無料会員登録
ランサムウェアとは、ファイルの暗号化を行い、身代金の支払いを要求するマルウェアです。
なかでも「Qilin」(別名:Agenda)は、2022年に初確認されたランサムウェアで、現在までに世界中の企業で深刻な被害をもたらしています。
そこで、この記事ではQilinの特徴や感染時のリスク、適切な対処法を解説します。正確な情報を知ることで、迅速な対処を取れるようにしましょう。
目次
Qilinランサムウェアとは
Qilin(別名:Agenda)ランサムウェアの特徴は次のとおりです。
- Rust言語とGo 言語で書かれたランサムウェア
- Windows系コンピュータを標的としている
- 医療機関や教育機関を標的にしている
- 要求する身代金の額も標的の企業に応じて異なる
Rust言語とGo言語で書かれたランサムウェア
Qilinは、Rust言語とGo言語で書かれたランサムウェアであり、ともに高速なコンパイル型言語です。
これら言語はインタプリタ型言語(PythonやPerl)と比べて高速に機能しやすく、そのうえコードを意図的に読みにくく記述する難読化が容易です。つまり、両言語を用いれば、暗号化を高速化でき、ソフトによる検出も回避しやすいため、Qilinにかぎらず、しばしば新種のランサムウェアの作成に悪用されています。
Windows系コンピュータを標的としている
Qilinランサムウェアは、おもにWindowsを標的対象としていますが、Rust言語はカスタマイズが容易のため、Linuxおよびその他のOSにも感染を広げることが出来ます。
こうした柔軟性により、コンピュータを仮想化するソフトウェア「VMware ESXi」にも感染を広げることが容易なことから、Windows以外のユーザーにとっても感染対策がマストとなっています。
製造業やIT産業、医療機関や教育機関を標的にしている
Qilinランサムウェアは、おもに製造業やIT産業、そして医療機関や教育機関を攻撃しています。
特に医療機関や教育機関が狙われやすい理由として、彼らはそれらが人命や教育に直結する重要なインフラであることを知っており、身代金を要求することで、より多くの利益を得ることができると考えているからです。また、患者や生徒の個人情報を盗み出すことで、なりすましやその他の犯罪に使用したり、売却したりして利益を得ることができるという卑劣な動機も背景に存在します。
これまでQilinランサムウェアがリークサイトに掲載した企業は、南アフリカから東南アジアまで様々であり、その合計収益は5億5000万米ドル(約770億円)を超えています。
要求する身代金の額も標的の企業に応じて異なる
ランサムウェアの要求額は企業によって異なり、50,000ドルから 800,000ドルの範囲です。
これは日本円で約600万円から1億円になりますが、ここまで要求額が異なっている理由は、いくつかあります。
要求額を左右する要素としては、下記のものがあります。
- 企業の規模や業種
- 保有するデータの価値
- ランサムウェア攻撃者の組織力や能力
- 企業の支払い能力
たとえばランサムウェア攻撃者は、企業の規模や業種を把握して、要求額を決めることがあります。特に大企業や重要インフラ企業は、保有するデータの価値が高いため、ランサムウェア攻撃者から高額な身代金を要求される可能性があります。
また企業の支払い能力もランサムウェアの要求額に影響を与える可能性があり、過去に身代金の入金実績のある企業では、より高い身代金を要求する場合があります。
Qilinランサムウェアに感染するとどうなるのか
Qilinランサムウェアに感染すると「Ransom.Win32.AGENDA.THIAFBB」というアラートが表示され、次のような症状が見られます。
- 「.MmXReVIxLV」拡張子に暗号化される
- 「README-RECOVER-MmXReVIxLV.txt」というランサムノートが表示される
- 二重恐喝をおこなう
ランサムウェアに感染するとどうなるかについては下記の記事でも詳しく解説しています。
「.MmXReVIxLV」拡張子に暗号化される
Qilinランサムウェアは、感染したシステム内のファイルを「.MmXReVIxLV」という特定の拡張子で暗号化します。
これにより、被害者はファイルを正常にアクセスできず、データが利用不能になりますが、これは攻撃者の意図や特定のランサムウェアの識別に役立つ重要な要素となります。
「README-RECOVER-MmXReVIxLV.txt」というランサムノートが表示される
Qilinランサムウェア感染後、被害者に対して身代金の支払い方法や連絡先を記載した「README-RECOVER-MmXReVIxLV.txt」というファイルが表示されます。
内容を要約すると次のとおりです。
- システムは暗号化されました。暗号化されたファイルには新しい拡張子が付けられます
- お客様のシステム/ネットワークから機密データをダウンロードしました
- お客様が当社との連絡を拒否し、当社が合意に達しない場合、お客様のデータは公開されます
- ファイルを変更した場合、当社の復号ソフトウェア以外ではデータを回復できません
- サードパーティのソフトウェアを使用している場合、ファイルが破損したり変更される可能性があります
