Trigonaランサムウェアとは、2020年10月頃から流行している新しいランサムウェアです。

Trigonaランサムウェアはシステムに侵入し、ファイルの拡張子に「._locked」を追加し、データを暗号化します。

本記事では、Trigonaランサムウェアに感染した時の被害や感染経路、対処法を解説します。おすすめの調査専門業者も紹介していますので、是非参考にしてください。

Trigonaランサムウェアの特徴

Trigonaランサムウェアの特徴は以下のようなものがあります。

• CryLockランサムウェアとの類似性がある
• 感染すると拡張子を追加される （._locked）
• Torブラウザをダウンロードされ、ランサムノートが表示される
• 復号化キーを暗号通貨moneroで購入するように求められる

ランサムウェアについての詳細は以下の記事で紹介しているので是非参考にしてください。

【解説】ランサムウェアに感染するとどうなる？確認方法と適切な初動対応まとめ

2024.3.11

ランサムウェアは、PC内のファイルを暗号化し、身代金を要求するマルウェアです。この種の悪質なソフトウェアは、ハッキングに使用されることが多く、近年は企業を狙った攻撃が激化しています。 ランサムウェアに感染した場合、適切な対処が必要です

CryLockランサムウェアとの類似性がある

Trigonaランサムウェアは「CryLock」と呼ばれるランサムウェアとの間に類似性があるといわれています。
類似している点は以下の点です。

• 二重恐喝手法を用いている点
• 復号キーと引き換えに身代金の支払いを要求する点
• 「How_to_decrypt.hta」の身代金要求メモを利用している点

TrigonaもCryLockもここ数カ月間活動が活発になっているランサムウェアで、感染するとデータの暗号化や身代金の要求、情報漏洩されます。復号化ツールなどは現状開発されていないため、すぐに専門業者で調査してもらうことが重要になります。

出典Bee-Ware of Trigona, An Emerging Ransomware Strain

感染すると拡張子「._locked」を追加される

Trigonaランサムウェアに感染すると、感染したファイルの拡張子に「._locked」を追加されます。拡張子が追加されてしまったファイルは暗号化され、正常に開いてアクセスするためには、データを復号化する必要があります。また、暗号化されたファイルはファイル名が「元のファイル名._locked 」に変更されます。

Torブラウザを経由したランサムノート「how_to_decrypt.hta」が表示される

Trigonaランサムウェアに感染すると、Torというブラウザを経由してランサムノート「how_to_decrypt.hta」が表示されます。

Torブラウザとは、匿名性を重視したウェブサイトで、一部では通常のウェブサイトでは販売できないような商品やサービスを販売しています。Torブラウザ上でランサムノート「how_to_decrypt.hta」を表示することによって、身代金の要求元や攻撃元などの情報が追跡できません。身代金の支払いなどについて攻撃者との交渉を行うためのサポートチャットもランサムノートとともに表示されます。
出典Similarities to CryLock Ransomware

復号化キーを暗号通貨moneroで購入するように求められる

データの暗号化を解除するためにの「復号化キー」と交換に身代金の要求をされますが、Trigonaランサムウェアでは暗号通貨「monero」での支払いが求められます。moneroは匿名性の高い暗号通貨で、送金者などの取引記録を非公開にする特徴があるため、追跡が困難な暗号通貨です。追跡が難しい分ビットコインなどの暗号通貨と比較して攻撃者にとっては都合がいい暗号通貨となっています。

出典securitylab.ru

ビットコインなどの場合は身代金を支払った後に追跡して金銭を奪還した事例もありますが、moneroでは難しいです。身代金は絶対に支払わないようにし、事実調査や個人情報保護委員会や警察、被害を受ける可能性がある人への報告を優先するために、調査専門会社に相談しましょう。

