無料会員登録
Globeimposter(LOLKEKとしても知られる)は主にWindowsをターゲットとしたランサムウェアであり、いくつかのグループに分派しながら活発な活動を続けています。
Globeimposterに感染すると拡張子が「.CCfH」「.C1H」「.C2H」「.C3H」「.C4H」などに書き換わり、データが暗号化されてしまいます。ランサムウェアに感染した場合、個人情報保護の観点から、被害に遭った企業は専門業者の支援が必要になる場合があります。被害を最小限に抑えるためにも、適切な初動対応と調査を行いましょう。
この記事では、Globeimposterランサムウェアの特徴をはじめ、感染が疑われる場合の対処法、調査手法について解説します。
目次
Globeimposterランサムウェアとは?
Globeimposterは、2017年に初めて観測されたランサムウェアです。ランサムウェアとは、デバイスやファイルを暗号化し、それを復号するために身代金を要求するマルウェアです。
GlobeImposter は感染したデバイスに身代金メモを残し、復号キーの支払い (通常は暗号通貨) を要求します。通常、メモには支払い方法と攻撃者への連絡方法が記載されています。
以下のような症状がある場合、Globeimposterに感染している可能性があるため注意しましょう。
- アイコンが全て白くなった
- ネットワーク上の共有ファイルが開けない
- ファイルの拡張子が全て同じ文字になった
- 「Decryption INFO.html」という身代金要求の脅迫画面が表示された
もし Globeimposterに感染してしまった場合、適切な調査機関に対応を依頼し、被害状況を確認する必要があります。
出典PCrisk
Globeimposterランサムウェアの特徴
Globeimposterランサムウェアには主に以下のような特徴があります。
- 拡張子が「.CCfH」「.C1H」「.C2H」「.C3H」「.C4H」などに書き換わり、ランサムノート「HOW TO BACK YOUR FILES.txt」が表示される
- RDPを悪用する
- 強力なアルゴリズム「RSA 2048」を採用しており、復号ツールが提供されていない
- 脆弱なMS-SQLサーバーをターゲットとする
- 韓国での被害が多発している
- 情報を盗み取るマルウェアをインストールする
拡張子が「.CCfH」「.C1H」「.C2H」「.C3H」「.C4H」などに書き換わり、ランサムノート「HOW TO BACK YOUR FILES.txt」が表示される
Globeimposterランサムウェアに感染すると、拡張子が「.C1H」(数値は亜種により変わることがある)などに書き換わり、ランサムノート「HOW TO BACK YOUR FILES.txt」が表示されます。
ランサムノートとは、ランサムウェアの攻撃者によって被害者に表示されるメッセージです。ランサムノートは、身代金を支払うように脅迫する内容が書かれています。ただ、身代金を支払うことはおすすめできません。身代金を支払っても、データが復元されるとは限りません。また、身代金を支払うことで、攻撃者に犯罪行為を助長することになります。
今後の対応などについてはサイバーセキュリティ専門家に相談されることを強くおすすめします。
出典PCrisk
RDPを悪用する
Globeimposterランサムウェアは多くの場合で、リモートデスクトップ プロトコル (RDP) の脆弱性を利用し、システムに侵入します。
RDP は、ユーザーがリモートでコンピューターに接続して操作できるようにする仕組みですが、セキュリティ上の脆弱性も存在し、攻撃者は、これらの脆弱性を悪用して、RDP 経由で不正アクセスし、ランサムウェアをインストールすること手口が主流です。Globeimposterランサムウェアも例外ではないので、感染時はRDPの脆弱性を疑いましょう。
>ランサムウェアにおけるVPNやRDPの脆弱性に関する具体的なリスクはこちら
強力なアルゴリズム「RSA 2048」を採用しており、復号ツールが提供されていない
GlobeImposterランサムウェアは「RSA 2048」による強力な暗号化アルゴリズムを採用しています。RSA暗号は公開鍵暗号の一種で、鍵長が2048ビットもあり、スーパーコンピューターでの解析にも数年を要するとされ、復号ツールも提供されていません。
感染したシステムを使い続けると、ランサムウェアが他のシステムに感染したり、データの破損が拡大したりする可能性があるため、被害調査はサイバーセキュリティ専門家に依頼することをおすすめします。
脆弱なMS-SQLサーバーをターゲットとする
GlobeImposterの攻撃者は、MS-SQLサーバーの脆弱性を悪用して、サーバーに侵入し、データを暗号化します。そして、被害者に身代金を要求することがあります。
MS-SQLサーバーは、マイクロソフトが開発したデータベース管理システムです。さまざまな業界や業種で利用され、普及率は世界トップクラスですが、MS-SQLサーバーには脆弱性も存在し、攻撃者は、この脆弱性を悪用してサーバーに侵入することがあります。
韓国での被害が多発している
韓国のセキュリティ専門組織ASECの調査によると、MS-SQLを対象としたランサムウェア攻撃でGlobeImposterが全体の52.6%を占めています。韓国国内におけるランサムウェアによる申告件数は年々倍増しており、韓国のIT産業の急速な成長とそれに伴うセキュリティ対策の遅れが、この状況の背後にあると考えられます。
出典ASEC
情報を盗み取るマルウェアをインストールする
Globeimposterは感染時、情報を盗み取るマルウェアをインストールするするという特徴があります。情報を盗み取られた場合、被害者は、身代金を支払うだけでなく、情報の漏洩による二次被害にも注意する必要があります。
たとえば個人情報や業務データが流出すると、他の攻撃者からさらなるサイバー攻撃を受ける可能性が高まります。また、リークサイトに情報が公開される恐れもあります。