- ファイルを復元するには暗号キー/復号化ソフトウェアが必要です
- 警察や当局は、暗号キーの入手を支援することはできません
出典:secneurx.com
二重恐喝をおこなう
上記のランサムノートにもあるとおり、Qilinランサムウェアは「二重恐喝(ダブルエクストーション)」を採用しています。
二重恐喝型ランサムウェアとは、コンピュータに保存されているデータを暗号化して復号するための身代金を要求するだけでなく、さらに第二弾の脅迫として感染したコンピュータ内に保存されているデータを公開すると脅迫して金銭を要求するランサムウェアです。
二重恐喝型ランサムウェアは、従来のランサムウェアよりも被害が大きく、企業や個人にとって大きな脅威となっています。
Qilinランサムウェアの被害事例
近年のQilinランサムウェア被害事例は以下のとおりです。
- 2023年11月 Yanfeng Automotive Interiors(Yanfeng)
- 2023年12月 ビクトリア州裁判所サービス(CSV)
- 2024年6月 英病理検査機関Synnovis
2023年11月 Yanfeng Automotive Interiors(Yanfeng)
2023年11月、中国の自動車部品開発・製造会社であるYanfengがサイバー攻撃の被害を受けた影響で、ステランティスは北米の工場での生産停止を余儀なくされたと報じられました。ステランティスとは、2021年に設立された多国籍自動車製造会社で2022年時点で販売台数が世界第4位の自動車メーカーです。
Qilinランサムウェアグループは、データ漏洩恐喝サイトにYanfengを追加し、Yanfengへの攻撃を主張しています。
この攻撃の影響でYanfengのWebサイトはアクセス不能でしたが、2024年6月時点では復旧しています。Yanfengから障害に関する声明は出ていません。
2023年12月 ビクトリア州裁判所サービス(CSV)
オーストラリアのビクトリア州裁判所サービス(CSV)は、2023年12月21日にサイバー攻撃を検出したとの声明を発表しました。
この攻撃で影響を受けたシステムは直ちに隔離され無効化されましたが、調査によると侵害は2023年12月8日という早い時期に発生しており、漏洩した記録は2023年11月1日まで遡ることが判明したと言われています。
CSVは攻撃の犯人を公表していませんが、 ABCニュースでは、Qilinランサムウェア集団が攻撃を実行したと報道されています。
2024年6月 英病理検査機関Synnovis
2024年6月3日、英病理検査機関Synnovisがランサムウェア攻撃を受け、臨床検査システムが使用不能となりました。
英国民保健サービス(NHS)は、この攻撃を受けた際に流出した患者データの内、約400GBの個人情報がQilinによってダークウェブに公開されたと発表しました。
BBCが確認したデータのサンプルには、患者の名前、生年月日、NHS番号、血液検査結果の詳細などが含まれているようです。
元国家サイバーセキュリティセンター所長で現在はオックスフォード大学教授のマーティン氏は、BBCラジオ4のワールド・アット・ワン番組で、システムが復旧するまでに数か月かかる可能性があると語りました。
出典:BBC
Qilinランサムウェアの感染経路とは
Qilinランサムウェアの感染経路として次のものを挙げることができます。
- パッチが適用されていない脆弱性
- 不正なコンテンツのダウンロード
- セキュリティが不十分なRDP
- フィッシングメール
ランサムウェアの感染経路については下記の記事でも詳しく解説しています。
パッチが適用されていない脆弱性
ランサムウェアは、パッチが適用されていない脆弱性を悪用することで、簡単にシステムに侵入でき、企業や個人に大きな被害をもたらす可能性があります。
パッチを適用していない脆弱性は、ランサムウェアの感染経路となるだけでなく、その他のサイバー攻撃にも悪用される可能性があります。そのため、パッチを適用していない脆弱性を防ぐことは、企業や個人にとって非常に重要です。
パッチを適用していない脆弱性を防ぐためには、ソフトウェアのアップデートを常に適用し、セキュリティソフトを導入することが重要です。
不正なコンテンツのダウンロード
P2Pを利用したトレントファイルなどのダウンロードはランサムウェア感染のリスクを増加させます。P2Pネットワークでは、ユーザーが直接ファイルをやり取りするため、悪意のあるファイルが混入するリスクが高くなります。また、P2Pネットワークは匿名性が高く、悪意のあるファイルをアップロードしたユーザーを特定することが難しいため、ランサムウェア感染のリスクがさらに高まります。
セキュリティが不十分なRDP
RDPは、コンピュータのリモート接続を可能にする通信規格です。
ただし、不適切な設定や弱いパスワードを使用すると不正ログインされる恐れがあるため、適切な設定と強力なパスワードを使用することが重要です。
フィッシングメール
フィッシングメールとは、偽のリンクや悪意ある添付ファイル(officeファイルなど)が含まれた偽メールです。
これらのリンクや添付ファイルをクリックすると、悪意のあるウェブサイトにアクセスされたり、ランサムウェアに感染したりする可能性があります。
