支払い率を高めようとしている可能性があります。

身代金要求に対する交渉の余地がある

数百ドルから数千ドルの身代金要求は、一般的に交渉の余地がある金額です。被害者は攻撃者と交渉を試み、身代金を削減する（＝値切る）ことができるかもしれません。言い換えれば、身代金の支払いハードルを下げるための意図が存在する可能性があり、狡猾なランサムウェアであることに変わりはありません。

以上から、Phobosランサムウェアの攻撃は中小規模の個人や企業を標的とし、支払い容易性や交渉の余地を考慮した金額設定が行われている可能性があります。

ランサムウェアの攻撃に対して身代金を支払うリスク

ランサムウェア攻撃に対して身代金を支払うことは慎重に検討すべきです。

ランサムウェアの攻撃に対して身代金を支払うことは、いくつかのリスクを伴います。

• 再攻撃のリスク
• 攻撃者は身代金を受け取った後、復号キーを提供しないことがある
• 違法行為への関与を疑われる

再攻撃のリスク

支払いを行っても、攻撃者が再び攻撃を行う可能性があります。攻撃者は、身代金を受け取った後も引き続き利益を得るために、再度ランサムウェアを展開する可能性があります。その結果、被害者は再び重要なデータを失うリスクにさらされる恐れがあります。

実際、身代金を支払った企業への再攻撃は、8割を超えているという報告も存在します（cyberreason調べ）。

攻撃者は身代金を受け取った後、復号キーを提供しないことがある

ランサムウェア攻撃の被害に遭った場合は、身代金を支払わないことが重要です。身代金を支払っても、データが復号化される保証はありません。また、身代金を支払うことで、攻撃者がさらに活動を活発化させる可能性があります。

違法行為への関与を疑われる

ランサムウェアの攻撃に対して身代金を支払うと、違法な活動に資金を提供、ないし反社会的勢力に関与したとして、法的な問題に巻き込まれる可能性があります。また、ランサムウェアへの支払いが違法とみなされない場合でも、被害者が捜査の対象となる可能性があります。

ランサムウェア攻撃の被害に遭った場合は、すぐにサイバーセキュリティの専門家に相談することが重要です。専門家は、被害の全容解明と攻撃の防止を支援することができます。被害状況が分からないような場合でも、適切なサイバーセキュリティの専門家に相談すれば、有効なアドバイスを受けることができます。

Phobosランサムウェアの感染経路とは

Phobosランサムウェアの感染経路として次のものを挙げることができます。

• セキュリティが不十分なRDP
• 悪意のあるファイルを添付したフィッシングメール
• 脆弱なソフトウェア、または不正なウェブサイト

セキュリティが不十分なRDP

RDP（リモートデスクトッププロトコル）とは、サーバー経由でコンピュータのリモート接続を可能にする通信規格です。分かりやすく言うと、遠隔地にある Windows の画面を自宅から確認・操作できる機能です。ただし、RDPはサイバー攻撃のターゲットにされやすく、コロナ禍を背景に利用機会も増えていることから、全世界でRDPの脆弱性を突いたサイバー攻撃による被害が多発しています。

cybereasonによれば、Phobosを悪用する攻撃者もまた、インターネット上に公開されているRDPに対し、ブルートフォースアタック攻撃（パスワードを総当たり入力して突破する手法）を通じて不正ログインします。その後、RPDアカウントの管理者権限を奪った後、ネットワーク経由で感染を拡大させます。

悪意のあるファイルを添付したフィッシングメール

フィッシングメールに添付されたファイル（ZIPやPDF、office製品）を開くと、Phobosランサムウェアが実行される恐れがあります。フィッシングメールは、通常、ユーザーをだまして開くように設計されており、例えば、銀行やクレジットカード会社から送信されたように見えることがありますが、実際は偽物です。フィッシングメールには注意し、添付ファイルやリンクをクリックしないようにしてください。

また、ソフトウェアを最新に適用して、ソフトウェアの脆弱性を悪用するランサムウェアから身を守りましょう。

脆弱なソフトウェア、または不正なウェブサイト

脆弱なソフトウェア（例えば、Adobe Flash PlayerやJavaなど）を利用していると、Phobosランサムウェアに感染する可能性があります。また、 ファイル共有サイトやトレントサイトから不正なコンテンツや改ざんされたソフトウェアをダウンロードすると、ランサムウェアに感染するリスクがあります。

