Black Cat(別名:ALPHV、Noberus)ランサムウェアは近年流行のランサムウェアとは異なり、ファイルの暗号化、盗んだ個人情報の暴露と脅迫に加え、多数の通信でサーバーをダウンさせるDDoS攻撃が行われる「四重脅迫」と呼ばれる手口を用いるランサムウェアです。
本記事ではBlack Cat(ALPHV)ランサムウェアの特徴と、感染した時の対処法について解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Black Catランサムウェアの特徴
近年流行したランサムウェアの多数は、感染すると暗号化する時に決まった拡張子が追加されます。そして身代金と引き換えに、盗んだデータを攻撃グループが運営するサイト上で公開する旨を脅迫する、二重脅迫と呼ばれる手口が用いられます。
Black Catランサムウェアはこのような多くのランサムウェアとやや異なる特徴を持つことを解説します。
- Black Catランサムウェアの攻撃の方法
- Black Catランサムウェアの感染経路
Black Catランサムウェアの攻撃の方法
Black Catランサムウェア(別名ALPHV)は、リモートデスクトッププロトコル、侵害された認証情報、Exchange Serverの脆弱性などを利用して初期アクセスを獲得します。また、偽のGoogle広告を通じてマルウェアをダウンロードさせる手法も使用します。
システムの不正アクセスに成功すると、Black Catは被害者のデータを窃取し、ファイルを暗号化します。暗号化されたファイルにはそれぞれランダムな拡張子が追加されます。
さらに、すべての暗号化されたディレクトリに「RECOVER-<random>-NOTES.txt」という身代金要求ファイルを作成します。
Black Catの特徴的な点は、近年流行しているランサムウェアと異なる「四重脅迫」を採用していることです。これは、ファイルの暗号化、盗んだデータを不特定多数に公開、DDoS攻撃の予告、取引先など関係者へのDDoS攻撃の予告といった内容が含まれます。
また、Rustプログラミング言語で開発されているため、Windows、Linux、VMwareなど多様なプラットフォームを標的にできます。
出典:Black Berry
Black Catランサムウェアの感染経路
Black Catランサムウェア(別名ALPHV)は、過去に流出した認証情報を使用して企業に不正アクセスを行います。侵入に成功すると管理者アカウントを奪い、「Windows」の「タスクスケジューラ」を使用して、ランサムウェアを展開する設定を行います。
マルウェア対策ソフトを利用していても、正規のWindowsツールである「Power Shell」などを使用して無効化されるため、極めて注意が必要です。
加えてCVE-2021-31207と呼ばれる脆弱性が悪用されていることが判明しています。これは危険なファイルを無制限にアップロードしてしまうMicrosoft Exchange Server脆弱性です。
出典:ZD Japan
出典:NVD
Black Catランサムウェアの国内感染事例
Black Catランサムウェアは国内でも複数の感染が報告されています。
こちらではBlack Catランサムウェアの国内感染事例を2つ紹介します。
- セイコー
- 中嶋製作所
セイコー
2022年7月28日にセイコー社の一部のサーバが、第三者に不正アクセスを受け、専門家による調査の結果、不正アクセスを受けたサーバ内に保存されていた約6万件の個人データが外部に漏えいした恐れがあることを認めました。
漏えいが確認されたデータの中には、セイコーウオッチ株式会社の顧客データや取引先担当者、採用応募者、セイコーグループ会社の従業員情報が含まれているとのことです。なお、クレジットカード情報は含まれていないとのことです。
その後、8月21日にBlack Catランサムウェアグループがリークサイトにセイコーから盗んだと思われるデータを掲載し、その中には従業員の個人情報や機密情報にあたる技術情報も含まれていました。
出典:SEIKO
中嶋製作所
2023年11月6日に社内基幹システムが正常に稼働しないトラブルが発生しました。調査の結果、パソコン、サーバー、ファイル等がBlack Catランサムウェアに感染していることが判明しました。
また、営業担当者のメールアドレス、見積書、図面、社員の個人情報などの流出の可能性があるとのことです。
出典:中嶋製作所
Black Catランサムウェアに感染した場合の対処法
Black Catランサムウェアの特徴と感染時の対処法について徹底解説ランサムウェアに感染した場合、以下の手順で対処しましょう。
- ネットワークから切断する
- ログなどの証拠を収集する
- 警察に相談する
- 取得済みバックアップからデータ復旧を行う
- ランサムウェア感染調査会社に相談する
ネットワークから切断する