フィッシングメールは、巧妙に作られているため、見分けるのが難しい場合がありますが、以下の対策を講じることで未然に被害を防ぐことができます。
- 不審なメールを開かない
- リンクや添付ファイルをクリックしない
- 巧妙に作られた偽のウェブサイトにアクセスしない
- セキュリティソフトを導入し、最新の脅威に対応する
Qilinランサムウェアに感染したと疑われる場合の対処方法
Qilinランサムウェアに感染したと疑われる場合の対処方法は次のとおりです。
- 感染端末をオフラインにする
- 身代金は支払わない
- バックアップを確認する
- データベースサイトに暗号化ファイルをアップする
- サイバーセキュリティの専門家に被害の調査を依頼する
ランサムウェアの被害を防ぐためには、セキュリティ対策を強化し、ランサムウェア攻撃者から身代金を要求された場合は、支払わないことが重要です。
感染端末をオフラインにする
ランサムウェアに感染すると、周囲の端末やファイルサーバーにも感染が広がってしまうことがあります。
そのため、異常を検知したら、端末をオフラインにすることで被害を最小限に抑えることができます。
身代金は支払わない
ランサムウェアに感染した場合、身代金を支払うことは避けるべきです。
身代金を支払ったとしても、データが復旧できるとは限りません。また、反社会的勢力への資金提供はコンプライアンスに抵触する恐れがあります。
ランサムウェアに感染した場合は、サイバーセキュリティの専門家に被害の調査を依頼し、ファイルの復元を試みることが重要です。また、今後の感染を防ぐための対策を講じることも重要です。
バックアップを確認する
Qilinランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、データを復元できます。ただし、バックアップからデータを復元する際には、最新のバックアップを復元するようにしてください。最新のバックアップがなければ、被害を受けたデータの最新のバージョンを復元することはできません。
またバックアップの頻度や適切な保管方法も重要です。
バックアップの頻度については、毎日、週に1回、月に1回など、データの重要度に合わせて設定する必要があります。
また、バックアップの保管方法については、オフラインで保管しておくことで、ランサムウェアの感染からデータを守ることができます。
データベースサイトに暗号化ファイルをアップする
ID Ransomware は、ランサムウェアを検索できる無料 サービスで、適切な対処法や復旧手段を見つけることができます。ただし、すべてのランサムウェアの種類が登録されているわけではなく、ランサムウェアの作成者が復号方法を変更することもあります。したがってデータベースを活用するだけでは、感染したファイルの復旧が保証されているわけではありません。
サイバーセキュリティの専門家に被害の調査を依頼する
ランサムウェアに感染した際は、個人での原因特定には、限界があるため、適切な調査を行う場合、サイバーセキュリティの専門家に被害の調査を依頼することで、迅速かつ効果的に被害を特定・回復できます。
サイバーセキュリティの専門家に被害の調査を依頼するメリットは、以下のとおりです。
- ランサムウェアの種類を特定し、適切な復旧方法を検討することができる
- ファイルの復元を試みることができる
- 今後の感染を防ぐための対策を講じることができる
仮に情報漏えいの有無や感染経路を特定しなければ、バックドア(マルウェアが出入りする勝手口)を仕掛けられていても気づくことはできません。また被害範囲が分からないままだと、攻撃が繰り返される恐れがあります。
こうしたランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。
おすすめフォレンジック調査会社
フォレンジックは、デジタルデバイスから電子的証拠を収集、分析するプロセスで、サイバー攻撃被害の全容解明に役立ちます。
しかし、フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計3.2万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✔官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
まとめ
今回は、Qilinランサムウェアの特徴についてはもちろん、ランサムウェアに感染した場合の適切な対処法や専門業者についても詳しく解説しました。
ランサムウェアは、近年では個人だけでなく企業や公的機関を狙うものが増加しており、被害総額も大幅に増加しています。
この記事で紹介した対処方法を確認し、被害を最小限に抑えることが重要です。
自分自身で対処することが難しい場合、ないし被害を把握し適切な対処を行う場合、専門業者に相談することも検討してみてください。専門家は、適切な対処法を提供し、被害を最小限に抑えるために役立ちます。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
ランサムウェアの感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。