eCh0raixランサムウェアとは?特徴とNASが感染した時の対処法を解説

コラム eCh0raix ランサムウェア

QNAPやSynologyのNASで感染が報告されているeCh0raix(別名:QNAPCrypt)ランサムウェアは、感染するとファイルの拡張子を「.encrypt」に変更して暗号化します。その後、身代金を支払わなければ盗んだ個人情報を公開する旨の脅迫文(ランサムノート)が届きます。

本記事ではeCh0raixランサムウェアがQNAP製NASに感染した場合の対処法について詳しく解説します。

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
おすすめのランサムウェア調査会社はこちら >
目次

eCh0raixランサムウェアの特徴

2019年頃から確認されたeCh0raixランサムウェアは、DeadBoltランサムウェアの亜種とされ、SOHO(仕事場となる小さなオフィスや自宅)に多いSynologyとQNAP製のNASを標的としています。

eCh0raixランサムウェアはNASの操作が行われていない時間帯でNAS内のデータを暗号化し、ファイルの拡張子を「.encrypt」に変更します。

eCh0raixランサムウェアの開発言語はGoで、独自のビットコイン ウォレットを取得すると、32 文字のランダムな文字列を生成して秘密鍵を作成します。そしてapache2、MySQL、PostgreSQLなどのプロセスを強制終了させてからNASに保存されているすべてのファイルを暗号化し、元のファイルを削除します。

出典:The Hacker News

eCh0raixランサムウェアの感染経路

eCh0raixランサムウェアは、QNAP製NASの脆弱性を悪用して感染することが知られています。特に注目すべき脆弱性はCVE-2019–7192CVE-2019–7194CVE-2019–7195です。

それぞれの脆弱性の特徴を説明します。CVE-2019-7192 は認証プロトコルの回避が可能になります。CVE-2019-7194 ではPHPのセッション管理の脆弱性を悪用し、悪意のある人がアプリケーションに不正なコードを挿入できる状態になります。これは一般的に「セッションハイジャック」と呼ばれる攻撃手法の一種で、個人情報の盗難ウェブサイトの改ざんなどが理論上可能になります。

CVE-2019-7195は、放置すると悪意のある人がサーバーに不正なプログラムを仕掛けることができる状態となってしまい、Webサイトの訪問者にマルウェアを配布することなどが可能となってしまいます。

出典:PC risk

eCh0raixランサムウェア感染時の対処法

eCh0raixランサムウェアに端末が完成した場合、以下の手順で対処して感染の拡大を食い止めましょう。

  • 端末をネットワークから切断する
  • システムを復旧する
  • 警察に相談する
  • ランサムウェア感染調査会社に相談する

端末をネットワークから切断する

感染が疑われる端末は直ちにネットワークから切断してください。これにより、ランサムウェアの拡散を防ぎ、被害の拡大を最小限に抑えることができます。

有線LANケーブルを物理的に抜き、ネットワーク接続を無効にしてください。この時に端末の電源は切らず、調査のために稼働状態を維持することが重要です。ネットワーク切断後は、他の端末やサーバーのセキュリティ状況も確認し、必要に応じて同様の措置を講じてください。

システムを復旧する

eCh0raixランサムウェアによって暗号化されたデータの復号は非常に困難です。身代金を支払っても暗号が解除される保証はありません。

ファイルのデータが暗号化された場合は、定期的に作成していたバックアップからのデータ復元を試みてください。クラウドストレージや外部ハードドライブに保存されたバックアップデータが利用可能か確認しましょう。

警察に相談する

ランサムウェア攻撃を受けたら、速やかに最寄りの警察署やサイバー犯罪窓口に連絡し、被害状況や感染経路などの詳細情報を提供してください。警察から対処法など適切なアドバイスを得られる場合があります。

ランサムウェア感染調査会社に相談する

eCh0raixランサムウェアに感染してしまった場合、情報漏洩が発生した可能性が極めて高く、法人であれば、個人情報などが漏洩した場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。

法律での「事業者の守るべき責務」は次の通りになっています。

  • 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
  • ペナルティ(罰金)の強化
  • 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化

法人が措置命令違反で課せられる罰金刑は上限50万円から1億円に引き上げられました。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。

ここからは全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。

  • 「ランサムウェア感染調査や対処を個人で行うのが不安」
  • 「ランサムウェアが感染しているかどうか早く知りたい」
  • 「確実な調査や対処を行いたい」

このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。

こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービスマルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数39,000件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

デジタルデータフォレンジックに相談する >

eCh0raixランサムウェア感染の予防策

eCh0raixランサムウェア感染を予防するには、常にセキュリティ対策を強化しておくことや、万が一感染した時にすぐシステムを復旧できるように備えておくことが重要です。

eCh0raixランサムウェア感染に有効な予防策は以下の通りです。

  • QNAP製NASのOSを最新版にアップデートする
  • アカウントのパスワードを強力なものに再設定する
  • デフォルトポート(443と8080)の利用を避ける
  • 定期的にバックアップを取得する

QNAP製NASのOSを最新版にアップデートする

古いバージョンのQTS(QNAP製NASのOS)を使用しているNASは、eCh0raixの標的になりやすいため、最新のOSにアップデートしましょう。不正アクセスやなどのサイバー攻撃を許容する脆弱性が修正され、ランサムウェアがネットワークに侵入することを困難にします。

ランサムウェア感染や不正アクセスなど、放置することで危険性の高い脆弱性に関しては、QNAP以外にもセキュリティ企業が注意喚起を行っていることがあるので、適宜インターネットで調べておきましょう。

アカウントのパスワードを強力なものに再設定する

強力なパスワードの使用と二要素認証の導入は、eCh0raixランサムウェアの感染リスクを大幅に低減させる重要な対策です。パスワードは、大文字、小文字、数字、特殊文字を組み合わせた12文字以上の複雑なものを使用し、各アカウントで異なるパスワードを設定してください。

さらに、多要素認証(MFA)を有効にすることで、パスワードが漏洩しても不正アクセスを防ぐことができます。特に管理者アカウントや重要なシステムへのアクセスには、生体認証やハードウェアキーなどの強力な認証方法を採用することが推奨されます。

デフォルトポート(443と8080)の利用を避ける

ポート443はHTTPSの標準ポートで暗号化されたウェブトラフィックに使用され、ポート8080はHTTPの代替ポートとしてプロキシサーバーや開発環境でよく利用されます。これらのデフォルトポートの存在は広く知られ、ランサムウェア攻撃グループの攻撃対象として狙われやすくなります。

これは、攻撃者がランサムウェアを感染させる企業を選ぶ時に、スキャンツールを使用して一般的なポートをチェックしてでシステムの構成を調査することが多いためです。

定期的にバックアップを取得する

定期的なバックアップの取得は、eCh0raixランサムウェアによるデータ喪失のリスクを大幅に軽減する重要な対策です。バックアップは、ネットワークから物理的に切り離された外部ストレージやクラウドサービスに保存し、定期的に更新してください。

出典:QNAP

まとめ

eCh0raixランサムウェアに感染したら、すぐにNASのネットワーク接続を遮断し、他端末に感染が拡大するのを抑えましょう。既にeCh0raixランサムウェアに感染し、身代金を要求された場合は、決して身代金は支払わず、ランサムウェア感染調査会社に相談して情報漏えいや感染経路となった脆弱性について調査を行い、警察や取引先、個人情報保護委員会などに連絡しましょう。

おすすめランサムウェア調査会社はこちら >
eCh0raix ランサムウェア
最新情報をチェックしよう!