無料会員登録
Devosランサムウェアとは、ファイルの拡張子を「.Devos」「.eking」「.faust」に書き換え、身代金を要求するランサムウェアです。2020年からは、コロナ禍に乗じて、リモートワークのセキュリティ環境の不備を突いたDevosによる攻撃が多発している状況です。
この記事で特徴や感染時のリスク、適切な対処法を知ることで、迅速な対処を取れるようにしましょう。
目次
Devosランサムウェアとは
Devosランサムウェアの特徴は次のとおりです。
- Phobosランサムウェアの亜種
- 文書、写真、ビデオ、音楽など、あらゆる種類のファイルを暗号化する
Phobosランサムウェアの亜種
Phobosは、2019年に初確認されたランサムウェアで、世界中の企業や個人を攻撃しており、その被害は拡大しています。その後、Phobos派生のランサムウェアもいくつか登場しました。
Devosもまた、Phobosのコードをベースに開発されたランサムウェアであり、Phobosと同じような特徴があります。たとえば、PhobosはフィッシングメールやRDP経由で攻撃対象に侵入しますが、Devosも同様の経路で侵入します。
また、Phobosは強力な暗号化アルゴリズムを使用していますが、DevosもPhobosと同様に強固な暗号化を実現しています。
Phobosランサムウェアについては下記の記事でも詳しく解説しています。
文書、写真、ビデオ、音楽など、あらゆる種類のファイルを暗号化する
ランサムウェアは、あらゆる種類のファイルを暗号化します。たとえば、次のようなものがあります。
- 文書ファイル(Word、Excel、PowerPointなど)
- 写真ファイル(JPEG、PNG、GIFなど)
- ビデオファイル(MP4、AVI、MOVなど)
- 音楽ファイル(MP3、WAV、FLACなど)
- データベースファイル
- システムファイル
ランサムウェアに感染すると、これらのファイルが暗号化され、開けなくなります。
Devosランサムウェアに感染するとどうなるのか
Devosランサムウェアに感染すると次のような症状が見受けられます。
- すべてのセキュリティアプリケーションが無効化される
- 「.Devos」「.Caley」「.dewar」などの拡張子に暗号化される
- 「info.txt」というランサムノートが表示される
- 身代金は通常、300ドルから1500ドルの範囲
- ビットコインまたは他の暗号通貨での支払いを要求される
ランサムウェアに感染するとどうなるかについては下記の記事でも詳しく解説しています。
すべてのセキュリティアプリケーションが無効化される
Devosランサムウェアに感染すると、OSに不正なコードが送信され、他のプロセスが停止します。これによりOS搭載のウイルス対策ソフトやファイアウォールなどのセキュリティツールが機能しなくなり、感染の検出や防止が困難になります。
「.Devos」「.Caley」「.dewar」などの拡張子に暗号化される
Devosランサムウェアは、感染したシステム内のファイルを「.Devos」「.Caley」「.dewar」など特定の拡張子で暗号化します。
これにより、被害者はファイルを正常にアクセスできず、データが利用不能になりますが、これは攻撃者の意図や特定のランサムウェアの識別に役立つ重要な要素となります。
「info.txt」というランサムノートが表示される
Devosランサムウェア感染後、被害者に対して身代金の支払い方法や連絡先を記載した「info.txt」というファイルが表示されます。
内容を要約すると「指定された期間内に支払いが行われない場合、データが永久に失われたり、身代金の要求額が増えたりする」という脅しが含まれてます。続けて身代金要求や復号する手順が記載されています。
身代金は通常、300ドルから1500ドルの範囲
Devosランサムウェアの身代金の金額は、300ドルから1500ドルの範囲内で指定されます(具体的な金額は攻撃者によって異なります)。
少額の身代金は、一般的に大規模な企業よりも中小規模の企業を対象としていることを示唆しています。実際、数百ドルから数千ドルの範囲は、多くの被害者にとって支払い可能な金額であり、高すぎず低すぎずの金額を要求することで、支払い率を高めようとしていると考えられます。
ビットコインまたは他の暗号通貨での支払いを要求される
身代金の支払い方法は通常、ビットコインや他の暗号通貨を使用するよう要求されます。
理由として、ビットコインや暗号通貨の次のような特徴が挙げられます。