Trigonaランサムウェアで身代金を支払うリスク

Trigonaランサムウェアで身代金を支払うリスクは以下のようなものがあります。

• 支払ったとしても再度攻撃されるリスク
• 攻撃者は身代金を受け取っても復号キーを提供しない可能性がある
• 違法行為への関与が疑われる

支払ったとしても再度攻撃されるリスク

Trigonaランサムウェアは二重恐喝手法を用いている可能性が高いです。二重恐喝手法のランサムェアとは、データを暗号化し、暗号化解除のための復号化キーを渡す代わりに身代金を要求するだけでなく、感染したコンピュータ内に保存されているデータを公開することを第二弾の脅迫として行います。

また、サイバー犯罪者が集う掲示板「リークサイト」に盗んだデータを暴露・売買することで金銭的利益を得ていることも考えられます。身代金を支払ったとしても、繰り返し要求される可能性が高いので、身代金は支払わないようにしましょう。

攻撃者は身代金を受け取っても復号キーを提供しない可能性がある

データを復号化するために、身代金を支払ったとしても、復号キーを提供してもらえる保証はどこにもありません。むしろ攻撃者にとって、復号キーを返却しないでもう一度身代金を要求したり、情報をダークウェブ上などで売却した方が金銭的メリットがあります。復号キーの受け取りが確定しない以上、身代金を支払うことは大きなリスクですので、絶対に支払わないようにしましょう。

違法行為への関与が疑われる

ランサムウェアでの攻撃者に対して身代金を支払うということは、状況によっては反社会的勢力の活動助長や、さらなるサイバー攻撃へ寄与に繋がりかねません。たとえデータを復号化することが目的だったとしても、違法行為への関与が疑われると、無実だとしても企業の社会的信頼にも大きな被害を受ける可能性が高いです。身代金は絶対に支払わないようにしましょう。

また、ランサムウェアに感染して暗号化された情報が攻撃者によって情報漏洩しているにもかかわらず、事実を報告しないことも違法行為になります。罰則次第で1億円の罰金が発生するうえに、企業のイメージ損失による事業への悪影響が考えられます。ランサムウェアに感染した時には、直ぐに調査可能な専門会社に相談し、感染経路や漏洩事実を調査することが先決です。

Trigonaランサムウェアの主な感染経路

Trigonaランサムウェアの主な感染経路は以下のようなものがあります。

• VPNやRDPなどの脆弱性を突かれて感染
• 悪質なファイルを添付したフィッシングメールからの感染
• 悪質なウェブサイトからの感染

セキュリティが不十分なVPNやRDPなどのネットワークからの感染

Trigonaのランサムウェアの感染経路には、VPNやRDPなどの脆弱性を狙った攻撃があげられます。

社外から、社内のネットワークにリモートで接続できるVPNに脆弱性があり、サイバー攻撃の標的にされるケースが増えています。

被害を抑えるためには、VPN機器ベンダーからセキュリティの脆弱性が報告されていないかを確認し、定期的にセキュリティ設定の見直しが必要になります。

悪質なファイルを添付したフィッシングメールからの感染

フィッシングメールはランサムウェアの主要な感染経路の1つで、メールにランサムウェアを含んだ悪質なファイルを添付し、ファイルにアクセスすることでランサムウェアに感染する可能性がある攻撃手法です。

フィッシングメールからのランサムウェア感染を防ぐためには、以下のような対策を講じることが重要です。

• 不審なメールや添付ファイルを開かない
• 不明な差出人からのメールや添付ファイルを開かない
• メール内のリンクをクリックしない

悪質なウェブサイトからの感染

ダウンロードサイトやトレントサイト、偽のWebサイトなどの悪意を持って作成されたウェブサイトからランサムウェアに感染することがあります。広告やリンクなどから悪質な不正サイトへ誘導され、ランサムウェアに感染させられる可能性があります。また、アプリやソフトウェアのインストールを促され、アプリやソフトウェアの中にランサムウェアが内包されている可能性が高いです。やみくもに不審なサイトへ遷移したりアプリケーションをダウンロードせずに、安全性を確かめることが重要です。