ランサムウェア感染時には脆弱性調査が必要です。脆弱性調査を行うことで、ランサムウェアが侵入した経路や、侵入後の影響範囲を特定することができます。これにより、ランサムウェアの被害を最小限に抑えることができます。

ランサムウェア感染時には、すぐにサイバーセキュリティの専門家に相談し、被害を最小限に抑えるために必要なプロセスを組む必要があります。

相談見積無料！おすすめの調査会社はこちら＞＞

Phobosランサムウェアに感染したと疑われる場合の対処方法

Phobosランサムウェアに感染したと疑われる場合の対処方法は次のとおりです。

• 感染端末をネットワークから切り離す
• 代替のアクセス手段を利用する
• 身代金は支払わない
• バックアップを確認する
• サイバーセキュリティの専門家に被害の調査を依頼する

感染端末をネットワークから切り離す

Phobosランサムウェアは、ネットワークを経由して感染を拡大させていきます。そのため、ランサムウェア感染時、一つの端末だけでなく周囲の端末やファイルサーバーもファイルが暗号化されてしまう恐れがあります。この際、情報を抜き取られる恐れもあるため、異常を察知した段階で可及的速やかに端末をオフラインにしましょう。有線ならケーブルを取り外し、無線ならWi-fi接続を遮断してください。

代替のアクセス手段を利用する

Phobosランサムウェアに感染しないようにするには、RDPを使わずに代替のアクセス手段を講じることです。つまり、リモートワークを行う上で、安全なアクセス環境を構築する必要があります。

ただし、RDPの代替ツールとして適当なものが用意できない場合は、RDPとSSL-VPNを組み合わせる、あるいは多要素認証を導入して、通信の暗号化を強化した状態にしておきましょう。

身代金は支払わない

Phobosランサムウェアは、大企業だけでなく、中小企業や個人を対象に攻撃していると考えられています。身代金の支払いに応じたとしても、確実にデータが復号できる保障はありません。反社会的勢力の資金源となってしまう恐れもあるため、コンプライアンスの観点からも身代金は支払わないようにしましょう。

バックアップを確認する

Phobosランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することが最善策です。サーバーの初期化を行った後、マルウェアファイルを削除するか、バックアップからファイルの復元を試みましょう。ただし、バックアップからの復元は、ランサムウェア感染時に重要な役割を果たす一方で、完全な対策とは言えません。

たとえばランサムウェアが感染した場合、最新のバックアップがなければ、被害を受けたデータの最新のバージョンを復元することはできません。バックアップの頻度や適切な保管方法が重要であり、定期的かつ適切なバックアップが行われていない場合、感染時には古いデータしか復元できない可能性があります。

また感染したシステムからバックアップサーバーやネットワークストレージに感染が広がった場合、バックアップデータ自体が感染している可能性があります。その場合、バックアップからの復元は有効ではありません。

サイバーセキュリティの専門家に被害の調査を依頼する

Phobosランサムウェアに感染した際は、単にバックアップからデータを復元するだけでは全く不十分です。

情報漏えいの有無や感染経路を特定しなければ、バックドア（マルウェアが出入りする勝手口）を仕掛けられていても気づくことはできません。また被害範囲が分からず、被害を繰り返してしまう恐れがあります。

しかし、個人での原因特定には、限界があるため、適切な調査を行うには、サイバーセキュリティの専門家に相談することが最善の対処法と言えます。

なお、ランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

【比較】フォレンジック調査とは？費用や事例からおすすめ会社の選び方を徹底解説

2016.3.1

※この記事は2023年5月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタ

まとめ

今回はPhobosランサムウェアの特徴や感染の疑いがある場合の適切な対処法や専門業者について解説しました。

近年、ランサムウェアは個人だけでなく企業や公的機関を狙うものが増加しており、被害総額の規模も大きくなっています。この記事で紹介した対処方法を確認し被害の拡大を最小限に抑えましょう。被害を把握し適切な対処を行うためにも、必要に応じて専門業者に相談することも検討してみてください。