BlackDreamランサムウェア（.BlackDream）は主にWindowsをターゲットとしたランサムウェアです。このランサムウェアに感染すると拡張子に「.BlackDream」が追加され、データが暗号化されてしまいます。

ランサムウェアに感染した場合、適切な対処が必要です。また個人情報保護の観点から、被害に遭った企業は専門業者の支援が必要になる場合があります。

被害を最小限に抑えるためにも、適切な初動対応と調査を行いましょう。この記事では、BlackDreamランサムウェアの特徴をはじめ、感染が疑われる場合の対処法、調査手法について解説します。

BlackDreamランサムウェア（.BlackDream）の特徴

BlackDreamランサムウェア（.BlackDream）の特徴について解説します。

• ファイルの拡張子に「.BlackDream」が追加される
• ランサムノート「ReadME-Decrypt.txt」が表示される

ファイルの拡張子に「.BlackDream」が追加される

BlackDreamランサムウェアは、ファイルを暗号化した場合に、ファイル名が変わります。具体的には、拡張子「.BlackDream」、固有のID（ランダムで8桁）、攻撃側のメールアドレスが追加され、「ABC_123.jpg」というファイルが暗号化された場合は下記のようになります。

「ABC_123.jpg」　⇒　「ABC_123.jpg.[固有ID].[攻撃側メールアドレス].BlackDream」

出典:PCrink

ランサムノート「ReadME-Decrypt.txt」が表示される

出典:PCrink

ランサムウェアに感染するとテキストファイルがダウンロードされます。そのテキストファイルは警告文が含まれ、通称「ランサムノート」と呼ばれます。BlackDreamランサムウェアの場合は「ReadME-Decrypt.txt」というファイルがダウンロードされます。

身代金に関しては、対象となる被害者が個人の場合は数百ドル、企業の場合は数百万ドルまで変動し、いずれもビットコインで要求されます。ランサムノートは、暗号化されたファイルの通知、攻撃者への連絡方法、ビットコインでの支払い手順、そして支払わなければデータが削除されるという警告が記載されています。さらに、ランサムノートに書かれているチャット機能を通じて被害者に対して連絡するように指示します。

以下は、画像の内容の要約です。

• あなたのシステムは暗号化され、ファイルは独自のアルゴリズムでロックされています。
• ツールやプログラム、回復方法を使用してファイルが損傷した場合、責任を負いません。
• ファイルは暗号化されたのみで損傷していません。信頼を得るために、重要でないファイルを2つまで送って頂ければ無料で復号します。
• 送信ファイルはテキストやPDF、画像など読みやすい形式で送る必要があります。
• 連絡はテレグラムまたはメールで行い、支払い用のビットコインアドレスは返信で通知されます。
• 騙そうとすると価格が上がるだけなので、時間を無駄にしないでください。

ランサムウェア攻撃で身代金を払うのはリスクがある

データの暗号化被害の次に発生するのが「身代金要求による金銭被害」です。攻撃者は、ランサムウェアの暗号化を解除する条件として、身代金を要求します。感染を知らせるアラートと共に支払い要求のランサムノートが表示され、身代金を支払わなければ暗号化されたデータをダークウェブで公開するなどと脅迫します。しかし、身代金を支払ってもデータが復号化される保証はありません。

さらに、身代金を支払う行為は悪質な組織への金銭的支援とみなされ、デメリットしかありません。支払わないことが重要です。身代金を支払った場合、データの復号化が約束されないだけでなく、繰り返し支払いを要求されたり、欠陥のある復号ツールを提供されたりするリスクもあります。また、国際的な犯罪組織に資金と情報を提供することになり、再度標的にされる可能性もあります。

復号ツールを入手する唯一の方法は、攻撃者との交渉しかないと思うかもしれませんが、そんなことはありません。復号ツールが「NoMoreRansom」などで公開されていたら入手できる可能性があります。攻撃者との交渉には多大なリスクが伴いますので身代金の支払いは避け、専門家に相談することをおすすめします。

BlackDreamランサムウェアの感染経路

BlackDreamランサムウェアの考えられる感染経路についてご紹介します。

• トレントウェブサイト
• マルバタイジング
• フィッシングメールや添付ファイル
• VPNの脆弱性
• RDPの脆弱性

トレントウェブサイト

トレントウェブサイトは、ユーザーがファイルを共有するためのプラットフォームです。ただし、これらのサイトで提供されるファイルは信頼できるとは限らず、攻撃者はソフトウェア、音楽などのファイルにランサムウェアを仕込んでアップロードすることがあります。

ユーザーがランサムウェアが仕込まれたトレントファイルをダウンロードし実行すると、ランサムウェアがシステムに感染してしまいます。

マルバタイジング

悪意のある広告（マルバタイジング）は、ランサムウェアの感染につながる可能性があります。

攻撃者は、オンライン広告に悪意のあるコードを埋め込み、ユーザーに悪意のある広告をクリックさせることで、ランサムウェアに感染させます。また、広告をクリックしていなくても表示されただけで感染してしまうケースもあります。

フィッシングメールや添付ファイル

フィッシングメールやスパムメールには、Emotetなどのマルウェアが添付されていることがよくあり、心当たりのないメールの添付ファイルやURLにアクセスすると、ランサムウェアに感染する可能性があります。

