Playランサムウェア（「.PLAY」）の特徴と対処法について解説

Playランサムウェアの特徴とは

Playランサムウェアは2022年6月に発見されたランサムウェアの一種です。感染するとファイルが暗号化され「.PLAY」という拡張子が付加されます。

その後、「ReadMe.txt」という名前のランサムノートを作成します。一般的なランサムノートには、身代金の要求や、盗んだ情報を不特定多数に公開するといった脅迫文が書かれていますが、Playランサムウェアのランサムノートは、攻撃者のTorサイトへのリンクと連絡用のEメールアドレスのみが記載されています。

また、盗んだ個人情報を公開するリークサイト「Play News」を運営しており、攻撃を受けた企業のリストと、収集したデータを不特定多数へ向けて公開しています。

出典：Fortinet

Playランサムウェアの感染経路

Playランサムウェアも他のランサムウェアと同様に、流出したVPNアカウントやローカルアカウントや、公開されたRDPサーバーなどを標的として感染することがあります。

一方でPlayランサムウェア独自の感染経路として、FortiOSの脆弱性「CVE-2018-13379」と認証面の脆弱性「CVE-2020-12812」を攻撃に利用する傾向にあります。特に2つ目の脆弱性は、ユーザ名の大小の文字を変更すると、２つ目の認証要素であるFortiTokenが要求されずにログインできてしまうものです。

古いFortiOSを利用している場合は、すぐにFortiOSのバージョンをアップデートして感染に備えましょう。

出典：Trend Micro

Playランサムウェアに感染した時の対処法

Playランサムウェアに感染した場合、以下の対処法を行いましょう。

• 端末をネットワークから切断する
• ログなどの証拠を収集する
• 警察に相談する
• 取得済みバックアップからデータ復旧を行う
• ランサムウェア感染調査会社に相談する

端末をネットワークから切断する

Playランサムウェアの感染を食い止めるために、直ちにネットワークから切断する必要があります。LANケーブルを抜くか、Wi-Fiをオフにして、物理的に接続を遮断します。これにより、ランサムウェアの拡散を防ぎ、他の端末やシステムへの感染を阻止できます。

また、ネットワークから切断することで、攻撃者によるデータの窃取や追加のマルウェアのダウンロードを防ぐことができます。

ログなどの証拠を収集する

感染端末のログやシステム情報を収集することは、攻撃の経路や範囲を特定する上で重要です。システムログ、ネットワークログ、セキュリティソフトのログなどを保存します。

また、暗号化されたファイルの拡張子や、表示されたランサムノートの内容も記録します。これらの情報は、ランサムウェアの種類を特定し、適切な対応策を講じる上で重要な手がかりとなります。さらに、法的対応や保険請求の際の証拠としても活用できます。

警察に相談する

Playランサムウェアに感染したら、取得したログなどと一緒に最寄りの警察署か、サイバー犯罪相談窓口に速やかに相談しましょう。警察は最新の脅威情報や対処法に関する知見を持っており、適切なアドバイスを提供できる可能性があります。

また、被害届を提出することで、犯罪統計に反映され、将来的な対策強化につながります。さらに、国際的な捜査協力により、攻撃者の特定や資金の追跡に貢献する可能性もあります。

取得済みバックアップからデータ復旧を行う

定期的に取得していたバックアップがある場合、それを使用してデータを復旧します。バックアップを使用する前に、そのバックアップが感染前のものであることを確認することが重要です。

復旧作業は、完全にランサムウェアを除去してから行い、感染源を完全に排除した後に実施します。バックアップからの復旧は、身代金を支払わずにデータを取り戻す最も効果的な方法です。

ランサムウェア感染調査会社に相談する

Playランサムウェアに感染してしまった企業は、個人情報の漏洩が発生した可能性が極めて高く、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。

法律での「事業者の守るべき責務」は次の通りになっています。

• 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される（従来は努力義務）
• ペナルティ（罰金）の強化
• 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化

法人が措置命令違反で課せられる罰金刑上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。

全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。

編集部おすすめ調査会社：デジタルデータフォレンジック(おすすめ度)

「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。

• 「ランサムウェア感染調査や対処を個人で行うのが不安」
• 「ランサムウェアが感染しているかどうか早く知りたい」
• 「確実な調査や対処を行いたい」

このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。

こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。

相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

Playランサムウェア感染を予防する方法

Playランサムウェアに感染しないためには、社内セキュリティを強化することが重要です。ランサムウェア感染を予防する方法は以下の通りです。

• ランサムウェア対策ソフトを導入する
• データのバックアップを定期的に取得しておく
• ユーザー認証情報を強力なものに再設定する
• ネットワーク セグメンテーションを実施する

ランサムウェア対策ソフトを導入する

Playランサムウェアの対策にはランサムウェア対策ソフトの導入が効果的です。一般的なウイルス対策ソフトにはない、高度な振る舞い解析やフィルタリング、ウイルスの検知・駆除などの機能を有している場合があります。

データのバックアップを定期的に取得しておく

ランサムウェア感染に備えて、データのバックアップを定期的に取得しておきましょう。ランサムウェア感染に伴うデータの喪失を最小限に抑えられます。数カ月から1年分のバックアップを、クラウド上や外付けHDDなどに保存しておき、感染リスクを低減させましょう。

ユーザー認証情報を強力なものに再設定する

ランサムウェアの感染経路に多い、VPNやRDPの脆弱性を狙った感染を予防するために、ユーザー認証情報を強化しましょう。二要素認証(2FA)やトークンベースの認証を導入し、複雑で長いパスワードに設定しておくと、不正アクセスを予防できます。

定期的なパスワード変更やアカウントの監視を実施し、不正アクセスの兆候を早期に発見することが重要です。

ネットワーク セグメンテーションを実施する

ネットワークセグメンテーションとは重要なデータや機密情報を含むシステムを分離し、アクセス制御を厳格化することです。これにより端末がランサムウェアに感染しても、感染範囲を制限できます。

また、端末の異常な通信パターンや不審なアクセスを検出しやすくなり、早期の対応が可能になります。さらに、セグメント間の通信を監視し、必要最小限のアクセスのみを許可することで、ランサムウェアの拡散リスクを大幅に低減できます。

まとめ

Playランサムウェアに感染しても身代金は支払わないようにしましょう。支払いの有無に感染なく、ダークウェブ上のサイトで情報公開されるリスク、サーバーやVPN機能の脆弱性の有無に関係なく不特定多数に情報が公開される可能性があるため、すぐにランサムウェア感染の専門家に相談し、感染経路や情報漏えい調査を行い、被害の全容の把握に努めましょう。