MIRRORランサムウェア(拡張子「.Mr」)の特徴とは?感染経路・対処法を解説|サイバーセキュリティ.com

MIRRORランサムウェア(拡張子「.Mr」)の特徴とは?感染経路・対処法を解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。

MIRRORランサムウェアはあらゆる組織や個人をターゲットとしたランサムウェアです。このランサムウェアに感染すると拡張子が「.Mr」に書き換わり、データが暗号化されてしまいます。

ランサムウェアに感染した場合、適切な対処が必要です。また個人情報保護の観点から、被害に遭った企業はサイバーセキュリティ専門家の支援が必要になる場合があります。被害を最小限に抑えるためにも、適切な初動対応と調査を行いましょう。

この記事では、MIRRORランサムウェアの特徴をはじめ、感染が疑われる場合の対処法、調査手法について解説します。

MIRRORランサムウェア(「.Mr」)の特徴

MIRRORランサムウェア(拡張子)の特徴は以下のとおりです。

  • ファイルが暗号化され、ランサムノート「info-MIRROR.txt」が表示される
  • ファイル名が「.Mr」拡張子に変更される
  • ランサムウェア「Dharma」の一種
  • ファイアウォールを無効化する
  • リモートデスクトッププロトコル(RDP)の脆弱性を利用してコンピュータに侵入する

ファイルが暗号化され、ランサムノート「info-MIRROR.txt」が表示される

ファイルが暗号化され、ランサムノート「info-MIRROR.txt」が表示される

MIRRORランサムウェアに感染するとPC上のファイルを暗号化後、身代金を要求するランサムノート「info-MIRROR.txt」が表示されます。

このランサムノートには2つの重要な警告を含んでいます。暗号化されたファイルの名前を変更しないこと、そしてサードパーティのソフトウェアを使用してファイルを復号化しようとしないことです。しかし、ランサムウェア攻撃者の指示に従うことは推奨されていません。身代金を支払ってもデータが復元される保証はありません。支払いは犯罪者を助長するだけでなく、将来的にさらなる攻撃の標的となる可能性もあります。

このような状況では、専門家の助けを求め、身代金の支払いを避けることが最善の策です。まずはサイバーセキュリティ専門家に依頼して対処法について相談し、再発防止に向けて攻撃を受けた原因を分析しましょう。

画像出典MalwareWarrior

ファイル名が「.Mr」拡張子に変更される

MIRRORランサムウェアは、ファイルを暗号化する際に「ID」「tpyrcedrorrim@tuta.io」という文字列と「.Mr」という拡張子をファイルに追加します。

ID以下の文字列には犯人のメールアドレスや復号に必要な情報が含まれており、これは、被害者に復号を依頼し、身代金を要求するために設けられます。

画像出典PCrisk

ランサムウェア「Dharma」の一種

MIRRORランサムウェアは、Dharma(またの名をCrySIS)というランサムウェアの分派です。このランサムウェアは2016年に初めて出現して以来、 サービスとしてのランサムウェアであるRaaS (Ransomware-as-a-Service) といった様々な形に派生し、現在では多くの種類が存在します。

ファイアウォールを無効化する

MIRRORランサムウェアはファイアウォールを無効化するという特徴があります。ファイアウォールとは、外部からの不正アクセスを遮断し、ネットワークを保護するためのセキュリティシステムですが、ファイアウォールが無効化されると、不正アクセスやさらなるマルウェア感染、情報漏えいなどの被害が発生する可能性があります。

リモートデスクトッププロトコル(RDP)の脆弱性を利用してコンピュータに侵入する

MIRRORランサムウェアは、リモートデスクトッププロトコル(RDP)の脆弱性を利用してコンピュータに侵入する特徴があります。

RDPは、ネットワークを経由してリモートで別のコンピュータにアクセスする技術ですが、セキュリティ上の脆弱性が発生しやすく、サイバー攻撃のターゲットになりやすい点に注意する必要があります。

>リモートデスクトッププロトコル(RDP)の脆弱性についてはこちら

ランサムウェア攻撃で身代金を払うのはリスクがある

攻撃者の要求に容易に応じるべきではありません。身代金支払いの主なリスクは以下の3つです。

  • 一度支払うと再攻撃のリスクが高まる
  • 攻撃者は身代金を受け取った後、復号キーを提供しないことがある
  • 反社会的勢力に資金を提供することで、違法行為への関与を疑われる

多くのランサムウェア攻撃は反社会的勢力によって行われており、身代金を支払うことは犯罪組織への資金提供につながります。これは、企業イメージの毀損法的な責任を問われる可能性にも発展します。

結論として、ランサムウェア攻撃の被害に遭遇した場合には、直ちにサイバーセキュリティの専門家に連絡することが、被害を最小限に抑え、迅速に事態を解決する上で非常に重要です。

専門家は、攻撃の範囲を特定し、どのデータが影響を受けているかを把握するための技術的な知識を持っており、不正アクセスの検出、未知の脆弱性の特定、迅速な対応策の実施など、緊急時に取るべき行動に関する助言を知ることができます。これらの対応策は、ランサムウェアの影響を最小限に抑え、将来的な攻撃から自己を守るのに役立ちます。