- 分散型のネットワーク上で運用され、中央管理機関が存在しないため、取引記録が追跡しにくいこと
- 匿名性が高く、支払いの送受信者の正体を特定することが困難であること
これにより、攻撃者の匿名性と支払いの迅速性が確保され、被害者の追跡や取引の透明性を困難にしています。
Devosランサムウェアの感染経路とは
Devosランサムウェアの感染経路として次のものを挙げることができます。
- セキュリティが不十分なRDP
- 悪意のあるファイルを添付したフィッシングメール
- 脆弱なソフトウェア、または不正なウェブサイト
ランサムウェアの感染経路については下記の記事でも詳しく解説しています。
セキュリティが不十分なRDP
RDP(リモートデスクトッププロトコル)とは、サーバー経由でコンピュータのリモート接続を可能にする通信規格です。分かりやすく言うと、遠隔地にある Windows PCの画面を自宅からでも確認・操作できる技術です。
しかし、認証画面をオンラインに公開するなど不適切な設定、ないし弱いパスワードだと、「ブルートフォースアタック攻撃」(パスワードを総当たり入力して突破する手法)を通じて不正ログインされやすく、仮に管理者権限を奪われると、Devosなどのランサムウェアをインストールさせられてしまう恐れがあります。
悪意のあるファイルを添付したフィッシングメール
ランサムウェアの攻撃者は悪意のあるファイル(例:マクロ付きドキュメント、実行可能ファイル)を添付したフィッシングメール(office製品など)を送り、被害者に誤って開かせることでランサムウェアを感染させます。フィッシングメールには注意し、添付ファイルやリンクをクリックしないようにしてください。
以下は一般的なフィッシングメールの例です。
- 銀行情報の確認を求めるメール: 送信者が銀行を装い、アカウントのセキュリティを確認するためにログイン情報やパスワードの提供を求めるメール。
- 著名企業からの特典や割引を提供するメール: 有名な企業やサービスをかたるメールで、特典や割引を受けるために個人情報やクレジットカード情報を提供するよう求めるメール。
- 緊急のアカウント問題を報告するメール: 送信者がオンラインサービスプロバイダーやメールプロバイダーを装い、アカウントに問題があるとして個人情報やログイン情報の提供を求めるメール。
- 偽の寄付活動への参加を依頼するメール: 有名なチャリティ団体をかたるメールで、災害支援や社会貢献活動への参加を依頼し、個人情報や寄付金の提供を求めるメール。
- 勤務先や取引先からの重要な書類の確認を求めるメール: 送信者が信頼できる組織や企業を装い、重要な契約書や請求書の確認を求め、添付されたファイルを開くよう促すメール。
これらのフィッシングメールは、送信者が信頼性を装い、受信者の注意をそらして個人情報や機密情報を入手しようとするものです。受信したメールの送信者や内容に注意し、不審なリンクや添付ファイルを開かないようにすることが重要です。
脆弱なソフトウェア、または不正なウェブサイト
脆弱なソフトウェアの利用や不正なコンテンツ(P2Pを利用したトレントファイルなど)のダウンロードはランサムウェア感染のリスクを増加させます。
仮に感染してしまった時には、サイバーセキュリティ専門家に依頼するなどして脆弱性調査を行い、今後同様の被害に遭わないためにも、きちんと対策しておく必要があります。
Devosランサムウェアに感染したと疑われる場合の対処方法
Devosランサムウェアに感染したと疑われる場合の対処方法は次のとおりです。
- 感染端末をネットワークから切り離す
- RDPを使わずに代替のアクセス手段を講じる
- 身代金は支払わない
- バックアップを確認する
- サイバーセキュリティの専門家に被害の調査を依頼する
感染端末をオフラインにする
Devosランサムウェアは、オンライン上で感染を拡大するため、周囲の端末やファイルサーバーにまでファイルが暗号化される可能性があります。
また、情報漏えいのリスクもあるため、異常を察知した段階で端末をオフラインにすることが重要です(無線接続の場合はWi-Fi接続を遮断します)。これらの対策を講じることで、ランサムウェアによる被害を最小限に抑えることができます。
RDPを使わずに代替のアクセス手段を講じる
Devosランサムウェアに感染しないようにするには、RDPを使わずに代替のアクセス手段を講じることが重要です。これは、リモートワークを行う際には必須の対策です。代替手段としては、VPNやリモートアクセスソフトウェアなどが挙げられます。これらのソフトウェアは、通信の暗号化や安全な接続を提供することができます。
