Checkmateランサムウェア(.checkmate)の被害・感染経路・対処法を解説|サイバーセキュリティ.com

Checkmateランサムウェア(.checkmate)の被害・感染経路・対処法を解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。



ランサムウェアとは、ファイルの暗号化を行い、身代金の支払いを要求するマルウェアです。

「Checkmate」は、2022年7月に観測されはじめた比較的新しいランサムウェアで、世界中の企業で被害が多発しています。

そこで、本記事ではCheckmateの特徴や感染時の被害、適切な対処法を解説します。感染した時に適切に対処できるようにしましょう。

Checkmateランサムウェアの特徴と被害

Checkmateランサムウェアの特徴や感染した際に受ける可能性のある被害は以下のようなものがあります。

  • 感染すると拡張「.checkmate」が追加される
  • 無料の復号化サンプルが送付される
  • ウォレットアドレスから身代金の支払いを要求する

ランサムウェアについての詳細は以下の記事で紹介しているので是非参考にしてください。

感染すると拡張「.checkmate」が追加される

出典pcrisk.com

Checkmateランサムウェアに感染した際には、拡張子「.checkmate」が追加され、ファイルが暗号化されます。ファイルは復号化しなければアクセスできなくなります。ファイルを復号化するためには、復号化キーが必要になります。

無料の復号化サンプルが送付される

Checkmateランサムウェアに感染すると、ファイルが暗号化されたのちに、無料の復号化サンプルが送付されます。サンプルを使うと、暗号化されたデータのうち一部のファイルの復号化が可能です。無料サンプルを送付する意図は、「復号化が可能だと認識させる」「身代金を支払えば暗号化が解除できると思わせる」などの心理攻撃をすることです。

出典bugsfighter.com

しかし、実際は身代金を支払ったとしても復号化キーが送付される保証はないです。無料サンプルに惑わされて簡単に身代金を支払わないようにしてください。

ウォレットアドレスから身代金の支払いを要求する

出典id-ransomware.blogspot.com

Checkmateランサムウェアに感染したときに、データが暗号化された後にウォレットアドレスからビットコイン約15,000ドルを支払うことを要求する内容を記したランサムノートが送付されます。ウォレットアドレスとは仮想通貨の送付に用いられる固有の文字列です。ランサムノートが送付されると同時に「身代金を支払うためのウォレットアドレス」と「攻撃者に連絡するためのメールアドレス」も含んでいます。

たとえ身代金を払っても、ファイルが復号化できる保証はないうえに、繰り返し身代金を要求してくる「二重恐喝」が発生する可能性もあります。身代金を要求されたとしても、絶対に支払わないようにしてください。

また、ランサムウェアに感染した際には、身代金を要求されるほかにも「情報が漏えいしている」可能性が高いです。ダークウェブ上などで情報漏えいすると、情報が売買されている可能性画高いです。個人情報保護委員会へ報告が必須になるので、専門業者に相談してどれだけのデータが漏えいしたか、原因は何かなどの事実調査が必須です。まずは専門業者に相談しましょう。

Checkmateランサムウェアで身代金を支払うリスク

Checkmateランサムウェアで身代金を支払うリスクは以下のようなものがあります。

  • 身代金を支払ったとしても繰り返し攻撃されるリスク
  • 間接的な違法行為への加担が疑われる
  • 情報漏えいに気づかず違法行為が疑われる 

身代金を支払ったとしても繰り返し攻撃されるリスク

身代金を支払っても、繰り返し攻撃される「二重恐喝」が発生するリスクがあります。身代金を支払ってファイルが復号化されても、次は「盗んだデータを公開する」という内容で再度金銭を要求されるケースです。

また、身代金を支払ったにもかかわらず、復号化キーが送付されず、再度身代金が要求されるケースもあります。身代金を支払ったとしても、データが復号化される保証はないので、絶対に支払わないようにしましょう。

間接的に違法行為への加担が疑われる

ランサムウェアを利用している攻撃者は、違法行為を行っている悪質な組織である可能性が高いです。身代金を支払うことによって、悪質な組織に対しての資金援助をしていると捉えられてもおかしくはありません。

悪質な組織との関与が世間に広がると、企業のブランイメージや信用問題につながり、事業面での損害が発生する可能性が高いです。身代金は支払わないようにしてください。

情報漏えいに気づかず違法行為が疑われる

身代金への対処に時間をかけてしまうと、情報漏えいが発生していた場合に個人情報保護法の違法行為に発展する可能性があります。ランサムウェアに感染した時は、ほとんどの場合に情報漏えいが発生しているため、事実調査をする必要があります。調査結果を個人情報保護委員会や警察、被害が発生する可能性のある人に対して報告する義務が発生します。

報告を怠って法律違反が発生すると、最悪の場合には1億円の罰金や企業の信用損失につながります。ランサムウェアに感染した時は、まずは専門業者に依頼して事実を調査しましょう。おすすめ業者は以下で紹介しています。

Checkmate のランサムウェアの主な感染経路

Checkmate のランサムウェアの主な感染経路は以下のようなものがあります。

  • フィッシングメールからの感染
  • ドライブバイダウンロード
  • インターネットに公開されたSMBサービス

ランサムウェアの感染経路については以下の記事でも紹介しているので是非参考にしてください。

フィッシングメールからの感染

フィッシングメールはCheckmateランサムウェアの主要な感染経路の1つで、メールにランサムウェアを含んだ悪質なファイルを添付し、アクセスすることでCheckmateランサムウェアに感染する可能性がある攻撃手法です。