MIRRORランサムウェアの感染経路

MIRRORランサムウェアの感染経路は以下のとおりです。

  • RDP(リモートデスクトップ)の脆弱性
  • フィッシングメール
  • 偽のWebサイト

RDP(リモートデスクトップ)の脆弱性

リモートデスクトッププロトコル(RDP)は、遠隔地からコンピューターを操作するために広く使用されています。しかし、セキュリティ対策が不十分だと、攻撃者にとって容易に侵入できる窓口となってしまいます。攻撃者は、弱いパスワードや既知の脆弱性を利用して、システムにアクセスし、MIRRORランサムウェアを仕込むことができます。

▶相談見積り無料!おすすめの調査会社はこちら>>

フィッシングメール

フィッシングメールは、信頼できる組織や個人を装って送られてくる詐欺メールです。これらのメールには、ランサムウェアが仕込まれた添付ファイルや悪意のあるリンクが埋め込まれていることがよくあります。ユーザーがこれらを開くと、MIRRORランサムウェアが自動的にダウンロードされ、感染が始まります。

偽のWebサイト

攻撃者は、正規のWebサイトそっくりの偽のWebサイトを作成することがあります。これらのサイトでは、無料のソフトウェアダウンロードやセキュリティアップデートが表示されることがありますが、実際にはランサムウェアが含まれています。サイトの訪問者がダウンロードやインストールを行うと、ランサムウェアに感染してしまいます。

出典PCrisk

MIRRORランサムウェアに感染したと疑われる場合の対処方法

MIRRORランサムウェアに感染したと疑われる場合の対処方法は以下のとおりです。

  • ネットワークを切り離す
  • 身代金を支払わない
  • バックアップを確認する
  • サイバーセキュリティの専門業者に被害の調査を依頼する

ネットワークを切り離す

まず、ランサムウェアに感染したデバイスの範囲を正確に特定することが重要です。ネットワーク内の他のデバイスも感染している可能性があるため、全体のセキュリティ状態を評価する必要があります。

感染が確認されたデバイスは、速やかにネットワークから隔離することで、ランサムウェアのさらなる拡散を防ぎます。これには、有線および無線のネットワーク接続を切断する作業が含まれます。

身代金を支払わない

ランサムウェアの攻撃者は、ファイルの解除と引き換えに身代金を要求することがありますが、支払いに応じるべきではありません。支払いが攻撃者の行為を助長するだけでなく、支払ったとしてもファイルが復元される保証はないため注意しましょう。

バックアップを確認する

事前に取っておいたバックアップがある場合は、感染していない別のデバイスを使ってバックアップの状態を確認しましょう。バックアップからデータを復元できる場合、感染したデバイスをクリーンな状態に戻した後、バックアップからデータを復元できます。

ただし、バックアップがランサムウェアに感染していると適切に復元できません。またバックアップが古すぎる場合、復元時にデータを失う恐れもあります。

バックアップからの復元に自信がない場合は、データ復旧の専門業者に依頼することを検討しましょう。

▶相談見積り無料!おすすめの調査会社はこちら>>

サイバーセキュリティの専門業者に被害の調査を依頼する

MIRRORランサムウェアに感染した場合、脆弱性修正や被害範囲の確認のため、サイバーセキュリティ専門家に連絡しましょう。

たとえばランサムウェアに感染した際に、バックドア(マルウェアが出入りする勝手口)を設置されることがありますが、情報漏えいの有無や感染経路を特定しなければ、その存在に気付くことができません。こういった被害の調査には専用のツールや専門知識が必要で、個人がおこなうと操作を誤り状態を悪化させる恐れもあります。そのため、ランサムウェアに感染した場合は、サイバーセキュリティの専門業者にて「フォレンジック調査」をすることをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • 緊急時のスピード対応が可能
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

公式サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。

一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。

運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等
サービス ●サイバーインシデント調査:
マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査
●社内不正調査:
退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元
●その他のサービス:
パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等
※法人・個人問わず対応可能
特長 官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査
※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)
基本情報 運営会社:デジタルデータソリューション株式会社
所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階
受付時間 24時間365日 年中無休で営業(土日・祝日も対応可)
★最短30分でWeb打合せ(無料)

>フォレンジック調査会社の一覧リストはこちら

まとめ

今回は、MIRRORランサムウェアの特徴、感染経路、対処法などを解説しました。

感染の疑いがある場合でも、慌てる必要はありません。代わりに、専門の調査会社への相談を検討しましょう。専門の調査会社では、迅速な原因特定と、将来の攻撃に対する予防策の強化などの支援を得ることができ、安心して正確な対処を行うことができます。

  • 中小企業の情報瀬キィリティ相談窓口[30分無料]
  • 情報処理安全確保支援士(登録セキスペ)募集
  • サイバー保険比較
  • 【企業専用】セキュリティ対策無料相談