BlackCat（ALPHV）は主にWindowsをターゲットとしたランサムウェアであり、2021年11月に初観測されて以来、世界中で猛威を振るっています。BlackCatは被害規模が大きくなりやすく、年々その脅威が拡大しつつあります。

BlackCat（ALPHV）に感染すると拡張子が「.bzeakde」などに書き換わり、データが暗号化されてしまいます。ランサムウェアに感染した場合、適切な対処が必要です。また個人情報保護の観点から、被害に遭った企業は専門業者の支援が必要になる場合があります。被害を最小限に抑えるためにも、適切な初動対応と調査を行いましょう。

この記事では、BlackCat（ALPHV）ランサムウェアの特徴をはじめ、感染が疑われる場合の対処法、調査手法について解説します。

BlackCat（ALPHV）ランサムウェアとは？

BlackCat（ALPHV）は、2021年11月に初めて観測されたランサムウェアです。ランサムウェアとは、デバイスやファイルを暗号化し、それを復号するために身代金を要求するマルウェアです。

以下のような症状がある場合、BlackCatに感染している可能性があるため注意しましょう。

• アイコンが全て白くなった
• ネットワーク上の共有ファイルが開けない
• ファイルの拡張子が全て同じ文字になった
• 「GET IT BACK-[file_extension]-FILES.txt」という身代金要求の脅迫画面が表示された

BlackCat（ALPHV）ランサムウェアの身代金要求メモ

もし BlackCat（ALPHV）に感染してしまった場合、適切な調査機関に対応を依頼し、被害状況を確認する必要があります。

BlackCat（ALPHV）ランサムウェアの特徴

BlackCat（ALPHV）ランサムウェアには主に以下のような特徴があります。

• RaaS形態のランサムウェア
• 三重恐喝・四重恐喝
• 盗んだ情報をリークサイトに公開する
• Rust で書かれたランサムウェア
• 世界中の大企業や組織を攻撃身

RaaS形態のランサムウェア

BlackCat（ALPHV）ランサムウェアは、RaaS（Ransomware as a Service）形態のランサムウェアです。これはランサムウェアを第三者に「サービス」として提供するビジネスモデルです。

ランサムウェアの開発や攻撃には、本来、高度な技術や知識が必要ですが、RaaSによって、技術や知識がない人でもランサムウェアを使った攻撃の実行が容易になり、世界中にランサムウェア攻撃が拡大することとなりました。

出典Medium

三重恐喝・四重恐喝

BlackCat（ALPHV）は、不正に侵入したデバイスのシステムやデータを暗号化し、それを復号するための身代金を要求するランサムウェアです。被害者が応じなければ機密データを詐取し、それを公開すると脅迫します。しかし、それだけではなく、三重恐喝や四重恐喝が行われるケースが増加しています。

三重恐喝では、複数のコンピュータから同時に攻撃を仕掛けてサーバーやネットワークをダウンさせるDDoS 攻撃を開始します。また、四重恐喝では、被害者のビジネスパートナーや従業員、メディアに対してハッキングされた事実を暴露します。

ただ、身代金を払っても上記の被害を防げる保証はないため、金銭の要求には応じないようにしましょう。

出典Medium

盗んだ情報をリークサイトに公開する

BlackCat（ALPHV）は、詐取した情報をリークサイトに公開するという特徴があります。

詐取した情報の多くには、個人情報や業務データが含まれ、他の攻撃者からさらなるサイバー攻撃を受ける可能性が高まります。また、リークサイトに情報を公開することで、被害者に身代金を払うよう圧力をかける目的もあります。

出典Malwarebytes Labs

Rust で書かれたランサムウェア

BlackCat（ALPHV）は、Rustというプログラミング言語で開発された非常に高度なランサムウェアです。Rustは、安全性と信頼性に優れた並列処理を実現するプログラミング言語だと考えられています。

Rustで書かれたランサムウェアは、ランサムウェア対策ツールなどの検出を回避できる確率が高くなり、また他のマルウェアとのコードの類似性を回避できるというメリットがあります。さらに、データの暗号化が強力で、一度暗号化されると復号が困難になります。

出典ZDNET

世界中の大企業や組織を攻撃

BlackCat（ALPHV）ランサムウェアは、世界中の企業や組織を攻撃しており、政府機関から医療機関、製造業にいたるまで幅広い分野で被害が発生しています。BlackCatの身代金要求額は最大 250万ドル（日本円で約3億7800万円）にも上り、その被害規模の大きさがわかります。

2022年には玩具メーカーのバンダイナムコに対してBlackCatの攻撃があり、日本を除くアジア地域社内システム内にハッカーが侵入する事例が発生しました。

出典Medium

BlackCat（ALPHV）ランサムウェアの感染が疑われる場合の対処法

BlackCat（ALPHV）ランサムウェアの感染が疑われる場合の対処法は以下のとおりです。

• ネットワークの遮断
• メールアドレス・パスワードの変更
• データの復旧
• 感染経路調査

ネットワークの遮断

BlackCat（ALPHV）ランサムウェアの感染が疑われる場合、まずはネットワークを遮断しましょう。

ランサムウェアは、感染した端末からネットワークを通じて他の端末に感染を広げる可能性があります。そのため、ランサムウェアの感染が疑われる場合は、まずはネットワークを遮断して被害の拡大を防ぐことが重要です。

メールアドレス・パスワードの変更

メールアドレスやパスワードを変更せず使用し続けるのは危険なため、ランサムウェアの感染が疑われる際は変更しましょう。

ただ、メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない端末で行ってください。既に感染した端末で変更すると、変更した情報が詐取され、再び悪用される恐れがあります。