フィッシングメールからのCheckmateランサムウェア感染を防ぐためには、以下のような対策を講じることが重要です。

  • 不審なメールや添付ファイルを開かない
  • 不明な差出人からのメールや添付ファイルを開かない
  • メール内のリンクをクリックしない

ドライブバイダウンロード

ドライブバイダウンロードとは、WEBブラウザを用いてユーザーにバレないように不審なソフトウェアやアプリをダウンロードさせる攻撃手法です。ダウンロードした事実に気づかないまま放置してしまうと、ランサムウェアの被害が拡大してしまう可能性が高いです。

不審なソフトウェアやアプリをダウンロードさせる手順として、脆弱性のあるWEBサイトや不正なメールにアクセスさせ、悪意のあるソフトウェアを埋め込みます。ソフトウェアにアクセスしたユーザーにCheckmateランサムウェアをダウンロードさせ、機器を感染させます。不審なソフトウェアやアプリにはアクセスしないようにし、身に覚えのないものはすべて削除しましょう。

インターネットに公開されたSMBサービス

SMB(Server Message Block)サービスとは、コンピュータがリソースを共有できるようにするWindowsのネットワークプロトコルのことを指します。CheckmateランサムウェアはSMBサービスの脆弱性から感染する可能性があります。

SMBの脆弱性からランサムウェアに感染すると、内部のIPアドレスをランダムにスキャンされ、スキャンされた別のPCにも感染が拡大する可能性があります。ランサムウェアに感染した際には、直ぐにインターネットとの接続をやめ、スリープモードの状態で管理してください。

ランサムウェアに感染すると、盗まれたデータがダークウェブ上で売買される可能性があります。情報が漏えいした時は、個人情報保護委員会へ報告が必須になりますので、何のデータが漏えいしたか、感染経路がどこかなどの事実調査が必要です。まずはランサムウェアの感染調査が可能な専門業者に相談しましょう。

Checkmateランサムウェアに感染したと疑われる場合の対処方法

Checkmateランサムウェアに感染したと疑われる場合の対処方法は以下のようなものがあります。

  • ネットワークから切断する
  • 代替のアクセス手段を利用する
  • 身代金は絶対に支払わない
  • データのバックアップが残っていないかを確認する
  • ランサムウェア感染・サイバー攻撃の専門家に調査を依頼する

ネットワークから切断する

ランサムウェアに感染した時は、まず最初にインターネットから切断してください。インターネットに接続し続けると、ランサムウェアの感染被害が拡大する可能性があります。

注意点として、機器の電源は切らないようにしましょう。RAM上で管理されている機器のアクセスログなどの調査目的になる情報が削除される可能性があります。機器はスリープモードで管理し、早急に専門業者で調査するようにしましょう。

代替のアクセス手段を利用する

Checkmateランサムウェアに感染しないようにするには、RDPを使わずに代替のアクセス手段を利用する必要があります。リモートワークを行う上で、利用されることが多いRDPのアクセス手段ですが、キュリティ体制が脆弱だとランサムウェア感染被害が発生する可能性が高いです。なるべく使用せずに代替のアクセス手段を利用しましょう。

代替のアクセス手段を利用するのが難しい場合には、多要素認証を導入して、通信の暗号化を強化した状態にしてください。Checkmateランサムウェアに感染した際には、調査の専門業者に相談して事実調査を優先してください。

データのバックアップが残っていないかを確認する

Checkmateランサムウェアに感染した時は、別でデータのバックアップが残っていないかを確認しましょう。バックアップが残っている場合には、復号化する必要なしにデータを復元できる可能性があります。

しかし、データが復元できたとしても、情報漏えいしている可能性があるという事実は変わらないです。暗号化した情報を公開するという趣旨で身代金を要求される可能性もあります。

Checkmateランサムウェアに感染した時には、どんな状況だとしてもまず専門業者に相談して感染経路や事実調査をすることが必須です。まずはランサムウェアの調査を対応可能な専門業者に相談しましょう。

ランサムウェア感染・サイバー攻撃の専門家に調査を依頼する

Checkmateランサムウェアに感染した際は、単にバックアップからデータを復元するだけでは全く不十分です

情報漏えいの有無や感染経路を特定しなければ、バックドア(マルウェアが出入りする勝手口)を仕掛けられていても気づくことはできません。調査をしなければ被害範囲が分からず、被害を繰り返してしまう恐れがあります。

しかし、個人での原因調査は限界があるため、確実な調査をするためにはサイバーセキュリティの専門家に相談することが最善の対処法と言えます。

なお、ランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

Checkmateランサムウェアに感染したときにおすすめの調査会社

フォレンジックは、デジタルデバイスから電子的証拠を収集、分析するプロセスで、サイバー攻撃被害の全容解明に役立ちます。しかし、フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。

そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • スピード対応している
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計2.4万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。

調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。

また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長 官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査
(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)

まとめ

今回はCheckmateランサムウェアに感染したときの特徴や感染経路、対処方法を紹介しました。Checkmateランサムウェアは復号化の無料サンプルなど、心理的に身代金を支払いたくなるような攻撃手法が利用されるためとても悪質です。

万が一情報漏えいが発生していた場合には、個人情報保護法に従って各方面に報告する義務が生じます。もし法律に従わずに報告しなければ、最悪の場合1億円の罰金が科せられる可能性や、社会的信用の損失によって事業への被害が発生する可能性が高いです。

ランサムウェア感染の可能性がある場合には、まず専門業者に相談して感染経路や情報漏えいの有無などの事実調査をすることが先決です。

SNSでもご購読できます。