しかし、代替手段が用意できない場合もあります。その場合は、RDPとSSL-VPNを組み合わせることで、通信の暗号化を強化した状態にすることができます。また、多要素認証を導入することも有効です。これにより、不正ログインのリスクを低減することができます。このように、リモートワークを行う際のセキュリティ対策は、慎重に検討し、適切な措置を講じることが重要です。
身代金は支払わない
Devosランサムウェアに感染した際は、身代金は支払わない方がいい理由は、以下のとおりです。
- 身代金を支払っても、ファイルが復元される保証はない
- 身代金を支払うことで、ランサムウェアの作成者に利益をもたらし、ランサムウェアの被害を助長する
- 身代金を支払うことで、繰り返し個人情報や機密情報が盗まれる可能性がある
ランサムウェアに感染した場合は、サイバーセキュリティの専門家に被害の調査を依頼し、ファイルの復元を試みることが重要です。また、今後の感染を防ぐための対策を講じることも重要です。
ランサムウェアのデータベースサイト「ID Ransomware」に感染ファイルをアップロードする
ID Ransomware は、ランサムウェアを特定するのに役立つ無料のオンライン サービスです。
ID Ransomware は、ファイルを暗号化したランサムウェアの名前、使用された暗号化の種類など、ランサムウェアに関する情報を提供しており、適切な対処法や復旧手段を見つけることができます。
ただし、データベースにすべてのランサムウェアの種類が登録されているわけではありません。また、ランサムウェアの作成者が復号方法を変更することもあるため、データベースを活用するだけでは、感染したファイルの復旧が保証されているわけではありません。あくまで参考程度に見ておきましょう。
バックアップを確認する
Devosランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元できます。
ただしバックアップの頻度や適切な保管方法が重要であり、最新のバックアップがなければ、被害を受けたデータの最新のバージョンを復元することはできません。
また感染したシステムから感染が広がった場合、バックアップデータ自体が感染している可能性があります。その場合、バックアップからの復元は有効ではありません。
サイバーセキュリティの専門家に被害の調査を依頼する
Devosランサムウェアに感染した際は、個人での原因特定には、限界があるため、適切な調査を行う場合、サイバーセキュリティの専門家に被害の調査を依頼することで、迅速かつ効果的に被害を特定・回復できます。
サイバーセキュリティの専門家に被害の調査を依頼するメリットは、以下のとおりです。
- ランサムウェアの種類を特定し、適切な復旧方法を検討することができる
- ファイルの復元を試みることができる
- 今後の感染を防ぐための対策を講じることができる
仮に情報漏えいの有無や感染経路を特定しなければ、バックドア(マルウェアが出入りする勝手口)を仕掛けられていても気づくことはできません。また被害範囲が分からず、被害を繰り返してしまう恐れがあります。
こうしたランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。
おすすめフォレンジック調査会社
フォレンジックは、デジタルデバイスから電子的証拠を収集、分析するプロセスで、サイバー攻撃被害の全容解明に役立ちます。
しかし、フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計3.2万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✔官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
まとめ
今回は、Devosランサムウェアの特徴についてはもちろん、ランサムウェアに感染した場合の適切な対処法や専門業者についても詳しく解説しました。
ランサムウェアは、近年では個人だけでなく企業や公的機関を狙うものが増加しており、被害総額も大幅に増加しています。
この記事で紹介した対処方法を確認し、被害を最小限に抑えることが重要です。
自分自身で対処することが難しい場合、ないし被害を把握し適切な対処を行う場合、専門業者に相談することも検討してみてください。専門家は、適切な対処法を提供し、被害を最小限に抑えるために役立ちます。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。