企業や組織は、情報漏えいの疑いがある場合、個人情報保護の観点から、ランサムウェアの侵入経路や漏えいした情報などを速やかに調査を行う必要があります。もし調査の結果、情報漏えいが確認された場合は、速やかに関係者に周知し、被害の拡大を防ぐ必要があります。また、情報漏えいの原因を分析し、再発防止策を講じることも重要です。
Globeimposterランサムウェアの感染が疑われる場合の対処法
Globeimposterランサムウェアの感染が疑われる場合の対処法は以下のとおりです。
ネットワークの遮断
Globeimposterランサムウェアの感染が疑われる場合、まずはネットワークを遮断しましょう。
ランサムウェアは、感染した端末からネットワークを通じて他の端末に感染を広げる可能性があります。そのため、ランサムウェアの感染が疑われる場合は、まずはネットワークを遮断して被害の拡大を防ぐことが重要です。
メールアドレス・パスワードの変更
メールアドレスやパスワードを変更せず使用し続けるのは危険なため、ランサムウェアの感染が疑われる際は変更しましょう。
ただ、メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない端末で行ってください。既に感染した端末で変更すると、変更した情報が詐取され、再び悪用される恐れがあります。
データの復旧
Globeimposterランサムウェアに感染した場合、暗号化されたデータの復旧が必要となります。事前にバックアップを取っている場合は、サーバーの初期化を行った後、バックアップからデータの復元を試しましょう。
また、データ復号ソフトを使用することで、暗号化されたデータを復旧できる可能性があります。ただし、ソフトのインストールの際に必要なデータを上書きする可能性がある上、復旧できるデータが限られるなど、データ消失のリスクもあることを留意しておきましょう。
感染経路を調査
ランサムウェア感染時、侵入経路の調査し、攻撃者の手口を把握することが推奨されています。
なぜならランサムウェア感染時、どの脆弱性を悪用し、どの経路から侵入したのかを特定しないまま、復旧作業を行った場合、被害の拡大や再攻撃のリスクを招くおそれがあります。
これ以外にもコンプライアンスの観点からみて、感染経路を明確にすることは非常に重要です。ただし、個人で感染経路や被害状況を調査することは難しいとされています。
なぜならランサムウェア感染の調査には、ネットワークに関する知識はもちろん、膨大な量のログやデータを分析する必要があり、調査に時間と労力が必要になるからです。
そこで有効なのが「フォレンジック調査」です。
フォレンジック調査とは、デジタル機器に残された記録やデータの保全、調査、分析を行う技術であり、ランサムウェアの感染経路調査に適しています。これによって個人では対応できない領域まで調査することができます。ランサムウェア感染時は、フォレンジック調査の専門業者に相談しましょう。
ランサムウェアに感染経路や対処法については、以下の記事で詳しく紹介しています。
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
Globeimposterランサムウェアの感染対策方法
Globeimposterランサムウェアの感染対策方法は以下のとおりです。
OS・ソフトウェアを最新バージョンにアップデートする
Globeimposterランサムウェアは、コンピュータやネットワークの脆弱性を突いて感染することがあります。そのため、OSやソフトウェアを常に最新の状態にキープしておくことが大切です。
ランサムウェア対策ソフトウェアを利用する
Globeimposterランサムウェアの感染対策として、セキュリティソフトウェアを利用しましょう。
セキュリティソフトは、ランサムウェアの検知や駆除、感染源のデバイスの使用制限などができる対策ツールです。ランサムウェアの脅威は年々高まり続けていますが、対策ソフトを利用することで、ランサムウェアを検知し、デバイスへの感染を防ぐことができます。
ネットワークアクセス保護を有効にする
ネットワークアクセス保護とは、ネットワークにアクセスできるコンピュータを管理・制限するWindowsのセキュリティ機能です。これを有効にすることでアカウントを保護し、ランサムウェア攻撃から情報を守ることにつながります。
ID・パスワードをより強固なものに設定する
Globeimposterランサムウェアの感染を予防するために、ID・パスワードをより強固なものに設定し直しましょう。簡単なIDやパスワード設定だと攻撃のリスクが高まります。簡単なIDやパスワードを使用していたり、管理者パスワードを初期設定のままにしていたりする場合は、強固なパスワードに変更することをおすすめします。
Globeimposterランサムウェアの感染が疑われる場合の注意点
Globeimposterランサムウェアの感染が疑われる場合の注意点は以下のとおりです。
身代金の要求に応じない
Globeimposterランサムウェアは、データを暗号化し、その復号と引き換えに身代金を要求することがあります。しかし、身代金を払ってもデータが復号される保証はありません。そのため、身代金の要求には応じないようにしましょう。
攻撃者が提供してくるプログラムをダウンロードしない
攻撃者が提供してくるプログラムをダウンロードしないようにしましょう。プログラムファイルにウイルスが仕込まれており、さらなる被害の拡大につながる恐れがあります。
無理に自力で処理しない
ランサムウェア感染の疑いがある場合は、無理に自力で処理をしないように注意しましょう。
状況が把握できていないまま対処しようとすると被害が拡大する恐れがあります。そのため、ランサムウェアに感染したときは、専門業者に速やかに相談しましょう。
まとめ
今回は、Globeimposterランサムウェアの特徴や対策方法などを解説しました。ランサムウェアに感染すると個人情報が漏えいしたり、サイバー攻撃の拠点にされたりする恐れがあります。ランサムウェアに感染しないためにしっかりと対策を講じ、必要に応じて専門業者への相談も検討しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。