データの復旧

BlackCat（ALPHV）ランサムウェアに感染した場合、暗号化されたデータの復旧が必要となります。事前にバックアップを取っている場合は、サーバーの初期化を行った後、バックアップからデータの復元を試しましょう。

また、データ復号ソフトを使用することで、暗号化されたデータを復旧できる可能性があります。ただし、ソフトのインストールの際に必要なデータを上書きする可能性がある上、復旧できるデータが限られるなど、データ消失のリスクもあることを留意しておきましょう。

データの暗号化については以下の記事をご覧ください。

データが暗号化された？暗号化データの復号・復旧方法｜ランサム感染

2024.3.11

データ保護の重要性が高まる昨今、情報漏洩防止などの観点から、データを暗号化することはごく当たり前のことになっています。しかし、この暗号化されたデータにトラブルが発生した場合、暗号化の種類によっては、一部のデ

感染経路を調査

ランサムウェア感染時、侵入経路の調査し、攻撃者の手口を把握することが推奨されています。

なぜならランサムウェア感染時、どの脆弱性を悪用し、どの経路から侵入したのかを特定しないまま、復旧作業を行った場合、被害の拡大や再攻撃のリスクを招くおそれがあります。

これ以外にもコンプライアンスの観点からみて、感染経路を明確にすることは非常に重要です。ただし、個人で感染経路や被害状況を調査することは難しいとされています。

なぜならランサムウェア感染の調査には、ネットワークに関する知識はもちろん、膨大な量のログやデータを分析する必要があり、調査に時間と労力が必要になるからです。

そこで有効なのが「フォレンジック調査」です。

フォレンジック調査とは、デジタル機器に残された記録やデータの保全、調査、分析を行う技術であり、ランサムウェアの感染経路調査に適しています。これによって個人では対応できない領域まで調査することができます。ランサムウェア感染時は、フォレンジック調査の専門業者に相談しましょう。

ランサムウェアに感染経路や対処法については、以下の記事で詳しく紹介しています。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

【比較】フォレンジック調査とは？費用や事例からおすすめ会社の選び方を徹底解説

2024.3.5

※この記事は2024年7月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタ

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• 緊急時のスピード対応が可能
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

＞フォレンジック調査会社の一覧リストはこちら

BlackCat（ALPHV）ランサムウェアの感染対策方法

BlackCat（ALPHV）ランサムウェアの感染対策方法は以下のとおりです。

• OS・ソフトウェアを最新バージョンにアップデートする
• ランサムウェア対策ソフトウェアを利用する
• ネットワークアクセス保護を有効にしアカウントを保護する
• ID・パスワードをより強固なものに設定する

OS・ソフトウェアを最新バージョンにアップデートする

BlackCat（ALPHV）ランサムウェアは、コンピュータやネットワークの脆弱性を突いて感染することがあります。そのため、OSやソフトウェアを常に最新の状態にキープしておくことが大切です。

ランサムウェア対策ソフトウェアを利用する

BlackCat（ALPHV）ランサムウェアの感染対策として、セキュリティソフトウェアを利用しましょう。

セキュリティソフトは、ランサムウェアの検知や駆除、感染源のデバイスの使用制限などができる対策ツールです。ランサムウェアの脅威は年々高まり続けていますが、対策ソフトを利用することで、ランサムウェアを検知し、デバイスへの感染を防ぐことができます。

ネットワークアクセス保護を有効にする

ネットワークアクセス保護とは、ネットワークにアクセスできるコンピュータを管理・制限するWindowsのセキュリティ機能です。これを有効にすることでアカウントを保護し、ランサムウェア攻撃から情報を守ることにつながります。

ID・パスワードをより強固なものに設定する

BlackCat（ALPHV）ランサムウェアの感染を予防するために、ID・パスワードをより強固なものに設定し直しましょう。簡単なIDやパスワード設定だと攻撃のリスクが高まります。簡単なIDやパスワードを使用していたり、管理者パスワードを初期設定のままにしていたりする場合は、強固なパスワードに変更することをおすすめします。

BlackCat（ALPHV）ランサムウェアの感染が疑われる場合の注意点

BlackCat（ALPHV）ランサムウェアの感染が疑われる場合の注意点は以下のとおりです。

• 身代金の要求に応じない
• 攻撃者が提供してくるプログラムをダウンロードしない
• 無理に自力で処理しない

身代金の要求に応じない

BlackCat（ALPHV）ランサムウェアは、データを暗号化し、その復号と引き換えに身代金を要求することがあります。しかし、身代金を払ってもデータが復号される保証はありません。そのため、身代金の要求には応じないようにしましょう。

攻撃者が提供してくるプログラムをダウンロードしない

攻撃者が提供してくるプログラムをダウンロードしないようにしましょう。プログラムファイルにウイルスが仕込まれており、さらなる被害の拡大につながる恐れがあります。

無理に自力で処理しない

ランサムウェア感染の疑いがある場合は、無理に自力で処理をしないように注意しましょう。

状況が把握できていないまま対処しようとすると被害が拡大する恐れがあります。そのため、ランサムウェアに感染したときは、専門業者に速やかに相談しましょう。

まとめ

今回は、BlackCat（ALPHV）ランサムウェアの特徴や対策方法などを解説しました。ランサムウェアに感染すると個人情報が漏えいしたり、サイバー攻撃の拠点にされたりする恐れがあります。ランサムウェアに感染しないためにしっかりと対策を講じ、必要に応じて専門業者への相談も検討しましょう。