もしランサムウェアに感染した可能性がある場合には、調査をして各方面に事実を報告する義務が発生します。身代金の支払いはせずに、まずは感染経路や情報流出の状況などを正確に調査するため、まずはランサムウェアの調査専門会社に相談しましょう。

Trigonaランサムウェアに感染したと疑われる場合の対処方法

Trigonaランサムウェアに感染したと疑われる場合の対処方法は以下の通りです。

• ネットワークから切断する
• 代替のアクセス手段を利用する
• データのバックアップが残っていないかを確認する
• ランサムウェア感染・サイバー攻撃の専門家に被害の調査を依頼する

ランサムウェアの感染経路7選と感染時の調査手法や対策を徹底解説

2024.3.11

このところ、身代金を要求するマルウェア「ランサムウェア」による被害が国内で急増しています。そのため、企業はランサムウェアの被害を受けないよう、セキュリティ対策を万全にし、

ネットワークから切断する

ランサムウェアは観戦した機器から周辺機器に二次被害を及ぼす可能性があるので、まずはネットワークから切断するようにしてください。無線ネットワークの場合は設定からネットワーク接続をオフにし、有線ネットワークの場合はケーブルを取り外しましょう。

注意点として、ランサムウェアに感染した疑いがある機器は電源を切らずにスリープモードで維持するようにしてください。電源を落としてしまうと、ログが削除されてしまい専門業者で事実調査をすることができなくなる可能性があります。

代替のアクセス手段を利用する

Trigonaランサムウェアに感染しないようにするには、RDPを使わずに代替のアクセス手段を講じることです。リモートワークを行う上で、セキュリティ体制が脆弱だとランサムウェア感染被害が発生する可能性が高くなります。安全なアクセス環境を構築する必要があります。

代替のアクセス手段を利用するのが難しい場合には、RDPとSSL-VPNを組み合わせる、あるいは多要素認証を導入して、通信の暗号化を強化した状態にしておきましょう。

データのバックアップが残っていないかを確認する

Trigonaランサムウェアに感染してデータが暗号化されたとしても、バックアップが残っていればデータにアクセスが可能な場合があります。データにアクセスできないという問題はこれで対策できる可能性が高いです。

しかし、情報漏洩している可能性があるという事実は変わらないので、バックアップがあるからといってトラブルが解決したわけではありません。「情報漏洩する」という強迫で身代金が要求される可能性や、実際に情報が流出させられる可能性もあります。バックアップがあったとしても、まずはランサムウェアの感染状況を調査することが必須ですので、まずは専門業者に相談しましょう。

Trigonaランサムウェア感染・サイバー攻撃の専門家に被害の調査を依頼する

Trigonaランサムウェアに感染した際は、単にバックアップからデータを復元するだけでは全く不十分です。

情報漏えいの有無や感染経路を特定しなければ、バックドア（マルウェアが出入りする勝手口）を仕掛けられていても気づくことはできません。また被害範囲が分からず、被害を繰り返してしまう恐れがあります。

しかし、個人での原因特定には、限界があるため、適切な調査を行うには、サイバーセキュリティの専門家に相談することが最善の対処法と言えます。

なお、ランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

【比較】フォレンジック調査とは？費用や事例からおすすめ会社の選び方を徹底解説

2024.3.5

※この記事は2024年5月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタ

まとめ

今回はTrigonaランサムウェアに感染したときの特徴や感染経路、対処方法を紹介しました。ランサムウェアに感染した時は、身代金の要求に対してどのように対処するかも重要ですが、暗号化された情報の流出の可能性を考えてまずは事実の調査をすることが一番重要になります。

万が一情報漏洩が発生していた場合には、個人情報保護法に従って個人情報保護委員会・警察・被害を受ける可能性がある方に情報漏洩の事実を報告する義務が発生します。もし法律に従わずに報告しなければ、最悪の場合1億円の罰金が科せられる可能性や、社会的信用の損失によって事業への被害が発生する可能性があります。

ランサムウェア感染の可能性がある場合には、まず専門業者に相談して事実調査をしてください。