2022年より活動を開始しているRoyalランサムウェアに感染すると、端末のファイルが暗号化され、ネットワーク侵入時に盗んだ個人情報の公開と引き換えに、仮想通貨での身代金の支払いを要求されます。
Royalランサムウェアに身代金を支払っても、支払いの遅さや身代金を支払い不可能な金額までつりあげられ、情報を公開されることがあります。加えて、身代金を犯罪グループに支払ったとして企業の責任問題に発展する可能性もあるため、身代金は絶対に支払わないようにしましょう。
本記事ではRoyalランサムウェアの特徴と感染した場合の対処法について詳しく解説しています。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Royalランサムウェアの特徴
画像出典:Bleeping computer
初めにRoyalランサムウェアの攻撃の特徴や感染経路について解説します。
- Royalランサムウェアの攻撃の手口
- Royalランサムウェアの感染経路
Royalランサムウェアの攻撃の手口
Royalランサムウェアは、不正アクセスに成功して被害者のシステムに侵入すると、認証情報や個人情報などのデータを盗みます。その後、仮想ディスクファイル(VMDK)などを暗号化します。この時暗号化されたファイルの拡張子は「.royal」に変更されます。
Royalランサムウェアは感染端末やネットワークプリンタを利用して、データを復号させるために身代金の支払いを要求します。ランサムノートと呼ばれる脅迫文の中には、盗んだデータをオンライン上に公開するといった内容も含まれます。これは二重脅迫と呼ばれる手口で、身代金の支払いに関係なく攻撃グループのサイトに盗まれた情報が公開されることがあります。
Royalランサムウェアの感染経路
Royalランサムウェアの主な感染経路には、食品配達業者やプロバイダーになりすまし、サブスクリプションサービスなどの更新手続きなどを装った、フィッシングメールなどが利用されることがあります。
フィッシングメールを開くと、偽のサブスクリプションをキャンセルするための電話番号が書かれており、電話をかけると、攻撃グループが不正アクセスを仕掛けるためのソフトウェアをインストールさせられます。
Royalランサムウェアの攻撃グループについて
Royalランサムウェアは、2022年9月に初めて観測されましたが、その起源は2022年1月にさかのぼります。当初、Zeonという名前のランサムウェアファミリーとして活動していました。
Royalランサムウェアの攻撃グループは、Contiランサムウェアの元メンバーで構成されており、特に「Conti Team One」と呼ばれるチームの出身者が含まれています。これらのメンバーの中には、2018年に発見されたRyukランサムウェアの開発に関わっていた者もいます。
また前項目では北米の企業が主な標的と述べましたが、2024年6月に発生した国内企業KADOKAWAのランサムウェア感染に用いられた「Black suit」ランサムウェアはRoyalランサムウェアの派生とされ、Royalランサムウェアのメンバーが関与した可能性が高いです。
出典:ビジネス+IT
Royalランサムウェア感染時の対処法
Royalランサムウェアに端末が完成した場合、以下の手順で対処して感染の拡大を食い止めましょう。
- 端末をネットワークから切断する
- 暗号化されたデータを復号する
- 警察に相談する
- ランサムウェア感染調査会社に相談する
端末をネットワークから切断する
Royalランサムウェアの感染が疑われる端末は、直ちにネットワークを切断してください。これにより、ランサムウェアの拡散を防ぎ、被害の拡大を最小限に抑えることができます。
有線LANケーブルを物理的に抜き、Wi-Fiを無効にしましょう。また、USBデバイスなどの外部記憶媒体も取り外します。この時、端末の電源は切らず、今後の調査のために電源はつけたままにしてください。
暗号化されたデータを復号する
Royalランサムウェアによって暗号化されたデータの復号は非常に困難です。なお、身代金と引き換えに攻撃グループが提供する復号ツールは、身代金支払い後でも正常に機能しない可能性があるため、使用は推奨されません。
ランサムウェアに感染していないバックアップデータを用いて、システムの復元を試みてください。
なお「No more Ransom」プロジェクトなど、セキュリティ企業や警察が復号ツールを提供している場合がありますので、データの復号を望む場合は、提供元が信頼できるものを使用しましょう。
警察に相談する
Royalランサムウェアに感染したら、速やかに最寄りの警察署やサイバー犯罪窓口に連絡し、被害状況や感染経路などの詳細情報を提供してください。警察から対処法など適切なアドバイスを得られる場合があります。
ランサムウェア感染調査会社に相談する
社内のセキュリティの脆弱性を調査したり、ランサムウェア感染による情報漏えい被害を調べたい場合は、、幅広い専門知識や高い調査技術を持つランサムウェア感染調査に相談すると詳細な調査を行ってもらえます。
また、ランサムウェアの感染は時間が重要な要素となります。感染が発覚したら即座に対応する必要がありますので、専門家が迅速に対応できるかどうかも確認してください。
法人の場合、個人情報などが漏洩した場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
特に、法人による命令違反で課せられる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
サイバー攻撃のインシデント調査会社は全国50社以上あるため、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Royalランサムウェア感染の予防策
Royalランサムウェア感染を予防するには、常にセキュリティ対策を強化しておくことや、万が一感染した時にすぐシステムを復旧できるように備えておくことが重要です。
Royalランサムウェア感染に有効な予防策は以下の通りです。
- アカウントのパスワードを強力なものに再設定する
- アカウントの権限を制限する
- 定期的にバックアップを取得する
アカウントのパスワードを強力なものに再設定する
強力なパスワードの使用と二要素認証の導入は、Royalランサムウェアの感染リスクを大幅に低減させる重要な対策です。パスワードは、大文字、小文字、数字、特殊文字を組み合わせた12文字以上の複雑なものを使用し、各アカウントで異なるパスワードを設定してください。
さらに、多要素認証(MFA)を有効にすることで、パスワードが漏洩しても不正アクセスを防ぐことができます。特に管理者アカウントや重要なシステムへのアクセスには、生体認証やハードウェアキーなどの強力な認証方法を採用することが推奨されます。
アカウントの権限を制限する
最小権限の原則に基づいたアカウント権限の制限は、Royalの被害を最小限に抑えるための重要な対策です。各ユーザーに必要最小限の権限のみを付与し、特に管理者権限の使用を厳しく制限してください。
特に管理者レベル以上のアカウントには時間ベースのアクセス制限を導入し、不要な特権の常時使用を避けます。さらに、重要なシステムへのアクセスには専用のアカウントを使用し、一般社員用のアカウントと分離することが効果的です。
定期的にバックアップを取得する
定期的なバックアップの取得は、Royalランサムウェアによるデータ喪失のリスクを大幅に軽減する重要な対策です。バックアップは、ネットワークから物理的に切り離された外部ストレージやクラウドサービスに保存し、定期的に更新してください。
またバックアップデータの整合性と復元可能性を定期的にテストし、緊急時に迅速に復旧できるよう準備しておきましょう。
まとめ
Royalに感染したら、まずはすぐにネットワーク接続を遮断して、VPN機器、リモートデスクトップのパスワードを変更するなど、感染の拡大を最小限に抑えましょう。既に端末が感染してしまった場合は痕跡が消されてしまう前に、専門家に相談して情報漏えいや感染経路について端末調査を検討してください。