フィッシングメールやスパムメールの悪質化は進行しており、公式のサービスに似たホームページやメールフォームが多く登場しています。最近では、メールだけでなく、SNSのダイレクトメールを通じてスパムメッセージが送られる被害も増えています。さらに、HTMLの中に悪質なスクリプトを埋め込んで、メールを開封するだけでウイルスに感染させる手法もあります。

これらのメールの添付ファイルやリンクを開くと、ランサムウェアだけでなく、多数のマルウェアに感染するリスクがあります。見知らぬアドレスから届いたメールは絶対に開封しないようにしましょう。もしフィッシングメールやスパムメールを開封してしまった場合は、すぐにネットワークから切り離し、専門会社に依頼して感染の有無を調査しましょう。

VPNの脆弱性

VPNとは、特定のユーザーのみが利用できる仮想ネットワークでデータをやり取りする技術です。フリーWi-Fiと比べて、情報漏えいやウイルス感染のリスクを抑えることができるため、多くの企業で利用が進んでいます。

しかし、VPN機器を狙ったサイバー攻撃も増えています。攻撃者は、認証に使うアカウント情報やVPNのセキュリティ脆弱性を利用してネットワークに侵入します。対策が不十分な場合、VPN機器のベンダーやソフトウェアのバージョンを確認され、攻撃対象となります。また、設定ミスでログイン情報が漏れると、外部からの不正アクセスを許してしまいます。

RDPの脆弱性

RDP（リモートデスクトッププロトコル）は、別のデバイスからデスクトップPCにアクセスするための通信規格で、リモートワークの普及により利用が増えています。しかし、セキュリティの脆弱性があり、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃により、リモートログインのパスワードが盗まれる可能性があります。

ランサムウェア感染経路はVPN/RDPの脆弱性が最多 | 感染時の対応は？

2024.3.5

最近のサイバー攻撃では、VPNやRDPの脆弱性が最も頻繁に悪用され、特に身代金を要求する悪質なマルウェア「ランサムウェア」の主要な感染経路となっています。 そのため企業や組織がこれらのリモートアクセス

ランサムウェア感染時の対応

ランサムウェア感染時には素早く適切な対応が必要になり、その方法についてもご紹介いたします。

• ネットワークから感染した端末を切り離す
• バックアップから感染前のデータを復旧する
• ランサムウェア感染調査に対応した専門業者を利用する

ネットワークから感染した端末を切り離す

直ちに、感染が疑われるデバイスをネットワークから切り離してください。BlackDreamランサムウェアを含むマルウェアは、ネットワークを介して感染を拡大させる性質を持っています。感染の疑いのあるデバイスをネットワークからなるべく早く切り離すことで、被害の拡大を防ぐ効果があります。

バックアップから感染前のデータを復旧する

BlackDreamランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することができます。バックアップからファイルの復元を試みましょう。

ランサムウェア感染調査に対応した専門業者を利用する。

データの復元に成功しても、感染の疑いがある場合は、必ず専門家に相談することをお勧めします。ランサムウェアは、個人だけでなく他者にも被害をもたらす可能性が高く、非常に厄介です。専門知識がないまま対処すると、感染が拡大し、業務停止や個人情報の漏洩などにより顧客にも被害を及ぼす危険性があります。

このような事態を防ぐためには、適切な対処を行う際に速やかに専門業者に相談することが重要です。ランサムウェア対応の実績がある専門業者であれば、安全かつ正確な対処が可能であり、被害を最小限に抑えることができます。

ランサムウェア感染の調査会社を一覧で紹介|被害や会社の選び方も解説

2024.3.5

「ランサムウェアに感染した」「身代金を要求されている

サイバーセキュリティの専門業者に被害の調査を依頼する

ランサムウェアに感染した場合、単にデータを復号するだけでなく、「情報漏えいがあったか」「何が原因でランサムウェアに感染したか」といった事後調査が必要です。しかし、個人での原因特定や暗号化されたデータの復元（復号）には限界があるため、適切な調査を行うには専門業者に相談するのが最善です。

ランサムウェアの感染経路を調査するためには、「フォレンジック調査」という方法が有効です。フォレンジックとは、スマホやPCなどの電子機器やネットワークに記録されているログ情報などを解析・調査する技術で、社内不正調査やサイバー攻撃被害調査に活用されます。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として採用されています。個人での対処が難しい場合は、条件に合った専門業者に相談することをおすすめします。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• • 官公庁・捜査機関・大手法人の依頼実績がある
  • 緊急時のスピード対応が可能
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる

• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

＞フォレンジック調査会社の一覧リストはこちら

まとめ

今回はBlackDreamランサムウェア（.BlackDream）について、特徴や感染防止策、復旧方法を解説しました。感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。また、感染が疑われる際はネットワークからの隔離を速やかに行い、必要に応じて専門業者への相談も含めて対応策を検討してください。

フォレンジック調査に必要な費用・相場の目安は？料金の内訳についても解説

2024.3.5

「フォレンジック調査」とは、パソコンやスマートフォン、サーバーなどの電子端末内のデータを証拠として保全・解析する調査です。主にマルウェア・ランサムウェア感染・ハッキング・不