QNAPユーザーを狙うWindowsワーム「Raspberry Robin」とは? 脅威や手口・対策まで解説|サイバーセキュリティ.com

QNAPユーザーを狙うWindowsワーム「Raspberry Robin」とは? 脅威や手口・対策まで解説

QNAPを狙うRaspberry Robinとは? 脅威や手口・対策まで解説

Raspberry Robinは、QNAPやWindowsユーザーを標的にした「ワーム」と呼ばれるタイプのマルウェアの一種です。このマルウェアは、ヨーロッパを中心に被害が確認されていますが、日本国内でも感染事例が目立つようになっています。

この記事では、Raspberry Robinの具体的な特徴から感染経路、危険性、さらには被害調査の方法まで徹底解説していきます。

Raspberry Robinの特徴・感染経路

Raspberry Robinには、次のような特徴があります。

USBデバイスを介して拡散する

Raspberry Robinは、インターネットから何らかの形で感染し、ダウンロードされたLINKファイルをクリックすることで動作します。

詳細な感染経路は、次のとおりです。

  1. LINKファイルをクリックする
  2. USBデバイスを介して、不審なコマンドが実行される
  3. 悪意あるプログラムをダウンロードする
  4. ハッカーが使う匿名IPやC2サーバーに不正通信

Windowsで使われる「.lnk」ファイルを悪用する

Raspberry Robinは、USBデバイスに生成されたLNKファイル(Windowsショートカット)をクリックすることで実行されます。これに限らず、メールに添付された「.lnk」ファイルは、マルウェアの可能性が高く、数々の被害をもたらす恐れがあるので、安易にクリックしたり、インストールすることは控えましょう。

出典trendmicro.co.jph

QNAP製NASに不正アクセスする

詐取されたユーザー名・デバイス名は、別のデバイスにアクセスするために、悪用されることがあります。たとえば、QNAP製のNASに侵入されると、さらに情報を詐取される恐れがあるほか、NASのネットワークを介して、さらに感染が拡大する恐れもあります。

Raspberry Robinの攻撃手法

Raspberry Robinの感染拡散には次のような手法が使われます。

社内ネットワークに感染拡大する

Raspberry Robinは、ワームと呼ばれるマルウェアです。ワームとは、自身を複製し、ネットワークを介して他のシステムに拡散するマルウェアです。読んで字のごとく、USBデバイス、Windowsネットワーク、QNAP製NASなど、さまざまなデバイスに拡散するため、社内中の端末に感染を広げる恐れがあります。

社外へ感染を広げる

Raspberry Robinは拡散力が高く、特に社内の端末を社外や取引先で使用すると、社外へも感染を広げる恐れがあります。この場合、関係者や取引先に不信感を与え、調査が求められるケースもあることから、適切な調査を行う必要があります。

情報を外部に送信される

Raspberry Robinに感染すると、ハッカーが使用する「C2サーバー」へTorを経由した不正通信が行われる恐れがあります。現時点で、身代金要求など直接的被害は出ていないものの、漏えいした情報を基に、サイバー攻撃の標的にされるなど、副次被害を招く可能性があることから、どのような情報が漏えいしたのかなど被害を調査する必要があります。

Raspberry Robin感染時の対処・対策方法

Raspberry Robin感染時のマストとなる対処・対策方法は次のとおりです。

NASをネットワークから遮断する

Raspberry Robinは、ネットワークを経由して感染を拡大させていきます。そのため、異常を察知した段階で、すみやかに端末をオフラインにしましょう。有線ならケーブルを取り外し、無線ならWi-fi接続を遮断してください。

ファイル共有のネットワークをオンラインに公開しない

NASなどファイル共有サーバーをオンラインに公開していると、情報漏えいのリスクが高まります。特に、パスワードに関係する内部情報が、外部に送信されてしまった場合、出入り自由になってしまう恐れがあるため、オンライン上にファイル共有サーバーやデバイスを公開する場合は、十分なリスク管理を行ったうえで対応しましょう。

専門業者に感染経路や被害調査を依頼する

Raspberry Robinに感染した場合、情報漏えいの有無や感染経路を特定する必要があります。また、ワーム型マルウェアという点から、あらゆるデバイスに感染を広げている恐れがあるため、ネットワークに接続されたデバイスを全体的に調査し、被害範囲を特定しなければなりません。

これは個人での調査には限界があるため、適切な調査を行うには、専門業者に相談することが最善の対処法と言えます。Raspberry Robinなど、マルウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
マルウェアの感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

Raspberry Robinの感染調査に対応しているおすすめの業者

このようなマルウェア感染調査に対応している業者の中で「スピード対応」と「実績」が豊富な業者を選定しました。

デジタルデータフォレンジック

公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

相談から見積もりまで無料で行っているので、Emotetの感染調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 NAS/サーバー機器(RAID対応)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど
調査実施事例 警察からの捜査依頼(感謝状受領)、マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、パスワード解除、データ復元など
特長 大手企業や警察を含む累計14,233件の相談実績
■「Pマーク」「ISO27001」取得済のセキュリティ

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

まとめ

今回は、マルウェアの中でも特に感染を拡散させる恐れがある「Raspberry Robin」について解説しました。このマルウェアに感染すると、USBデバイスからNAS・サーバーまで、幅広くワームが拡散している恐れがあるので、適切な調査・対応が必要となります。

ただし、フォレンジック業者に丸投げするのではなく「業者でやること」と「自社でやらなければならないこと」を明確にして、協力しながら調査を行うことが大切です。業務に与える影響なども考慮しながら、迅速な対応を行うようにしましょう。

SNSでもご購読できます。