感染が確認された端末は、直ちにネットワークから切断する必要があります。LANケーブルを抜くか、Wi-Fiをオフにして、物理的に接続を遮断します。これにより、ランサムウェアの拡散を防ぎ、他の端末やシステムへの感染を阻止できます。
また、攻撃者によるデータの窃取や追加のマルウェアのダウンロードを防ぐことができます。ネットワークから切断することで、被害の拡大を最小限に抑え、対応のための時間を確保することができます
ログなどの証拠を収集する
感染端末のログやシステム情報を収集することは、攻撃の経路や範囲を特定する上で重要です。システムログ、ネットワークログ、セキュリティソフトのログなどを保存します。
また、暗号化されたファイルの拡張子や、表示されたランサムノートの内容も記録します。これらの情報は、ランサムウェアの種類を特定し、適切な対応策を講じる上で重要な手がかりとなります。さらに、法的対応や保険請求の際の証拠としても活用できます。
警察に相談する
サイバー犯罪対策課など、警察のサイバーセキュリティ部門に速やかに相談することが重要です。警察は最新の脅威情報や対処法に関する知見を持っており、適切なアドバイスを提供できる可能性があります。
また、被害届を提出することで、犯罪統計に反映され、将来的な対策強化につながります。さらに、国際的な捜査協力により、攻撃者の特定や資金の追跡に貢献する可能性もあります。
取得済みバックアップからデータ復旧を行う
定期的に取得していたバックアップがランサムウェアに感染していなければ、バックアップからシステムのデータを復旧します。復旧作業は、ランサムウェア除去ソフトなどで完全にランサムウェアを除去してから実施します。
ランサムウェア感染調査会社に相談する
Black Catランサムウェアに感染してしまった場合、情報漏洩が発生した可能性が極めて高く、法人の場合、個人情報などが漏洩した場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
法人が措置命令違反で課せられる罰金刑は上限50万円から1億円に引き上げられました。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Black Catランサムウェア感染を予防する方法
Black Catランサムウェアに感染しないためには、社内セキュリティを強化することが重要です。主なセキュリティ対策の方法は以下の通りです。
- ランサムウェア対策ソフトを導入する
- データのバックアップを定期的に取得しておく
- ユーザー認証情報を強力なものに再設定する
- ネットワーク セグメンテーションを実施する
- 従業員にセキュリティ トレーニングを実施する
ランサムウェア対策ソフトを導入する
Black Catランサムウェアの対策にはランサムウェア対策ソフトの導入が効果的です。高度な振る舞い解析やWebフィルタリング、ウイルスの検知・駆除などの機能によって、未知のランサムウェアにも対応できる能力を持っています。
データのバックアップを定期的に取得しておく
ランサムウェア感染に備えて、データのバックアップを定期的に取得しておきましょう。ランサムウェア感染に伴うデータの喪失を最小限に抑えられます。数カ月から1年分のバックアップを、クラウド上や外付けHDDなどに保存しておき、感染リスクを低減させましょう。
ユーザー認証情報を強力なものに再設定する
ユーザー認証情報を強化するには二要素認証(2FA)やトークンベースの認証を導入し、複雑で長いパスワードに設定しておきましょう。これにより、フィッシング攻撃や資格情報の侵害によるアクセスを防ぎます。
定期的なパスワード変更やアカウントの監視を実施し、不正アクセスの兆候を早期に発見することが重要です。最小権限の原則に基づくゼロトラストセキュリティを実装することで、マルウェアが検知されずに必要なアクセス権を取得する可能性を低減できます。
ネットワーク セグメンテーションを実施する
ネットワークセグメンテーションとは重要なデータや機密情報を含むシステムを分離し、アクセス制御を厳格化することです。これにより端末がランサムウェアに感染しても、感染範囲を制限できます。
また、端末の異常な通信パターンや不審なアクセスを検出しやすくなり、早期の対応が可能になります。さらに、セグメント間の通信を監視し、必要最小限のアクセスのみを許可することで、ランサムウェアの拡散リスクを大幅に低減できます。
従業員にセキュリティ トレーニングを実施する
Black Catランサムウェアは主にフィッシングメールを通じて初期侵入を行うため、従業員教育が極めて重要です。不審なメールの見分け方、安全なウェブ閲覧習慣、適切なパスワード管理などについて定期的なトレーニングを実施します。
まとめ
Black Catランサムウェアに感染したら、システムの認証情報や個人情報が漏洩する恐れがあります。身代金の支払いの有無に関係なく不特定多数に情報が公開される可能性があるため、すぐにランサムウェア感染の専門家に相談し、感染経路や情報漏えい調査を行い、被害の全容の把握に努めましょう。